近日，美國管理和預算辦公室（OMB）和網絡安全和基礎設施安全局（CISA）發布了關于零信任戰略新的指導意見。美國聯邦政府正在大力推動各機構采用零信任的網絡安全架構，政府機構擬在2024財年結束前部署新型網絡安全架構。這一路線圖的發布，再次讓零信任方法成為安全社區關注的熱點。零信任采取了一種“始終驗證，從不信任”的網絡安全方法，意味著每一個用戶和設備都會被驗證，無論他們之前是否被授予訪問權限。零信任本質上是一種安全理念，一種策略，它用徹底的身份驗證和授權策略取代了對用戶和設備的過度隱式信任。其本身不是一項技術。零信任的概念源自于Stephen Paul Marsh于1994年4月在斯特林大學發布的計算安全博士論文。Marsh對信任的深入研究認為，信任是一種有限的東西，可以用數學結構來描述，而不是簡單的對抗或純粹的人類現象。他還斷言，信任的概念超越了道德、倫理、合法性、正義和判斷等人為因素，在保護計算系統、應用程序和網絡安全方面，零信任（zero trust）勝過（surpass）不信任（distrust）。

　　美國政府規劃了三年時間落地，大概率是不夠的。因此，善于跟風、熱炒概念的貴圈需要慢下腳步，冷靜冷靜。

　　零信任的好處包括增強安全性、適應遠程工作環境、適應云環境以及簡化組織的安全架構。同樣零信任方法面臨諸多現實的挑戰，零信任計劃的范圍，對強大身份系統的需求，持續的管理，對現有業務流程的影響 ，對軟件硬件的需求，等等。零信任并非萬無一失的策略，但它無疑將成為未來網絡安全的發展方向。

　　零信任的優勢

　　一是增強的安全性；采用零信任安全模型最明顯的好處是改進了安全態勢。這在一定程度上是因為轉向零信任模式意味著獲取并努力使用先進的安全工具和平臺。例如，這些工具和平臺可以包括IAM（identity and access management）、MFA （multi-factor authentication）和XDR （extended detection and response）。因此，一些組織已經以某種形式向零信任轉變，事件報告提高了安全運營中心（SOC）的效率。更具體地說，根據ESG研究報告，43%的北美組織在實施零信任舉措后，SOC效率得到了提高（來源：ESG研究報告，《零信任安全戰略狀態》，2021年4月）。SOC變得更加高效，因為它們使用的新安全工具（如XDR）在檢測和報告安全事件方面具有更多的自動化功能。自動化接管了SOC團隊耗時的任務。

　　二是簡化安全架構，提升用戶體驗；采用高級安全工具的額外好處包括簡化組織的安全體系結構。如果成功地做到了這一點，安全團隊可以更容易地響應安全事件，甚至可以主動地保護組織的IT環境。強化終端用戶的接入也有額外好處。不管（員工）在哪里，不管他們使用什么設備，他們都可以使用完成工作所需的東西。當你看到零信任網絡訪問（ZTNA）并將其范圍擴大到包括所有類型的訪問時，就會發現零信任是可行的。

　　三是適應遠程工作和云計算；在COVID-19大流行期間，世界經歷了前所未有的居家辦公轉變。遠程工作將員工從組織的網絡邊界中拉出來，迫使組織考慮另一種方式來保護員工的聯系。先前在網絡范圍內獲得批準的實體被隱式信任的安全模型已經過時了。然而，許多組織最終被迫放棄它，采用一種新的分散的安全模型。一些組織采取的一種方法是擴大他們的VPN基礎設施，以滿足網絡外圍的大量員工的訪問需求。然而，這種做法代價昂貴的。去中心化模型的零信任方法引入了安全工具，這些安全工具并不隱含地信任任何實體，無論其聲譽或可信度如何。

