近日，美国管理和预算办公室（OMB）和网络安全和基础设施安全局（CISA）发布了关于零信任战略新的指导意见。美国联邦政府正在大力推动各机构采用零信任的网络安全架构，政府机构拟在2024财年结束前部署新型网络安全架构。这一路线图的发布，再次让零信任方法成为安全社区关注的热点。零信任采取了一种“始终验证，从不信任”的网络安全方法，意味着每一个用户和设备都会被验证，无论他们之前是否被授予访问权限。零信任本质上是一种安全理念，一种策略，它用彻底的身份验证和授权策略取代了对用户和设备的过度隐式信任。其本身不是一项技术。零信任的概念源自于Stephen Paul Marsh于1994年4月在斯特林大学发布的计算安全博士论文。Marsh对信任的深入研究认为，信任是一种有限的东西，可以用数学结构来描述，而不是简单的对抗或纯粹的人类现象。他还断言，信任的概念超越了道德、伦理、合法性、正义和判断等人为因素，在保护计算系统、应用程序和网络安全方面，零信任（zero trust）胜过（surpass）不信任（distrust）。

　　美国政府规划了三年时间落地，大概率是不够的。因此，善于跟风、热炒概念的贵圈需要慢下脚步，冷静冷静。

　　零信任的好处包括增强安全性、适应远程工作环境、适应云环境以及简化组织的安全架构。同样零信任方法面临诸多现实的挑战，零信任计划的范围，对强大身份系统的需求，持续的管理，对现有业务流程的影响 ，对软件硬件的需求，等等。零信任并非万无一失的策略，但它无疑将成为未来网络安全的发展方向。

　　零信任的优势

　　一是增强的安全性；采用零信任安全模型最明显的好处是改进了安全态势。这在一定程度上是因为转向零信任模式意味着获取并努力使用先进的安全工具和平台。例如，这些工具和平台可以包括IAM（identity and access management）、MFA （multi-factor authentication）和XDR （extended detection and response）。因此，一些组织已经以某种形式向零信任转变，事件报告提高了安全运营中心（SOC）的效率。更具体地说，根据ESG研究报告，43%的北美组织在实施零信任举措后，SOC效率得到了提高（来源：ESG研究报告，《零信任安全战略状态》，2021年4月）。SOC变得更加高效，因为它们使用的新安全工具（如XDR）在检测和报告安全事件方面具有更多的自动化功能。自动化接管了SOC团队耗时的任务。

　　二是简化安全架构，提升用户体验；采用高级安全工具的额外好处包括简化组织的安全体系结构。如果成功地做到了这一点，安全团队可以更容易地响应安全事件，甚至可以主动地保护组织的IT环境。强化终端用户的接入也有额外好处。不管（员工）在哪里，不管他们使用什么设备，他们都可以使用完成工作所需的东西。当你看到零信任网络访问（ZTNA）并将其范围扩大到包括所有类型的访问时，就会发现零信任是可行的。

　　三是适应远程工作和云计算；在COVID-19大流行期间，世界经历了前所未有的居家办公转变。远程工作将员工从组织的网络边界中拉出来，迫使组织考虑另一种方式来保护员工的联系。先前在网络范围内获得批准的实体被隐式信任的安全模型已经过时了。然而，许多组织最终被迫放弃它，采用一种新的分散的安全模型。一些组织采取的一种方法是扩大他们的VPN基础设施，以满足网络外围的大量员工的访问需求。然而，这种做法代价昂贵的。去中心化模型的零信任方法引入了安全工具，这些安全工具并不隐含地信任任何实体，无论其声誉或可信度如何。

　　支持零信任模型的安全工具对访问组织网络、数据、应用程序和资源的人员进行彻底的身份验证，然后继续验证身份。使用加密连接的员工可以访问他们工作所需的应用程序和数据，从而降低了对组织的危害风险。公有云的使用在组织中变得越来越普遍。零信任的方法可以确保任何试图连接到组织云基础设施的行为都是合法的。

　　以私有数据中心为中心的零信任模型与以云为中心的零信任模型之间的主要区别在于传输的方向和安全工具的存放位置。在最理想的场景中，流向组织私有数据中心的流量不会先流向云，然后再返回到数据中心。因此，如果员工的大部分流量都流向了私人数据中心，那么安全工具也很可能存放在那里。如果大部分流量都流向云，那么安全工具驻留在云上就更有意义了。虽然如果一个组织使用基于云的安全服务来支持其零信任状态，但流量更有可能通过云，而不是将服务驻留在私有数据中心。在多云的用例中，很难让一个提供商的云中的安全服务与另一个提供商的云中的安全服务进行互操作。

　　然而，零信任也带来了一系列挑战，理解这些挑战对于确保有效实施非常重要。

　　零信任的主要挑战

　　一是零信任安全并不是一个万能的解决方案；实现零信任安全并不意味着部署单一的技术或解决方案。相反，它是对企业网络安全方法的重新构建。为了实现零信任的环境，需要采取全面的方法并从头开始。这里最大的障碍是，可能会在组织保护中留下隐藏的漏洞——特别是如果组织正在替换遗留的安全解决方案。

　　如果锁定组织的网络就像打开一个零信任安全开关一样简单，那就太棒了。但现实是，需要引入一种新的安全模型。这意味着识别用户和设备、部署监控工具、设置访问控制等等措施的落实。除此之外，还需要安全的硬件和软件，以确保部署和管理工作的安全。

