往期博客已經介紹了有關零信任安全框架的基本概念和相關應用，本期將從行業的角度介紹零信任的由來、現狀和未來展望。

1. 前零信任時代

過去十年，信息安全行業經歷了三大趨勢：移動化、上云和軟件即服務（SaaS）。這三大趨勢重新定義了工作、業務開展和信息消費的方式。據?Gartner 預測，到 2022 年，全球終端用戶的公有云服務開支將超過4800億美元，同比增長21.7%。朝九晚五的現場辦公模式早已被遠程辦公逐漸取代，員工在家或在路上就可以連接企業網絡。新冠疫情的爆發迫使人們居家隔離，進一步加速了遠程辦公的普及。一夜之間，科技行業最核心員工之外的所有員工都開始了全遠程辦公。?

同時，越來越多企業采用混合 IT 環境，對企業的網絡安全提出了新的復雜要求。以往，企業都使用數據中心運行核心應用并存儲敏感數據，現在有不少大型企業都開始購買云服務，將資源從本地硬件遷移到公有云，目的是降低成本，提高資源的可擴展性。而為了更快獲取投資回報，進一步降低總擁有成本（TCO），很多企業都選擇 SaaS 應用，而不是傳統的自托管企業應用或企業自建的解決方案。

然而，上述三大趨勢給企業的網絡安全和用戶體驗都帶來了巨大挑戰：

傳統的網絡安全基礎架構如同護城河，企業資源由具有網絡安全設備的企業網絡邊界保護，這些設備包括殺毒軟件、防火墻、URL 過濾、數據丟失防護、拒絕服務攻擊保護和沙盒。為了適應遠程辦公和移動辦公的趨勢，企業在原有架構上添加了虛擬專用網絡(VPN)，在企業網絡和遠程員工之間形成安全通道。但是，VPN 會過度授予用戶對企業網絡和資源的訪問權限，用戶達到一定數量時經常會遇到連接速度慢的問題。

在保障遠程訪問 SaaS 應用安全的問題上，傳統方法類似于“創可貼”，將所有流量路由到總數據中心，在數據中心可以從集中位置訪問資源。不過由于流量路由效率低、擴展能力有限、各類隱形成本和安全性不佳，傳統方法很難順利實現。

與傳統方法相比，云遷移的初始設置成本較低、維護要求少，工作負載同時具有可擴展性和靈活性。只是，許多資源被企業的數據中心和公有云廠商隔離。此外，動態、短期且相互依賴的云原生工作負載還需要云原生的安全防護功能。

2. 進入零信任時代

過去，企業網絡安全的定義側重于使用網絡防護方法支持網絡連接、監控和檢測。如今，基于位置的傳統網絡邊界方法已被淘汰。身份開始在全新的現代化安全框架中發揮核心作用，這種以身份為中心的安全框架稱為零信任。零信任的概念基于以下原則：“永不信任，始終驗證”。該模型將根據靜態位置信息推斷出的隱式信任替換為基于動態情境數據的顯式信任。情境數據的來源包括用戶身份、應用程序和屬性、端點狀態、網絡健康狀態和企業安全策略。

零信任網絡訪問（ZTNA）用于保障專用網絡安全，只能有經過驗證的請求才能進行條件訪問。零信任代理在授予或拒絕訪問之前會不斷驗證請求的身份、情境和策略。ZTNA 確保應用不再對所有人可見，大幅減少了攻擊面。由于 ZTNA 的可用性和可擴展性優勢，作為 VPN 的替代方案推出后就迅速取得了業內關注。此外，ZTNA 提供的基于身份和情境的micro-segmentation 微隔離（微分段）也支持細粒度的安全控制，與基于網絡的傳統分割方法相比，微隔離（微分段）能更有效地在防止橫向移動攻擊。

也正是因為傳統網絡邊界模型已無法繼續滿足現代企業的安全需求和性能要求，越來越多的公司開始對零信任策略感興趣。2019 年，Gartner 結合了網絡連接與網絡安全概念創建了安全訪問服務邊緣（SASE）模型。在該模型下，企業可以使用以身份為中心的網絡訪問云服務以及安全 Web 網關（SWG）和云訪問安全代理（CASB）替換原有的中心輻射型網絡基礎架構，以提升效率和安全性。還有一種方案是使用軟件定義的廣域網 （SD-WAN） 、身份和訪問管理（IAM） 、SWG 和 CASB 來減少或替換現有的多協議標簽交換（MPLS）。

