作為一種新興的安全概念和技術(shù)，經(jīng)過近十年的發(fā)展，零信任正在從實(shí)踐走向?qū)嶋H應(yīng)用。隨著零信任從概念架構(gòu)到實(shí)施實(shí)踐的不斷突破，如何加快構(gòu)建零信任安全體系，利用零信任解決方案保障千行百業(yè)的數(shù)字化轉(zhuǎn)型成為當(dāng)前行業(yè)關(guān)注的焦點(diǎn)。我們也觀察和思考。

圖1 零信任技術(shù)應(yīng)用發(fā)展

從零信任國際的發(fā)展歷程來看，零信任在2017年之前經(jīng)歷了漫長的慢跑；2017年之后，一系列技術(shù)標(biāo)準(zhǔn)和架構(gòu)陸續(xù)提出，節(jié)奏逐漸加快；從2021年開始，零信任信任相關(guān)技術(shù)的成熟度顯著提升。

01、零信任的實(shí)踐與應(yīng)用

它是零信任的早期實(shí)踐，它基于從零開始設(shè)計(jì)和構(gòu)建零信任模型的理念，經(jīng)過幾年的探索和實(shí)踐。其實(shí)踐的基本思想是對(duì)訪問主體、客體、訪問權(quán)限進(jìn)行細(xì)粒度的關(guān)聯(lián)和控制。核心組件包括設(shè)備、用戶、應(yīng)用程序和工作流以及網(wǎng)絡(luò)。其中，網(wǎng)絡(luò)分為特權(quán)網(wǎng)絡(luò)和非特權(quán)網(wǎng)絡(luò)。在非特權(quán)網(wǎng)絡(luò)中，主要通過接入代理（GFE）提供集中的粗粒度策略執(zhí)行機(jī)制，GFE能力陸續(xù)擴(kuò)展，包括認(rèn)證、授權(quán)、審計(jì)等。

相比之下，DISA（ ）零信任策略實(shí)踐的環(huán)境更為復(fù)雜，其目標(biāo)是從離散部門的獨(dú)立安全構(gòu)建轉(zhuǎn)變?yōu)榻y(tǒng)一的安全防護(hù)架構(gòu)。根據(jù)最新消息，DISA戰(zhàn)略將于2022年1月啟動(dòng)，啟動(dòng)前將花費(fèi)一年多的時(shí)間進(jìn)行方案評(píng)估和架構(gòu)規(guī)劃。該過程顯示在時(shí)間軸的圖 2 中：

圖2 DISA零信任策略推廣路徑

2020 年 10 月，零信任參考框架在 DISA 的 JITC（聯(lián)合互操作性測(cè)試指令）實(shí)驗(yàn)室中構(gòu)建和測(cè)試，目標(biāo)是開發(fā)供應(yīng)商中立的解決方案。這一驗(yàn)證也為后續(xù)的戰(zhàn)略規(guī)劃和方案建設(shè)奠定了信心和基礎(chǔ)。在此驗(yàn)證之前，NIST（美國國家網(wǎng)絡(luò)安全卓越中心）于 2020 年 3 月發(fā)布了《實(shí)現(xiàn)零信任架構(gòu)》的項(xiàng)目規(guī)范（草案），該規(guī)范也旨在通過商業(yè)產(chǎn)品構(gòu)建零信任架構(gòu)。

在架構(gòu)設(shè)計(jì)中，定義了零信任架構(gòu)的七大支柱元素，分別是：用戶、設(shè)備、網(wǎng)絡(luò)/環(huán)境、應(yīng)用/工作負(fù)載、數(shù)據(jù)、可視化/分析、自動(dòng)化和編排php 權(quán)限管理框架，并匹配特定能力和關(guān)鍵技術(shù). 2021年10月，進(jìn)一步提出基于零信任架構(gòu)的建設(shè)方案，確定通過SASE重構(gòu)實(shí)施零信任戰(zhàn)略。最后根據(jù)確定的方案制定項(xiàng)目的具體實(shí)施方案。

圖 3 美國零信任實(shí)踐到應(yīng)用開發(fā)的五個(gè)階段

在該計(jì)劃實(shí)施的同時(shí)，美國管理和預(yù)算辦公室（OMB）也發(fā)布了正式版的《聯(lián)邦政府零信任戰(zhàn)略》，明確了美國零信任架構(gòu)的五個(gè)核心支柱。美國“民間機(jī)構(gòu)”，進(jìn)一步從管理、技術(shù)、架構(gòu)、基礎(chǔ)設(shè)施選擇等維度提出了具體要求。OMB和DISA零信任戰(zhàn)略規(guī)劃的過程看起來很相似，但是OMB的構(gòu)建速度要比DISA快很多。不過網(wǎng)站建設(shè)，DISA從互操作性驗(yàn)證到項(xiàng)目實(shí)施的每個(gè)階段都預(yù)留了過渡期，整個(gè)過程顯得更加謹(jǐn)慎。

總結(jié)美國從實(shí)踐到DISA重構(gòu)的轉(zhuǎn)變過程，經(jīng)歷了技術(shù)實(shí)踐、互操作性驗(yàn)證、架構(gòu)規(guī)劃、技術(shù)方案、實(shí)施計(jì)劃五個(gè)階段。如果說前期是實(shí)踐，那么今天DISA和OMB的零信任策略承載著重要的安全任務(wù)，有技術(shù)標(biāo)準(zhǔn)、架構(gòu)驗(yàn)證、統(tǒng)籌規(guī)劃、合理規(guī)劃。這在一定程度上標(biāo)志著零信任從實(shí)踐走向應(yīng)用。