　　二是零信任计划的范围；零信任网络访问（zero -trust network access, ZTNA）是支持零信任的比较知名的技术之一。顾名思义，ZTNA的安全部门以网络为重点。关注网络是有意义的，因为过度的隐式信任历来是基于边界的网络安全。网络不是一个组织的IT环境和系统的全部。组织还需要考虑它们的应用程序和生成的相关数据。在组织的其他领域中也有应用程序开发来支持其业务。这是一个非常大的范围，也是为什么要花几年时间才能完全实现零信任。这也是为什么组织倾向于从一个用例开始，比如远程工作，然后系统地通过业务的不同领域移动。

　　Gartner的分析师强调，需要优先考虑组织开始部署零信任的地方，以避免被必须确保的一切范围所压倒。ESG表示，“不管目前的零信任状态如何，40%的受访者表示，他们的组织在过去的某个时候暂停或放弃了一个项目。”ESG的报告显示，37%的零信任项目因为项目变得太复杂而被暂停或放弃。

　　三是需要一个强大的身份系统；对于零信任的安全态势来说，最关键的安全技术之一是身份系统。这些系统通常是IAM工具的一部分。身份系统是对用户或设备进行身份验证，并向安全工具套件的其余部分证明实体就是它所声称的那样。安全工具使用用户或设备的标识作为策略的参考点，这些策略确定实体在IT环境中具有多少访问权限以及它可以访问什么资源。身份会受到攻击，比如在SolarWinds事件中，当坏人进入时，他们会攻击身份系统。如果将这种自适应信任模型转变为以身份为中心，那么坏人就会开始攻击身份。

　　四是部署零信任模型后的剩余安全风险；“零信任”这个词其实有点误导人。它并不是不要信任。如果一个组织拥有绝对的零信任，那么用户和非用户设备将无法访问任何资源、应用程序或数据。在某一点上，实体被授予一定程度的信任，相信它们是谁或它们所说的东西，并且实体不会受到损害。即使这样，这种信任仍然可能被背叛。风险总是存在的，但是在保持IT系统安全方面，零信任模型比任何形式的隐式信任要有效得多。内部威胁仍然是零信任安全应用之后中的一个挑战。

　　五是零信任安全需要持续的管理；由于零信任安全是一种方法（或者可以称之为一种思维方式），因此需要持续的管理来确保持续的保护。尽管它确实在分布式网络上提供了强化的安全性，但零信任安全性不是一种“设置它就忘记它”的方法。许多安全专业人员还是低估了实现零信任环境所需的时间和精力。业务从内到外都在不断变化，无论是员工获得不同的职责，还是添加新的站点、员工和客户帐户。网络安全需要持续的管理，以确保所有这些活动都是安全的。假设最近采用了零信任模型，但最新的部署包括带有过时和易受攻击固件的硬件。或者，组织的一位客户遭遇了数据泄露，突然需要保护他们的账户不受黑客攻击。在零信任的情况下，需要确保你的设备被正确地打了补丁并且是安全的，需要有监控工具来捕获恶意活动。

　　六是平衡对生产效率的影响；零信任安全的另一个挑战是潜在的生产力损失。在某种程度上，这个障碍与需要持续管理的挑战同时出现。因为零信任为大多数工作流程增加了额外的安全层，所以它有时会成为生产率的障碍。安全策略只有在支持和保护企业的工作时才有效，否则它们就会成为员工试图绕过的障碍。在保持强大的网络安全态势的同时，还必须保持生产力，而找到这种平衡是零信任方法的核心原则。避免生产率缺陷的最简单方法是采用由零信任和遗留系统组成的混合安全环境，直到完全过渡到零信任。沟通和敏捷性对于零信任的实现至关重要。采用这些新的安全实践和工具将影响到每个人，因此您的团队应该与流程中每一步的预期保持一致。

　　七是零信任安全要求硬件安全；许多专用设备都带有某种形式的内置保护措施。然而，实现零信任安全框架的一部分涉及保护硬件。这意味着修补和更新你现有的设备，或者完全部署新的设备。如果不锁定组织的资产，包括组成基础设施的物理设备，那么组织将继续受到攻击。部署硬件时，可能在运输过程中丢失或被盗。一旦安装和设置好，攻击也可能来自现场，通过额外的硬件/软件集成，或通过组织的网络。通过选择具有可信CPU的硬件来对抗这些漏洞，以期维护系统的完整性。这意味着安全引导、签名操作系统和受信任平台模块等功能可以在最低级别保护组织。

　　八是零信任安全需要灵活的软件；随着安全解决方案在组织的网络中扩展，管理所有可能出现的问题时必然遇到各种挑战。每个供应商都有自己独特的工具和UI，并且在特性、功能和集成方面都有不同的限制。全面的管理软件让组织在控制某些解决方案方面大有作为。还需要灵活的软件，能够在一个简化的UI下将所有内容组合在一起。考虑组织需要管理的所有内容，如用户角色、访问权限、防火墙设置、设备固件等。零信任安全是一种包罗万象的方法，它为您提供了更多的保护，但也需要付出更多的努力。这就是为什么使用灵活的、能够适应第三方解决方案的软件是很重要的，不管厂商是什么。无论组织网络上部署了哪种供应商解决方案，独立于供应商的云平台都可以为组织提供对解决方案层和基础设施层的安全远程访问。

　　零信任的落地探索之路才刚刚开始，其面临的挑战远远不止上述八个方面。从技术演进层面看，既然它与信任和云密切相关，那信任的级别、信任算法、资源的分类、厂商的锁定、互操作性等等问题都将成为障碍。或许更大的挑战不是零信任解决方案有多先进，而是组织现有的技术、流程、人员、文化转变认知和思维方式的难度有多大。千人千面，不可能有标准化的解决方案。这也决定了零信任理念和方法的落地，必然是一场人力、资源、金钱、时间的持久消耗战。