3. 展望零信任的未來

1）零信任在數據平面和控制平面取得的進展

零信任開發和采用的最佳可視化方式就是探索理想的零信任架構。為此，可以將零信任框架的實現抽象為數據平面和控制平面的組合。數據平面提供對資源的訪問，而控制平面對資源的訪問權限做出持續的實時決策。

理想的零信任框架應該具有最高效的數據平面和最有效的控制平面。

零信任框架的數據平面基于整體的安全專用網絡，通過數據平面可以統一處理人員、應用、工作負載和數據連接，比起分開處理更加安全高效。

在這種情況下，零信任的安全專用網狀網絡可以使用任何類型的網絡基礎架構連接來自任何資源、設備和用戶的流量，覆蓋底層物理網絡基礎架構，如寬帶、光纖、4G/5G 或 WiFi，將企業 IT 和安全全景從物理拓撲中抽象出來，此外還能基于企業 IT 安全需求使用身份、情境和策略在人員、應用和資源之間建立邏輯關系。

零信任框架的控制平面是指零信任的編排，包括觀察、監控、檢查、分析和采取行動。零信任編排和安全網狀網絡之間的交互可控制反饋回路。

本質上來說，零信任編排的三個關鍵特性分別是集成性、雙向性和連續性：

• 集成性：零信任編排集成了各種安全信號并轉化為情境數據。這些信號可能來自用戶、設備、應用、工作負載和數據等各種身份類型，可能來自網絡流量、終端設備、工作負載、應用和郵件等狀態數據列表，還可能來自用戶行為和威脅情報。此外，零信任編排還將訪問策略納入驗證授權、會話管理或資源撤銷的決策中。

• 雙向性：零信任編排與身份提供程序、網絡、終端和應用等安全組件進行雙向的信息交換：通過監聽事件流或關聯來自安全信號的歷史輸入收集數據，隨后使用機器學習和基于規則的方法整合信息，最后將指示發送回安全組件以采取行動。

• 持續性：零信任編排支持持續安全管理，即在整個網絡連接的生命周期內實現近乎實時的安全執行，而不只是在連接點或訪問點采取安全控制。例如，當零信任編排檢測到惡意活動或禁用的用戶賬號時，可以立即請求身份提供程序撤銷令牌刷新或會話刷新，建議網絡與資源斷開連接，必要時要求應用重新驗證用戶身份。

2）零信任和身份系統如何協同工作

身份是零信任框架的基石。我們需要身份來描述和管控幾乎所有內容，包括員工、客戶、承包商、本地應用、SasS 應用、API、服務器、虛擬機、容器、無服務器、物聯網（IoT）、機器人、數據集、甚至是非同質化代幣（NFT）。而在身份之間建立聯系就需要 IAM、特權訪問管理（PAM）、身份治理和管理（IGA）以及身份驗證等方法。零信任安全就是利用身份優化用戶體驗，增強安全態勢的最佳示例之一。

3）呼吁安全行業內部合作

從行業內部研發和并購的角度來看，零信任作為保障企業網絡安全的現代化方式可以推動行業整合。目前安全行業的大量投資都涌入了零信任板塊，數十家公司也都于近期推出了零信任產品。然而，任何安全行業廠商，甚至是大廠，都無法獨立提供一整套零信任產品。這是因為在網絡安全中，足夠安全是遠遠不夠的，在構建安全基礎架構時將所有雞蛋放在一個籃子里是非常危險的。而更好的方法就是與多家安全廠商建立深度戰略合作關系，采用最佳產品組合以抵御潛在的網絡攻擊。此外，在應用之外添加單獨的安全程序也能提供額外防護。?

當下的安全行業受到了內部割裂的負面影響，當務之急是考慮增進協作，協作可以推動技術進步，讓每個用戶和企業都可以隨時隨地安全使用任何技術。在零信任時代，協作變得更加重要。在安全信號共享領域已有初步探索，OpenID 基金會的共享信號和事件工作組就是很好的例子。未來，希望整個安全行業都能齊心協力，合作共贏。

總結

以上是生活随笔為你收集整理的零信任的过去、现在和未来的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。