如果童話故事里的小紅帽懂“零信任”，還會被大灰狼吃掉嗎？

假設(shè)童話故事里有“零信任”，一切都將不同。首先，小紅帽在路上遇到大灰狼的時候，“零信任”會在關(guān)鍵時期，給小紅帽預(yù)警風(fēng)險，同時會加固外婆的房子，如增加圍欄、鎖、防盜門等，不會讓大灰狼那么容易進入房子。其次，“零信任”可以通過各種技術(shù)手段，幫助小紅帽識破偽裝成外婆的大灰狼。

A

零信任是何許人也？

童話故事里的“零信任”是假設(shè)，在現(xiàn)實中則是站在移動互聯(lián)網(wǎng)基礎(chǔ)新形勢下的新安全理念。零信任將成為未來網(wǎng)絡(luò)安全的主流架構(gòu)，企業(yè) IT 安全建設(shè)的必然選擇。

網(wǎng)絡(luò)安全發(fā)展幾十年，人們說到網(wǎng)絡(luò)安全，想到的是VPN、防火墻、殺毒軟件、漏洞掃描和網(wǎng)絡(luò)入侵檢測等等。而零信任到底是什么？怎么就成了網(wǎng)絡(luò)安全的熱門詞？我們以三只小豬的童話故事來解答以上問題。

大灰狼看到三只小豬，就像黑產(chǎn)看到了企業(yè)可竊取的巨大利益，大灰狼（黑產(chǎn)）通過各種手段來攻破房子（企業(yè)業(yè)務(wù)系統(tǒng)），進而吃掉三只小豬（竊取利益）。三只小豬的房子堅固度，就像是企業(yè)的安全防護手段。現(xiàn)實中，企業(yè)會在房子外面增加圍欄、門鎖、防盜門等措施加固房子，防止房子被物理破壞。而黑產(chǎn)可以通過收買“壞豬”來打開房門，還可以偽裝成“豬媽媽”進入房子。

如果三只小豬懂“零信任”，他們可以通過判斷誰是“壞豬”、識破冒牌“豬媽媽”來保護自己，防止大灰狼進入房子；當然即便大灰狼經(jīng)過很好的偽裝進入了房子，也可以通過不間斷分析監(jiān)督，在不同的風(fēng)險程度時，采取不同的處置手段，若風(fēng)險程度較高，便可直接驅(qū)逐來斷絕風(fēng)險。

由此可以看出，零信任不是單一的產(chǎn)品、技術(shù)能夠?qū)崿F(xiàn)的，企業(yè)也不可能通過單一的產(chǎn)品和技術(shù)一步到位的將原業(yè)務(wù)系統(tǒng)改為零信任架構(gòu)。

市場上主流的零信任理念觀點

在介紹目前市場上主流的零信任之前，先科普下邊界概念是什么？邊界即執(zhí)行安全控制的載體。在三只小豬故事里，房子是他們的安全邊界，攻破了房子就會被吃掉。數(shù)字時代下的云計算、物聯(lián)網(wǎng)等新興技術(shù)的快速發(fā)展，企業(yè)傳統(tǒng)的以網(wǎng)絡(luò)作為邊界安全的架構(gòu)正在逐漸失效，而不以邊界為信任條件，以“人”為核心的零信任安全更符合當下企業(yè)的業(yè)務(wù)安全需求。

從2004年耶利哥論壇提出去邊界化安全理念，到2010年“零信任之父”John Kindervag提出零信任網(wǎng)絡(luò)模型概念，至2020年零信任方案在多行業(yè)落地，并陸續(xù)推出零信任相關(guān)標準，零信任安全正在快速普及應(yīng)用，將成為企業(yè) IT 安全建設(shè)的必然選擇。

零信任即永不信任，始終驗證。默認情況下不信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)。

谷歌：讓每位谷歌員工都可以在不借助VPN的情況下通過不受信任的網(wǎng)絡(luò)順利開展工作

谷歌BeyondCorp計劃的目標是提高員工和設(shè)備訪問內(nèi)部應(yīng)用程序的安全性。谷歌認為傳統(tǒng)防火墻的保護效果變得不明顯，不如破除內(nèi)外網(wǎng)實行統(tǒng)一，將所有應(yīng)用部署在公網(wǎng)上，用戶不再需要通過VPN連接到內(nèi)網(wǎng)，而是通過與設(shè)備為中心的認證、授權(quán)工作流，實現(xiàn)員工任何地點對資源的訪問。Google平等對待位于外部公共網(wǎng)絡(luò)和本地網(wǎng)絡(luò)的設(shè)備，默認均不會授予任何特權(quán)，準確識別設(shè)備、用戶，移除對網(wǎng)絡(luò)的信任，實現(xiàn)基于已知設(shè)備和用戶的訪問控制，并動態(tài)更新設(shè)備和用戶信息，從而保證用戶獲得流暢的資源訪問體驗。