　　支持零信任模型的安全工具對訪問組織網絡、數據、應用程序和資源的人員進行徹底的身份驗證，然后繼續驗證身份。使用加密連接的員工可以訪問他們工作所需的應用程序和數據，從而降低了對組織的危害風險。公有云的使用在組織中變得越來越普遍。零信任的方法可以確保任何試圖連接到組織云基礎設施的行為都是合法的。

　　以私有數據中心為中心的零信任模型與以云為中心的零信任模型之間的主要區別在于傳輸的方向和安全工具的存放位置。在最理想的場景中，流向組織私有數據中心的流量不會先流向云，然后再返回到數據中心。因此，如果員工的大部分流量都流向了私人數據中心，那么安全工具也很可能存放在那里。如果大部分流量都流向云，那么安全工具駐留在云上就更有意義了。雖然如果一個組織使用基于云的安全服務來支持其零信任狀態，但流量更有可能通過云，而不是將服務駐留在私有數據中心。在多云的用例中，很難讓一個提供商的云中的安全服務與另一個提供商的云中的安全服務進行互操作。

　　然而，零信任也帶來了一系列挑戰，理解這些挑戰對于確保有效實施非常重要。

　　零信任的主要挑戰

　　一是零信任安全并不是一個萬能的解決方案；實現零信任安全并不意味著部署單一的技術或解決方案。相反，它是對企業網絡安全方法的重新構建。為了實現零信任的環境，需要采取全面的方法并從頭開始。這里最大的障礙是，可能會在組織保護中留下隱藏的漏洞——特別是如果組織正在替換遺留的安全解決方案。

　　如果鎖定組織的網絡就像打開一個零信任安全開關一樣簡單，那就太棒了。但現實是，需要引入一種新的安全模型。這意味著識別用戶和設備、部署監控工具、設置訪問控制等等措施的落實。除此之外，還需要安全的硬件和軟件，以確保部署和管理工作的安全。

　　二是零信任計劃的范圍；零信任網絡訪問（zero -trust network access, ZTNA）是支持零信任的比較知名的技術之一。顧名思義，ZTNA的安全部門以網絡為重點。關注網絡是有意義的，因為過度的隱式信任歷來是基于邊界的網絡安全。網絡不是一個組織的IT環境和系統的全部。組織還需要考慮它們的應用程序和生成的相關數據。在組織的其他領域中也有應用程序開發來支持其業務。這是一個非常大的范圍，也是為什么要花幾年時間才能完全實現零信任。這也是為什么組織傾向于從一個用例開始，比如遠程工作，然后系統地通過業務的不同領域移動。

　　Gartner的分析師強調，需要優先考慮組織開始部署零信任的地方，以避免被必須確保的一切范圍所壓倒。ESG表示，“不管目前的零信任狀態如何，40%的受訪者表示，他們的組織在過去的某個時候暫停或放棄了一個項目。”ESG的報告顯示，37%的零信任項目因為項目變得太復雜而被暫停或放棄。

　　三是需要一個強大的身份系統；對于零信任的安全態勢來說，最關鍵的安全技術之一是身份系統。這些系統通常是IAM工具的一部分。身份系統是對用戶或設備進行身份驗證，并向安全工具套件的其余部分證明實體就是它所聲稱的那樣。安全工具使用用戶或設備的標識作為策略的參考點，這些策略確定實體在IT環境中具有多少訪問權限以及它可以訪問什么資源。身份會受到攻擊，比如在SolarWinds事件中，當壞人進入時，他們會攻擊身份系統。如果將這種自適應信任模型轉變為以身份為中心，那么壞人就會開始攻擊身份。

　　四是部署零信任模型后的剩余安全風險；“零信任”這個詞其實有點誤導人。它并不是不要信任。如果一個組織擁有絕對的零信任，那么用戶和非用戶設備將無法訪問任何資源、應用程序或數據。在某一點上，實體被授予一定程度的信任，相信它們是誰或它們所說的東西，并且實體不會受到損害。即使這樣，這種信任仍然可能被背叛。風險總是存在的，但是在保持IT系統安全方面，零信任模型比任何形式的隱式信任要有效得多。內部威脅仍然是零信任安全應用之后中的一個挑戰。

