零信任是John Kindervag在Forrester Research擔(dān)任分析師時(shí)創(chuàng)造的一個(gè)術(shù)語(yǔ)，用于描述一個(gè)戰(zhàn)略框架，在該框架中，默認(rèn)情況下網(wǎng)絡(luò)上的任何內(nèi)容都不受信任 - 不是設(shè)備，不是最終用戶，不是進(jìn)程。一切都必須經(jīng)過身份驗(yàn)證、授權(quán)、驗(yàn)證和持續(xù)監(jiān)控。

傳統(tǒng)的安全方法基于“信任，但驗(yàn)證”的概念。這種方法的弱點(diǎn)是，一旦某人通過身份驗(yàn)證，他們就被認(rèn)為是受信任的，并且可以橫向移動(dòng)以訪問本應(yīng)禁止的敏感數(shù)據(jù)和系統(tǒng)。

零信任原則將其更改為“從不信任，始終驗(yàn)證”。零信任體系結(jié)構(gòu)的目的不是使系統(tǒng)受信任或安全，而是完全消除信任的概念。零信任安全模型假定攻擊者始終存在于環(huán)境中。信任從來(lái)不是無(wú)條件或永久授予的，而是必須不斷評(píng)估的。4G工業(yè)路由器

零信任方法的開發(fā)是對(duì)多年來(lái)如何訪問企業(yè)資產(chǎn)、資源和數(shù)據(jù)的傳統(tǒng)方法的回應(yīng)。在計(jì)算的早期，公司能夠通過使用防火墻和其他安全技術(shù)來(lái)保護(hù)他們的數(shù)據(jù)，這些技術(shù)在數(shù)據(jù)周圍建立一個(gè)“安全邊界”。就像中世紀(jì)的城墻一樣，這些技術(shù)有助于保護(hù)內(nèi)部的東西（大部分）。

但隨著員工、承包商和業(yè)務(wù)合作伙伴開始遠(yuǎn)程工作，邊界很快就發(fā)生了變化——通過基于云的網(wǎng)絡(luò)或使用個(gè)人擁有的設(shè)備訪問資源，而這些設(shè)備并不總是被驗(yàn)證為完全安全的。此外，物聯(lián)網(wǎng)（IoT）設(shè)備的部署有所增加，這些設(shè)備通常可以自動(dòng)訪問網(wǎng)絡(luò)資源。

為了允許員工訪問網(wǎng)絡(luò)資源，零信任體系結(jié)構(gòu)需要多種技術(shù)的組合，包括身份管理、資產(chǎn)管理、應(yīng)用程序身份驗(yàn)證、訪問控制、網(wǎng)絡(luò)分段和威脅情報(bào)。

零信任的平衡行為是在不犧牲用戶體驗(yàn)的情況下增強(qiáng)安全性。經(jīng)過身份驗(yàn)證和授權(quán)后，用戶將被授予訪問權(quán)限，但只能訪問執(zhí)行其工作所需的資源。如果設(shè)備或資源遭到入侵，零信任可確?？梢钥刂茡p害。

對(duì)于許多公司來(lái)說(shuō)，好消息是他們可能已經(jīng)投資了幾種零信任支持技術(shù)。在采用零信任方法時(shí)，公司更有可能需要采用和實(shí)施新策略，而不是安裝新硬件。

ZTNA 的基本概念是什么？

在開始部署零信任體系結(jié)構(gòu)之前，整個(gè)公司必須遵循幾個(gè)基本規(guī)則，以使系統(tǒng)正常工作。

- 所有數(shù)據(jù)源、計(jì)算服務(wù)和設(shè)備都被視為資源。如果員工擁有的設(shè)備可以訪問企業(yè)擁有的資源，則即使員工擁有的設(shè)備也必須被視為資源。

- 無(wú)論網(wǎng)絡(luò)位置如何，都應(yīng)保護(hù)所有通信。網(wǎng)絡(luò)內(nèi)的設(shè)備和用戶與網(wǎng)絡(luò)邊界外的設(shè)備和用戶一樣不可信。

- 按會(huì)話授予對(duì)資源的訪問權(quán)限，并具有完成任務(wù)所需的最低權(quán)限。對(duì)一個(gè)資源的身份驗(yàn)證不會(huì)自動(dòng)授予對(duì)另一個(gè)資源的訪問權(quán)限。

- 對(duì)資源的訪問是通過動(dòng)態(tài)策略確定的，該策略包括客戶端標(biāo)識(shí)、應(yīng)用程序的狀態(tài)，并可能包括其他行為和環(huán)境屬性。

