往期博客已經(jīng)介紹了有關零信任安全框架的基本概念和相關應用，本期將從行業(yè)的角度介紹零信任的由來、現(xiàn)狀和未來展望。

1. 前零信任時代

過去十年，信息安全行業(yè)經(jīng)歷了三大趨勢：移動化、上云和軟件即服務（SaaS）。這三大趨勢重新定義了工作、業(yè)務開展和信息消費的方式。據(jù)?Gartner 預測，到 2022 年，全球終端用戶的公有云服務開支將超過4800億美元，同比增長21.7%。朝九晚五的現(xiàn)場辦公模式早已被遠程辦公逐漸取代，員工在家或在路上就可以連接企業(yè)網(wǎng)絡。新冠疫情的爆發(fā)迫使人們居家隔離，進一步加速了遠程辦公的普及。一夜之間，科技行業(yè)最核心員工之外的所有員工都開始了全遠程辦公。?

同時，越來越多企業(yè)采用混合 IT 環(huán)境，對企業(yè)的網(wǎng)絡安全提出了新的復雜要求。以往，企業(yè)都使用數(shù)據(jù)中心運行核心應用并存儲敏感數(shù)據(jù)，現(xiàn)在有不少大型企業(yè)都開始購買云服務，將資源從本地硬件遷移到公有云，目的是降低成本，提高資源的可擴展性。而為了更快獲取投資回報，進一步降低總擁有成本（TCO），很多企業(yè)都選擇 SaaS 應用，而不是傳統(tǒng)的自托管企業(yè)應用或企業(yè)自建的解決方案。

然而，上述三大趨勢給企業(yè)的網(wǎng)絡安全和用戶體驗都帶來了巨大挑戰(zhàn)：

傳統(tǒng)的網(wǎng)絡安全基礎架構如同護城河，企業(yè)資源由具有網(wǎng)絡安全設備的企業(yè)網(wǎng)絡邊界保護，這些設備包括殺毒軟件、防火墻、URL 過濾、數(shù)據(jù)丟失防護、拒絕服務攻擊保護和沙盒。為了適應遠程辦公和移動辦公的趨勢，企業(yè)在原有架構上添加了虛擬專用網(wǎng)絡(VPN)，在企業(yè)網(wǎng)絡和遠程員工之間形成安全通道。但是，VPN 會過度授予用戶對企業(yè)網(wǎng)絡和資源的訪問權限，用戶達到一定數(shù)量時經(jīng)常會遇到連接速度慢的問題。

在保障遠程訪問 SaaS 應用安全的問題上，傳統(tǒng)方法類似于“創(chuàng)可貼”，將所有流量路由到總數(shù)據(jù)中心，在數(shù)據(jù)中心可以從集中位置訪問資源。不過由于流量路由效率低、擴展能力有限、各類隱形成本和安全性不佳，傳統(tǒng)方法很難順利實現(xiàn)。

與傳統(tǒng)方法相比，云遷移的初始設置成本較低、維護要求少，工作負載同時具有可擴展性和靈活性。只是，許多資源被企業(yè)的數(shù)據(jù)中心和公有云廠商隔離。此外，動態(tài)、短期且相互依賴的云原生工作負載還需要云原生的安全防護功能。

2. 進入零信任時代

過去，企業(yè)網(wǎng)絡安全的定義側重于使用網(wǎng)絡防護方法支持網(wǎng)絡連接、監(jiān)控和檢測。如今，基于位置的傳統(tǒng)網(wǎng)絡邊界方法已被淘汰。身份開始在全新的現(xiàn)代化安全框架中發(fā)揮核心作用，這種以身份為中心的安全框架稱為零信任。零信任的概念基于以下原則：“永不信任，始終驗證”。該模型將根據(jù)靜態(tài)位置信息推斷出的隱式信任替換為基于動態(tài)情境數(shù)據(jù)的顯式信任。情境數(shù)據(jù)的來源包括用戶身份、應用程序和屬性、端點狀態(tài)、網(wǎng)絡健康狀態(tài)和企業(yè)安全策略。

零信任網(wǎng)絡訪問（ZTNA）用于保障專用網(wǎng)絡安全，只能有經(jīng)過驗證的請求才能進行條件訪問。零信任代理在授予或拒絕訪問之前會不斷驗證請求的身份、情境和策略。ZTNA 確保應用不再對所有人可見，大幅減少了攻擊面。由于 ZTNA 的可用性和可擴展性優(yōu)勢，作為 VPN 的替代方案推出后就迅速取得了業(yè)內(nèi)關注。此外，ZTNA 提供的基于身份和情境的micro-segmentation 微隔離（微分段）也支持細粒度的安全控制，與基于網(wǎng)絡的傳統(tǒng)分割方法相比，微隔離（微分段）能更有效地在防止橫向移動攻擊。

也正是因為傳統(tǒng)網(wǎng)絡邊界模型已無法繼續(xù)滿足現(xiàn)代企業(yè)的安全需求和性能要求，越來越多的公司開始對零信任策略感興趣。2019 年，Gartner 結合了網(wǎng)絡連接與網(wǎng)絡安全概念創(chuàng)建了安全訪問服務邊緣（SASE）模型。在該模型下，企業(yè)可以使用以身份為中心的網(wǎng)絡訪問云服務以及安全 Web 網(wǎng)關（SWG）和云訪問安全代理（CASB）替換原有的中心輻射型網(wǎng)絡基礎架構，以提升效率和安全性。還有一種方案是使用軟件定義的廣域網(wǎng) （SD-WAN） 、身份和訪問管理（IAM） 、SWG 和 CASB 來減少或替換現(xiàn)有的多協(xié)議標簽交換（MPLS）。

