干货 | 零信任从入门到精通(壹)

零信任

Zero Trust

如果要挑选安全行业热词，那么“零信任”是当仁不让的首选。数字化转型加速，网络复杂化、业务多样化、数据频繁流动，为应对新IT时代的网络安全挑战，零信任安全应运而生。无论是市场还是行业内，零信任都炙手可热。那么零信任是什么？零信任又有什么特别之处呢？

接下来，奇安信身份安全实验室将为您带来《零信任从入门到精通》，一问一答带您了解零信任安全。

Q1: 什么是零信任？

零信任架构提供一系列概念、理念、组件及其交互关系，以便消除针对信息系统和服务进行精准访问判定所存在的不确定性。零信任的本质是以身份为基石的动态访问控制。NIST《零信任架构》标准中给出的定义是：“零信任（Zero trust，ZT）提供了一系列概念和思想，旨在面对被视为受损的网络时，减少在信息系统和服务中执行准确的、按请求访问决策时的不确定性。零信任架构（ZTA）是利用一个企业网络安全计划，它利用零信任概念，包括组件关系、工作流规划和访问策略”。实现零信任架构可以用到多种技术，其中包括身份认证、身份管理、权限管理（权限管理就设计到从DAC、MAC、RBAC到ABAC等演化），还包括行为分析、信任评估等各种能力，是一套逻辑组件的有效联动。

Q2

为什么要使用零信任架构？

因为传统的基于边界的网络安全架构无法满足今天复杂的网络、业务多样化、数据频繁流动等场景；云计算、移动互联等技术的采用让企业的人、业务、数据“走”出了企业的边界；大数据、物联网等新业务的开放协同需求导致了外部人员、平台和服务“跨”过了企业的数字护城河，流动的动态数据资产其安全性难度再度加大；内外部威胁愈演愈烈，数据泄露触目惊心。零信任架构正是在这种背景下诞生的，适用于云大物移时代，可以有效缓解IT环境日益复杂所带来的安全挑战。

Q3：零信任有什么优势吗？

企业IT环境移动化、云化后，发起访问的用户、用户访问的资产可能都不在原本所划好的物理范围内，原本偏静态的映射关系很难支撑新业务场景的需要。零信任是一种以资源保护为核心的网络安全范式，其前提是信任从来不是隐式授予的，而是必须不断地进行评估。零信任不仅考虑物理位置，也消解了原本预置内网中的信任，通过动态评估用户、设备、应用的方式来判断。零信任既能为现有的基础架构增加安全特性，也为未来数据化转型提供架构层优势。

Q4

零信任安全边界和传统的安全边界有什么异同？

传统的安全边界是基于网络的物理边界；零信任构建的是基于身份的动态逻辑虚拟边界，或简称身份边界。

传统的基于边界的网络安全架构某种程度上假设或默认了内网是安全的，认为安全就是构筑企业的数字护城河。通过防火墙、WAF、IPS等边界安全产品或方案对企业网络出口进行重重防护而忽略企业内网的安全。零信任安全针对传统边界安全架构思想进行了重新评估和审视。零信任的技术本质是以身份为基石的动态访问控制，其主要是将安全能力内嵌入业务体系，构建自适应的内生安全机制。

Q5：是否可以将零信任理解为升级版的VPN？又或是升级版的WAF+IPS+防火墙+态势感知一体机？

首先，建议从安全架构层面理解零信任。零信任是一种新型的网络安全架构，可以从零开始建设，也可以在现有的基础设施之上构建新的安全防护机制。零信任与传统的安全设施主要区别之一是确保控制平面与数据平面分离，同时所有的访问都是基于身份的，默认情况下业务隐藏，通过持续信任评估，对用户访问权限进行动态调整。其部属形态也应结合业务的实际情况进行相应调整。

Q6

迁移到零信任以后，是不是防火墙、IPS等产品就不用了？

零信任的技术本质是以身份为基石的动态访问控制，其主要价值为将安全能力内嵌入业务体系，构建自适应的内生安全机制。但并不是说不再需要传统防火墙、WAF、IPS等边界安全产品。实际上，零信任与传统安全架构更多是互补关系而非对立关系，需要和多产品联动实现更统一更易用的安全体系.

Q7：如何实现零信任落地？使用什么技术比较合适？

零信任是一种技术架构和理念，并非一种单一技术手段。在Forrester的相关报告中，也建议从能力、技术、特性等不同粒度的视角来理解零信任。零信任的核心能力包括：以身份为基石、业务安全访问、持续信任评估和动态访问控制。涉及的技术非常非常多，包括身份管理、权限管理、多因子认证、授权、信任评估、高性能代理、端口隐藏、用户行为分析、终端安全管理、移动安全管理、身份联动……等等，不胜枚举。这些技术可以包含在一些标准组件中，例如，可信应用代理、可信API代理、可信访问控制台、身份分析系统、智能身份管理系统、可信终端环境感知、可信网络环境感知等。

Q8

零信任和软件定义边界（SDP）有什么关系吗？

一般而言，SDP是零信任访问场景的一种实现方案。SDP可覆盖用户访问业务场景，但在API安全、数据交换、东西向流量适用性不高。从整个安全性闭环来讲，缺少可持续信任评估和动态访问控制，无法形成真正安全上的闭环。零信任作为一种安全体系架构，可覆盖的场景更多，能力定义更全面，具体内容可参考对比SDP技术规范和NIST的《零信任架构》标准。

Q9：总说零信任是以身份为基石的，那么它和4A、IAM等有什么异同吗？

零信任架构技术本质是访问主体和客体之间构建以身份为基石的动态访问控制机制，是一种安全架构，而4A、IAM是身份安全的具体实现技术或组件，也是零信任需要的技术组件之一，可对应零信任架构的“身份安全基础设施”。

Q10

零信任包含哪些身份安全基础设施呢？

身份基础设施主要包含身份管理、权限管理、认证和治理服务等。目前常见主要有AD、LDAP、IAM、4A、PKI等。在做迁移时，零信任架构可以与企业已有的身份基础设施对接，从而减少投入。

通过上述问答，我们了解到零信任是以身份为基石的动态访问控制，通过持续业务评估来实现业务安全访问。零信任是一种网络安全架构、理念，并不是单一的产品或技术。

这一期的《零信任从入门到精通》主要解释了一些概念性和理解性的问题，下一期我们将聚焦技术类问题继续了解零信任，敬请期待。