Gartner：取代VPN，零信任不意味邊界的消失

Gartner將零信任網(wǎng)絡(luò)訪問（ZTNA）定義為產(chǎn)品和服務(wù)，它創(chuàng)建一個基于身份和上下文的邏輯訪問邊界，包括一個用戶和一個應(yīng)用或一組應(yīng)用程序。Gartner分析師認為，ZTNA增強了傳統(tǒng)VPN技術(shù)應(yīng)用程序訪問能力，減少員工和合作伙伴之間需要的訪問信任。安全和風(fēng)險管理領(lǐng)導(dǎo)人應(yīng)試點ZTNA項目，或迅速擴大遠程訪問。

微軟：致力于搭建身份作為新的安全邊界

微軟通過強調(diào)身份驅(qū)動型安全解決方案，并專注于通過強身份驗證，消除密碼、檢驗設(shè)備健康狀態(tài)以及安全訪問公司資源來保護用戶身份。

NIST：零信任（ZT）&零信任架構(gòu)（ZTA）

零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下，當執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請求時，降低其決策準確度的不確定性。零信任架構(gòu)（ZTA）則是一種企業(yè)網(wǎng)絡(luò)安全的規(guī)劃，它基于零信任理念，圍繞其組件關(guān)系、工作流規(guī)劃與訪問策略構(gòu)建而成。

零信任安全帶來的實際社會價值

通過零信任安全體系架構(gòu)的建設(shè)，以人工智能、大數(shù)據(jù)等技術(shù)與業(yè)務(wù)高度融合，能夠為企業(yè)提供多方面的實際社會價值有：

第一方面：能發(fā)現(xiàn)并解決由于身份信息泄露、冒用、盜用、特權(quán)賬號、賬號共享等等的身份欺詐風(fēng)險。

第二方面：能發(fā)現(xiàn)并解決各類移動終端的安全風(fēng)險，能解決網(wǎng)絡(luò)設(shè)備、服務(wù)器、wifi、vpn等等設(shè)備的二次認證，從而避免了各類型設(shè)備的欺詐風(fēng)險。

第三方面：基于人工智能技術(shù)，通過連續(xù)認證實現(xiàn)動態(tài)行為監(jiān)控，通過規(guī)則引擎來實現(xiàn)動態(tài)授權(quán)，通過機器學(xué)習(xí)引擎來發(fā)現(xiàn)新的風(fēng)險，從而能夠?qū)崟r的發(fā)現(xiàn)并解決用戶的行為風(fēng)險。

第四方面：兼容移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等等新興應(yīng)用場景，為企業(yè)的新時期信息化建設(shè)或信息化數(shù)字轉(zhuǎn)型提供有效的安全保障。

需以“人”為核心實現(xiàn)零信任安全

芯盾時代認為，零信任體系的目標是建立一個不依賴于城墻和壕溝的防御體系，基于用戶身份、位置，相關(guān)業(yè)務(wù)數(shù)據(jù)、管理數(shù)據(jù)等各種信息的相互關(guān)系，場景匹配等各種微分化的情況來判斷、確定以及響應(yīng)訪問的合法性。在移動互聯(lián)網(wǎng)時代，應(yīng)從設(shè)備、身份和行為等維度入手，持續(xù)驗證“人”是否可信，并根據(jù)狀態(tài)進行及時處置，實現(xiàn)身份/設(shè)備管控、持續(xù)認證、動態(tài)授權(quán)、威脅發(fā)現(xiàn)與動態(tài)處理的閉環(huán)操作，保障企業(yè)業(yè)務(wù)場景的動態(tài)安全。

零信任安全是在網(wǎng)絡(luò)發(fā)展的歷程中由需求逐步產(chǎn)生的，它的出現(xiàn)重構(gòu)了以身份為信任的安全防護機制，對數(shù)字時代的發(fā)展浪潮中網(wǎng)絡(luò)核心價值點-“人”進行全方位的安全防護。

原文標題：童話故事里的“零信任”

文章出處：【微信公眾號：芯盾時代】歡迎添加關(guān)注！文章轉(zhuǎn)載請注明出處。

責任編輯：haq