3. 展望零信任的未來

1）零信任在數(shù)據(jù)平面和控制平面取得的進展

零信任開發(fā)和采用的最佳可視化方式就是探索理想的零信任架構。為此，可以將零信任框架的實現(xiàn)抽象為數(shù)據(jù)平面和控制平面的組合。數(shù)據(jù)平面提供對資源的訪問，而控制平面對資源的訪問權限做出持續(xù)的實時決策。

理想的零信任框架應該具有最高效的數(shù)據(jù)平面和最有效的控制平面。

零信任框架的數(shù)據(jù)平面基于整體的安全專用網(wǎng)絡，通過數(shù)據(jù)平面可以統(tǒng)一處理人員、應用、工作負載和數(shù)據(jù)連接，比起分開處理更加安全高效。

在這種情況下，零信任的安全專用網(wǎng)狀網(wǎng)絡可以使用任何類型的網(wǎng)絡基礎架構連接來自任何資源、設備和用戶的流量，覆蓋底層物理網(wǎng)絡基礎架構，如寬帶、光纖、4G/5G 或 WiFi，將企業(yè) IT 和安全全景從物理拓撲中抽象出來，此外還能基于企業(yè) IT 安全需求使用身份、情境和策略在人員、應用和資源之間建立邏輯關系。

零信任框架的控制平面是指零信任的編排，包括觀察、監(jiān)控、檢查、分析和采取行動。零信任編排和安全網(wǎng)狀網(wǎng)絡之間的交互可控制反饋回路。

本質(zhì)上來說，零信任編排的三個關鍵特性分別是集成性、雙向性和連續(xù)性：

• 集成性：零信任編排集成了各種安全信號并轉(zhuǎn)化為情境數(shù)據(jù)。這些信號可能來自用戶、設備、應用、工作負載和數(shù)據(jù)等各種身份類型，可能來自網(wǎng)絡流量、終端設備、工作負載、應用和郵件等狀態(tài)數(shù)據(jù)列表，還可能來自用戶行為和威脅情報。此外，零信任編排還將訪問策略納入驗證授權、會話管理或資源撤銷的決策中。

• 雙向性：零信任編排與身份提供程序、網(wǎng)絡、終端和應用等安全組件進行雙向的信息交換：通過監(jiān)聽事件流或關聯(lián)來自安全信號的歷史輸入收集數(shù)據(jù)，隨后使用機器學習和基于規(guī)則的方法整合信息，最后將指示發(fā)送回安全組件以采取行動。

• 持續(xù)性：零信任編排支持持續(xù)安全管理，即在整個網(wǎng)絡連接的生命周期內(nèi)實現(xiàn)近乎實時的安全執(zhí)行，而不只是在連接點或訪問點采取安全控制。例如，當零信任編排檢測到惡意活動或禁用的用戶賬號時，可以立即請求身份提供程序撤銷令牌刷新或會話刷新，建議網(wǎng)絡與資源斷開連接，必要時要求應用重新驗證用戶身份。

2）零信任和身份系統(tǒng)如何協(xié)同工作

身份是零信任框架的基石。我們需要身份來描述和管控幾乎所有內(nèi)容，包括員工、客戶、承包商、本地應用、SasS 應用、API、服務器、虛擬機、容器、無服務器、物聯(lián)網(wǎng)（IoT）、機器人、數(shù)據(jù)集、甚至是非同質(zhì)化代幣（NFT）。而在身份之間建立聯(lián)系就需要 IAM、特權訪問管理（PAM）、身份治理和管理（IGA）以及身份驗證等方法。零信任安全就是利用身份優(yōu)化用戶體驗，增強安全態(tài)勢的最佳示例之一。

3）呼吁安全行業(yè)內(nèi)部合作

從行業(yè)內(nèi)部研發(fā)和并購的角度來看，零信任作為保障企業(yè)網(wǎng)絡安全的現(xiàn)代化方式可以推動行業(yè)整合。目前安全行業(yè)的大量投資都涌入了零信任板塊，數(shù)十家公司也都于近期推出了零信任產(chǎn)品。然而，任何安全行業(yè)廠商，甚至是大廠，都無法獨立提供一整套零信任產(chǎn)品。這是因為在網(wǎng)絡安全中，足夠安全是遠遠不夠的，在構建安全基礎架構時將所有雞蛋放在一個籃子里是非常危險的。而更好的方法就是與多家安全廠商建立深度戰(zhàn)略合作關系，采用最佳產(chǎn)品組合以抵御潛在的網(wǎng)絡攻擊。此外，在應用之外添加單獨的安全程序也能提供額外防護。?

當下的安全行業(yè)受到了內(nèi)部割裂的負面影響，當務之急是考慮增進協(xié)作，協(xié)作可以推動技術進步，讓每個用戶和企業(yè)都可以隨時隨地安全使用任何技術。在零信任時代，協(xié)作變得更加重要。在安全信號共享領域已有初步探索，OpenID 基金會的共享信號和事件工作組就是很好的例子。未來，希望整個安全行業(yè)都能齊心協(xié)力，合作共贏。

總結

以上是生活随笔為你收集整理的零信任的过去、现在和未来的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。