　　五是零信任安全需要持續的管理；由于零信任安全是一種方法（或者可以稱之為一種思維方式），因此需要持續的管理來確保持續的保護。盡管它確實在分布式網絡上提供了強化的安全性，但零信任安全性不是一種“設置它就忘記它”的方法。許多安全專業人員還是低估了實現零信任環境所需的時間和精力。業務從內到外都在不斷變化，無論是員工獲得不同的職責，還是添加新的站點、員工和客戶帳戶。網絡安全需要持續的管理，以確保所有這些活動都是安全的。假設最近采用了零信任模型，但最新的部署包括帶有過時和易受攻擊固件的硬件。或者，組織的一位客戶遭遇了數據泄露，突然需要保護他們的賬戶不受黑客攻擊。在零信任的情況下，需要確保你的設備被正確地打了補丁并且是安全的，需要有監控工具來捕獲惡意活動。

　　六是平衡對生產效率的影響；零信任安全的另一個挑戰是潛在的生產力損失。在某種程度上，這個障礙與需要持續管理的挑戰同時出現。因為零信任為大多數工作流程增加了額外的安全層，所以它有時會成為生產率的障礙。安全策略只有在支持和保護企業的工作時才有效，否則它們就會成為員工試圖繞過的障礙。在保持強大的網絡安全態勢的同時，還必須保持生產力，而找到這種平衡是零信任方法的核心原則。避免生產率缺陷的最簡單方法是采用由零信任和遺留系統組成的混合安全環境，直到完全過渡到零信任。溝通和敏捷性對于零信任的實現至關重要。采用這些新的安全實踐和工具將影響到每個人，因此您的團隊應該與流程中每一步的預期保持一致。

　　七是零信任安全要求硬件安全；許多專用設備都帶有某種形式的內置保護措施。然而，實現零信任安全框架的一部分涉及保護硬件。這意味著修補和更新你現有的設備，或者完全部署新的設備。如果不鎖定組織的資產，包括組成基礎設施的物理設備，那么組織將繼續受到攻擊。部署硬件時，可能在運輸過程中丟失或被盜。一旦安裝和設置好，攻擊也可能來自現場，通過額外的硬件/軟件集成，或通過組織的網絡。通過選擇具有可信CPU的硬件來對抗這些漏洞，以期維護系統的完整性。這意味著安全引導、簽名操作系統和受信任平臺模塊等功能可以在最低級別保護組織。

　　八是零信任安全需要靈活的軟件；隨著安全解決方案在組織的網絡中擴展，管理所有可能出現的問題時必然遇到各種挑戰。每個供應商都有自己獨特的工具和UI，并且在特性、功能和集成方面都有不同的限制。全面的管理軟件讓組織在控制某些解決方案方面大有作為。還需要靈活的軟件，能夠在一個簡化的UI下將所有內容組合在一起。考慮組織需要管理的所有內容，如用戶角色、訪問權限、防火墻設置、設備固件等。零信任安全是一種包羅萬象的方法，它為您提供了更多的保護，但也需要付出更多的努力。這就是為什么使用靈活的、能夠適應第三方解決方案的軟件是很重要的，不管廠商是什么。無論組織網絡上部署了哪種供應商解決方案，獨立于供應商的云平臺都可以為組織提供對解決方案層和基礎設施層的安全遠程訪問。

　　零信任的落地探索之路才剛剛開始，其面臨的挑戰遠遠不止上述八個方面。從技術演進層面看，既然它與信任和云密切相關，那信任的級別、信任算法、資源的分類、廠商的鎖定、互操作性等等問題都將成為障礙。或許更大的挑戰不是零信任解決方案有多先進，而是組織現有的技術、流程、人員、文化轉變認知和思維方式的難度有多大。千人千面，不可能有標準化的解決方案。這也決定了零信任理念和方法的落地，必然是一場人力、資源、金錢、時間的持久消耗戰。