02、對(duì)我國零信任應(yīng)用的觀察

在中國，“替代VPN”曾被認(rèn)為是零信任的重要使命之一。但 VPN 的最初使命是為遠(yuǎn)程訪問構(gòu)建專用網(wǎng)絡(luò)網(wǎng)站制作，而零信任最初旨在作為數(shù)據(jù)保護(hù)的安全范例，旨在防止數(shù)據(jù)泄露并限制內(nèi)部橫向移動(dòng)。用VPN來滿足云時(shí)代海量遠(yuǎn)程訪問的安全訪問需求也是牽強(qiáng)附會(huì)，但VPN暴露出來的安全風(fēng)險(xiǎn)確實(shí)是推動(dòng)零信任發(fā)展、推動(dòng)SDP發(fā)展的重要力量之一網(wǎng)關(guān)成為替代企業(yè)遠(yuǎn)程辦公的重要解決方案。

我們看到，保障零信任行業(yè)應(yīng)用的相關(guān)配套標(biāo)準(zhǔn)已經(jīng)開始出現(xiàn)。中國電子標(biāo)準(zhǔn)化協(xié)會(huì)牽頭的《零信任技術(shù)規(guī)范》和中國城市軌道交通協(xié)會(huì)牽頭的《城市軌道交通云平臺(tái)網(wǎng)絡(luò)安全技術(shù)規(guī)范》都給出了零信任概念下強(qiáng)準(zhǔn)入控制的技術(shù)要求。采用并可以參考的邏輯架構(gòu)強(qiáng)調(diào)無論是人、設(shè)備、應(yīng)用還是數(shù)據(jù)，都必須進(jìn)行身份識(shí)別、訪問認(rèn)證和動(dòng)態(tài)授權(quán)。同時(shí)，為了進(jìn)一步提升證書體系的安全性，商業(yè)秘密行業(yè)也在踐行零信任，

零信任理念對(duì)傳統(tǒng)安防產(chǎn)品的賦能進(jìn)一步加強(qiáng)：

（1)在用戶身份識(shí)別能力方面，零信任賦能以IAM為代表的身份和訪問安全技術(shù)，對(duì)用戶身份認(rèn)證的需求推動(dòng)權(quán)限管理和權(quán)限管理成為更重要的能力單元。

（2)在網(wǎng)絡(luò)和通信安全方面，以SDP為中心的訪問控制方案已成為網(wǎng)絡(luò)遠(yuǎn)程訪問安全的重要組成部分，但企業(yè)仍處于試驗(yàn)階段。如何更好地進(jìn)行持續(xù)風(fēng)險(xiǎn)評(píng)估, 是否可以完全無特權(quán)的訪問還有待驗(yàn)證。

（3)在終端安全方面，除了網(wǎng)絡(luò)接入側(cè)的強(qiáng)驗(yàn)證外，零信任進(jìn)一步推動(dòng)安全引擎、沙箱、虛擬空間等技術(shù)在終端安全中的應(yīng)用，拓展終端基線檢測(cè)以及入侵檢測(cè)/保護(hù)、審計(jì)等安全管理能力。這不僅有助于大量去中心化部署中的大量終端風(fēng)險(xiǎn)管理php 權(quán)限管理框架，也有助于XDR提高其快速檢測(cè)-響應(yīng)能力。

(4)在數(shù)據(jù)安全方面，零信任概念融合了傳統(tǒng)數(shù)據(jù)安全的訪問和控制能力，可以很好地應(yīng)對(duì)云平臺(tái)大數(shù)據(jù)的碎片化管理；虛擬空間技術(shù)通過終端也得到了很好的擴(kuò)展；另外，為了數(shù)據(jù)中心的數(shù)據(jù)安全，網(wǎng)絡(luò)側(cè)的數(shù)據(jù)管控會(huì)更合適，但從訪問控制和部署的角度來看，其解決方案類似于遠(yuǎn)程辦公室。零信任解決方案具有相同的目標(biāo)。

（5)在零信任理念的影響下，應(yīng)用交付和WEB VPN設(shè)備相比傳統(tǒng)的應(yīng)用交付也有了很多改進(jìn)：在部署方案中訪問控制和策略管理逐漸分離，產(chǎn)品設(shè)計(jì)增強(qiáng)多因素認(rèn)證用于完善權(quán)限管理策略，特別是針對(duì)API訪問無處不在的安全風(fēng)險(xiǎn)，涌現(xiàn)了一波專業(yè)的API安全防護(hù)能力，提升了運(yùn)行時(shí)應(yīng)用的自我防護(hù)能力。

零信任的概念給用戶、終端、網(wǎng)絡(luò)、數(shù)據(jù)和應(yīng)用的安全能力帶來了許多變化。但是，從系統(tǒng)建設(shè)的角度來看，目前國內(nèi)的應(yīng)用還是非常有限的：

（1)零信任架構(gòu)是一個(gè)綜合了很多安全能力的解決方案，對(duì)組件的依賴度很高。但在需求端，企業(yè)更愿意選擇不受供應(yīng)商限制的零信任解決方案。解決方案。

（2)從供給端來看，現(xiàn)階段零信任解決方案多以廠商為主，主要由其專業(yè)領(lǐng)域內(nèi)的專業(yè)知識(shí)提供，難以支持企業(yè)在其專業(yè)領(lǐng)域整體零信任戰(zhàn)略規(guī)劃。

（3)目前業(yè)界缺乏對(duì)零信任解決方案組合的互操作性評(píng)估，同時(shí)還需要更多的實(shí)踐來驗(yàn)證業(yè)界現(xiàn)有的零信任構(gòu)建框架。