浅谈零信任

零信任这个词自从2010年被提出以来，就被各行各业所追捧。不管是谷歌的BeyondCorp，还是Gartner的CARTA模型，都是零信任的最佳实践之一。趁着这股浪潮，我也来分享一下我对于零信任的一些理解与看法，本次分享从零信任产生的背景、零信任的基础概念、零信任的落地几个角度出发，一起来探讨学习一下。

零信任的背景

在传统网络中，网络类型被分为内网和外网两大类，人们认为内网网络是安全的，内部的资产、人员都是已知、可控的，而外部网络是危险的，所有外部的信息都是未知、无法控制的。但随着信息技术不断更新迭代，像云计算、大数据等高新技术加速信息化的发展，BYOD等方式也方便人们的办公、生活。传统网络的边界逐渐模糊化，很多的应用信息操作、访问都是由员工从外部网络发起的，这一点在疫情期间最为明显，人们采用远程办公、线上会议等方式进行着工作。但当业务与信息化发展融合越紧密，其暴露的风险面就越广，人员通过网络访问后台应用系统，如果单纯依靠防火墙、入侵防御，只能检测到流量内容的安全性，但对于其身份ID、操作行为却无法做鉴别，之前发生的微盟删库事件、微博五亿用户数据泄露就是这些风险的代表。

对于零信任产生的背景，有以下几点原因：

传统网络往往通过物理位置的方式来判断威胁，但随着“云大物移”不断融入人们的生活，这种由物理上所划分的安全边界将逐步瓦解。 新技术带来便利的同时也带来了安全问题，例如大数据、云计算等技术，对于数据的全生命周期管理以及云环境下内部应用系统访问的方式，不能仅仅依靠传统安全技术或管理措施。 信息化安全建设的源头是业务访问者，当缺少对身份、认证、授权、审计等流程，数据泄露、破坏等事件就会层出不穷。 信息化发展日新月异，安全措施也不能一尘不变，需要持续性的优化、改进。 归根结底，零信任是网络中攻防博弈的具象化展现。

因此，零信任的技术成为了解决上述问题的最优解。

零信任基础概念

顾名思义，零信任就是对于网络中所有的业务流量默认认为都是危险不可信任的，而让其信任的最终方式是通过不断的认证，例如身份认证、终端环境认证、操作认证等方式来实现。

对于零信任的理解，我总结以下几个要点：

网络中充满了威胁，不管是外部网络，还是内部员工，像以前对暗号那样，在没有充分展示可信信息之前，都是不能允许访问需求资源。 对于不同的对象，展示可信信息的方式也大相径庭。例如对于人来说，可信信息包括账号认证、生物特征认证等；对于终端来说，可信信息包括系统安全性检测、系统脆弱性检测等。 风险、信任是零信任中最重要的要素，风险代表着访问对象威胁性，信任代表着访问对象安全性。两者判断方式是通过持续性的认证、检测来实现，例如在用户访问信息资源时，当出现异常操作时，进行身份认证。 每个访问者遵循最小权限原则，对应用系统的访问操作需要精细化到具体操作步骤，例如请求提交、文档修改。

对于零信任最终实现的方式，可以参考4A，也就是账号、认证、授权、审计这四个功能项。但零信任也不是单纯的4A，而是在其基础上新增了融入了持续性的概念，也就是账号全周期管理、认证、权限操作的持续性检测。

零信任的落地

就目前而言，企业无法短期之内实现零信任的建设，其落地还是具有一定的难度，原因包括：

零信任涉及到企业全网改造，包括网络架构、认证方式、系统接口对接，这个工程量是巨大的。 企业业务场景千变万化，零信任不会是一套标准化的产品，需要与用户需求相贴合，会有大量开发工作

为了更好实现零信任，我们可以将零信任建设分为几个安全节点来分别做规划： 传统安全：零信任不是单纯的新增身份认证、权限管控的产品，传统安全建设也不应该忽视，例如访问控制类（NGFW类）、业务分析类（APT检测类）、数据加密、数据防泄密（DLP类）。

身份认证：不仅仅对访问者的身份进行确认，更是对其使用的终端环境等因素进行搜集判断。身份认证可以采用IAM等方式，终端环境判断可以采用EDR、终端桌面管理等方式。

账号认证：账号不仅仅是用户名+密码的方式，而是通过多种因素进行判断，也就是多因素身份验证（MFA）。可以通过堡垒机、统一应用管理产品来实现。

权限控制：权限是通过前面身份与账号统一结合后判断的，并且通过持续的监测来判断权限是否合规。可以采用UEBA等方式来实现。

审计管理：对每个环节产生的日志进行汇总、分析，综合出使用者的信任情况，并将结果反馈给权限控制。可以通过日志审计等方式来实现。

总结

以上是我对零信任的简单的理解，后续如果有更深层次的理解也会与大家分享。

如果有任何理解不对的地方希望大家指出~