干貨 | 零信任從入門到精通(壹)

零信任

Zero Trust

如果要挑選安全行業(yè)熱詞，那么“零信任”是當(dāng)仁不讓的首選。數(shù)字化轉(zhuǎn)型加速，網(wǎng)絡(luò)復(fù)雜化、業(yè)務(wù)多樣化、數(shù)據(jù)頻繁流動，為應(yīng)對新IT時代的網(wǎng)絡(luò)安全挑戰(zhàn)，零信任安全應(yīng)運而生。無論是市場還是行業(yè)內(nèi)，零信任都炙手可熱。那么零信任是什么？零信任又有什么特別之處呢？

接下來，奇安信身份安全實驗室將為您帶來《零信任從入門到精通》，一問一答帶您了解零信任安全。

Q1: 什么是零信任？

零信任架構(gòu)提供一系列概念、理念、組件及其交互關(guān)系，以便消除針對信息系統(tǒng)和服務(wù)進行精準(zhǔn)訪問判定所存在的不確定性。零信任的本質(zhì)是以身份為基石的動態(tài)訪問控制。NIST《零信任架構(gòu)》標(biāo)準(zhǔn)中給出的定義是：“零信任（Zero trust，ZT）提供了一系列概念和思想，旨在面對被視為受損的網(wǎng)絡(luò)時，減少在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確的、按請求訪問決策時的不確定性。零信任架構(gòu)（ZTA）是利用一個企業(yè)網(wǎng)絡(luò)安全計劃，它利用零信任概念，包括組件關(guān)系、工作流規(guī)劃和訪問策略”。實現(xiàn)零信任架構(gòu)可以用到多種技術(shù)，其中包括身份認證、身份管理、權(quán)限管理（權(quán)限管理就設(shè)計到從DAC、MAC、RBAC到ABAC等演化），還包括行為分析、信任評估等各種能力，是一套邏輯組件的有效聯(lián)動。

Q2

為什么要使用零信任架構(gòu)？

因為傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)無法滿足今天復(fù)雜的網(wǎng)絡(luò)、業(yè)務(wù)多樣化、數(shù)據(jù)頻繁流動等場景；云計算、移動互聯(lián)等技術(shù)的采用讓企業(yè)的人、業(yè)務(wù)、數(shù)據(jù)“走”出了企業(yè)的邊界；大數(shù)據(jù)、物聯(lián)網(wǎng)等新業(yè)務(wù)的開放協(xié)同需求導(dǎo)致了外部人員、平臺和服務(wù)“跨”過了企業(yè)的數(shù)字護城河，流動的動態(tài)數(shù)據(jù)資產(chǎn)其安全性難度再度加大；內(nèi)外部威脅愈演愈烈，數(shù)據(jù)泄露觸目驚心。零信任架構(gòu)正是在這種背景下誕生的，適用于云大物移時代，可以有效緩解IT環(huán)境日益復(fù)雜所帶來的安全挑戰(zhàn)。

Q3：零信任有什么優(yōu)勢嗎？

企業(yè)IT環(huán)境移動化、云化后，發(fā)起訪問的用戶、用戶訪問的資產(chǎn)可能都不在原本所劃好的物理范圍內(nèi)，原本偏靜態(tài)的映射關(guān)系很難支撐新業(yè)務(wù)場景的需要。零信任是一種以資源保護為核心的網(wǎng)絡(luò)安全范式，其前提是信任從來不是隱式授予的，而是必須不斷地進行評估。零信任不僅考慮物理位置，也消解了原本預(yù)置內(nèi)網(wǎng)中的信任，通過動態(tài)評估用戶、設(shè)備、應(yīng)用的方式來判斷。零信任既能為現(xiàn)有的基礎(chǔ)架構(gòu)增加安全特性，也為未來數(shù)據(jù)化轉(zhuǎn)型提供架構(gòu)層優(yōu)勢。

Q4

零信任安全邊界和傳統(tǒng)的安全邊界有什么異同？

傳統(tǒng)的安全邊界是基于網(wǎng)絡(luò)的物理邊界；零信任構(gòu)建的是基于身份的動態(tài)邏輯虛擬邊界，或簡稱身份邊界。

傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)某種程度上假設(shè)或默認了內(nèi)網(wǎng)是安全的，認為安全就是構(gòu)筑企業(yè)的數(shù)字護城河。通過防火墻、WAF、IPS等邊界安全產(chǎn)品或方案對企業(yè)網(wǎng)絡(luò)出口進行重重防護而忽略企業(yè)內(nèi)網(wǎng)的安全。零信任安全針對傳統(tǒng)邊界安全架構(gòu)思想進行了重新評估和審視。零信任的技術(shù)本質(zhì)是以身份為基石的動態(tài)訪問控制，其主要是將安全能力內(nèi)嵌入業(yè)務(wù)體系，構(gòu)建自適應(yīng)的內(nèi)生安全機制。

Q5：是否可以將零信任理解為升級版的VPN？又或是升級版的WAF+IPS+防火墻+態(tài)勢感知一體機？

首先，建議從安全架構(gòu)層面理解零信任。零信任是一種新型的網(wǎng)絡(luò)安全架構(gòu)，可以從零開始建設(shè)，也可以在現(xiàn)有的基礎(chǔ)設(shè)施之上構(gòu)建新的安全防護機制。零信任與傳統(tǒng)的安全設(shè)施主要區(qū)別之一是確?？刂破矫媾c數(shù)據(jù)平面分離，同時所有的訪問都是基于身份的，默認情況下業(yè)務(wù)隱藏，通過持續(xù)信任評估，對用戶訪問權(quán)限進行動態(tài)調(diào)整。其部屬形態(tài)也應(yīng)結(jié)合業(yè)務(wù)的實際情況進行相應(yīng)調(diào)整。

Q6

遷移到零信任以后，是不是防火墻、IPS等產(chǎn)品就不用了？

零信任的技術(shù)本質(zhì)是以身份為基石的動態(tài)訪問控制，其主要價值為將安全能力內(nèi)嵌入業(yè)務(wù)體系，構(gòu)建自適應(yīng)的內(nèi)生安全機制。但并不是說不再需要傳統(tǒng)防火墻、WAF、IPS等邊界安全產(chǎn)品。實際上，零信任與傳統(tǒng)安全架構(gòu)更多是互補關(guān)系而非對立關(guān)系，需要和多產(chǎn)品聯(lián)動實現(xiàn)更統(tǒng)一更易用的安全體系.

Q7：如何實現(xiàn)零信任落地？使用什么技術(shù)比較合適？

零信任是一種技術(shù)架構(gòu)和理念，并非一種單一技術(shù)手段。在Forrester的相關(guān)報告中，也建議從能力、技術(shù)、特性等不同粒度的視角來理解零信任。零信任的核心能力包括：以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估和動態(tài)訪問控制。涉及的技術(shù)非常非常多，包括身份管理、權(quán)限管理、多因子認證、授權(quán)、信任評估、高性能代理、端口隱藏、用戶行為分析、終端安全管理、移動安全管理、身份聯(lián)動……等等，不勝枚舉。這些技術(shù)可以包含在一些標(biāo)準(zhǔn)組件中，例如，可信應(yīng)用代理、可信API代理、可信訪問控制臺、身份分析系統(tǒng)、智能身份管理系統(tǒng)、可信終端環(huán)境感知、可信網(wǎng)絡(luò)環(huán)境感知等。

Q8

零信任和軟件定義邊界（SDP）有什么關(guān)系嗎？

一般而言，SDP是零信任訪問場景的一種實現(xiàn)方案。SDP可覆蓋用戶訪問業(yè)務(wù)場景，但在API安全、數(shù)據(jù)交換、東西向流量適用性不高。從整個安全性閉環(huán)來講，缺少可持續(xù)信任評估和動態(tài)訪問控制，無法形成真正安全上的閉環(huán)。零信任作為一種安全體系架構(gòu)，可覆蓋的場景更多，能力定義更全面，具體內(nèi)容可參考對比SDP技術(shù)規(guī)范和NIST的《零信任架構(gòu)》標(biāo)準(zhǔn)。

Q9：總說零信任是以身份為基石的，那么它和4A、IAM等有什么異同嗎？

零信任架構(gòu)技術(shù)本質(zhì)是訪問主體和客體之間構(gòu)建以身份為基石的動態(tài)訪問控制機制，是一種安全架構(gòu)，而4A、IAM是身份安全的具體實現(xiàn)技術(shù)或組件，也是零信任需要的技術(shù)組件之一，可對應(yīng)零信任架構(gòu)的“身份安全基礎(chǔ)設(shè)施”。

Q10

零信任包含哪些身份安全基礎(chǔ)設(shè)施呢？

身份基礎(chǔ)設(shè)施主要包含身份管理、權(quán)限管理、認證和治理服務(wù)等。目前常見主要有AD、LDAP、IAM、4A、PKI等。在做遷移時，零信任架構(gòu)可以與企業(yè)已有的身份基礎(chǔ)設(shè)施對接，從而減少投入。

通過上述問答，我們了解到零信任是以身份為基石的動態(tài)訪問控制，通過持續(xù)業(yè)務(wù)評估來實現(xiàn)業(yè)務(wù)安全訪問。零信任是一種網(wǎng)絡(luò)安全架構(gòu)、理念，并不是單一的產(chǎn)品或技術(shù)。

這一期的《零信任從入門到精通》主要解釋了一些概念性和理解性的問題，下一期我們將聚焦技術(shù)類問題繼續(xù)了解零信任，敬請期待。