- 企業(yè)必須監(jiān)控和衡量所有自有資產(chǎn)和相關(guān)資產(chǎn)的完整性和安全狀況。需要持續(xù)診斷和緩解 （CDM） 或類似系統(tǒng)來(lái)監(jiān)視設(shè)備和應(yīng)用程序。補(bǔ)丁和修復(fù)需要快速應(yīng)用。發(fā)現(xiàn)具有已知漏洞的資產(chǎn)可以與被視為處于最安全狀態(tài)的設(shè)備或資產(chǎn)區(qū)別對(duì)待（包括拒絕連接）。

- 在允許訪問之前，將嚴(yán)格執(zhí)行身份驗(yàn)證和授權(quán)，并且可能會(huì)發(fā)生變化。一天的授權(quán)并不保證第二天的授權(quán)。

- 組織需要收集盡可能多的有關(guān)其資產(chǎn)、網(wǎng)絡(luò)基礎(chǔ)設(shè)施、通信、最終用戶和設(shè)備的當(dāng)前狀態(tài)的信息，以改善其安全狀況。只有有了這些見解，才能創(chuàng)建、實(shí)施和改進(jìn)策略。

如何實(shí)現(xiàn)零信任

一旦理解并應(yīng)用了這些原則，公司就可以開始實(shí)施零信任策略。這包括以下五個(gè)步驟：

確定需要保護(hù)的資源。術(shù)語(yǔ)各不相同——有人稱之為“保護(hù)表面”，有人稱其為“隱性信任區(qū)”。但它基本上是一個(gè)明確定義的區(qū)域，其中將發(fā)生零信任流程，這取決于業(yè)務(wù)及其需求。優(yōu)先考慮保護(hù)區(qū)可以保持這些區(qū)域較小，至少在最初是這樣。

映射這些資源的事務(wù)流。公司需要確定誰(shuí)通常需要訪問這些資源、他們?nèi)绾芜B接以及他們使用哪些設(shè)備進(jìn)行連接。

構(gòu)建體系結(jié)構(gòu)。這包括添加允許或拒絕訪問這些受保護(hù)資源的組件。

創(chuàng)建一個(gè)零信任策略，指示用戶角色、授權(quán)以及用戶進(jìn)行身份驗(yàn)證的方式（多重身份驗(yàn)證是必備條件）。

監(jiān)控和維護(hù)系統(tǒng)，根據(jù)需要進(jìn)行更改和改進(jìn)。

什么是零信任體系結(jié)構(gòu)？

將資源標(biāo)識(shí)為受保護(hù)后，公司需要設(shè)置“檢查點(diǎn)”，負(fù)責(zé)決定允許或拒絕訪問。有三個(gè)主要組件，基于 NIST 在 2020 年 8 月的零信任架構(gòu)文檔中創(chuàng)造的術(shù)語(yǔ))

策略引擎 （PE）。 策略引擎 （PE） 負(fù)責(zé)做出授予或拒絕對(duì)資源的訪問權(quán)限的決定。它通常根據(jù)企業(yè)策略做出決策，但也從外部來(lái)源（包括CDM系統(tǒng)，威脅情報(bào)服務(wù)）和信任算法獲得輸入。做出決定后，將記錄該決策，策略管理員將執(zhí)行該操作。

策略管理員 （PA）： PA 負(fù)責(zé)建立或關(guān)閉請(qǐng)求者（人或機(jī)器）和資源（數(shù)據(jù)、服務(wù)、應(yīng)用程序）之間的通信路徑。PA 可以生成特定于會(huì)話的身份驗(yàn)證（或使用令牌、憑據(jù)、密碼）作為其過程的一部分。如果授予請(qǐng)求，PA 將配置策略實(shí)施點(diǎn) （PEP） 以允許會(huì)話啟動(dòng)。如果請(qǐng)求被拒絕，PA 會(huì)告訴 PEP 關(guān)閉連接。

策略實(shí)施點(diǎn) （PEP）： PEP 啟用、監(jiān)視并最終終止請(qǐng)求者和資源之間的連接。它與 PA 通信以轉(zhuǎn)發(fā)請(qǐng)求，以及從 PA 接收策略更新。

其他系統(tǒng)可以提供輸入和/或策略規(guī)則，包括 CDM 系統(tǒng)、行業(yè)合規(guī)系統(tǒng)（確保這些系統(tǒng)與監(jiān)管機(jī)構(gòu)保持一致）、威脅情報(bào)服務(wù)（提供有關(guān)新識(shí)別的惡意軟件、軟件缺陷或其他報(bào)告的攻擊的信息）、網(wǎng)絡(luò)和系統(tǒng)活動(dòng)日志以及身份管理系統(tǒng)（跟蹤更新的角色、分配的資產(chǎn)、 和其他屬性）。

其中許多系統(tǒng)將數(shù)據(jù)饋送到信任算法中，該算法有助于對(duì)訪問網(wǎng)絡(luò)資源的請(qǐng)求做出最終決策。信任算法將來(lái)自請(qǐng)求者的數(shù)據(jù)以及許多其他指標(biāo)視為其決策的一部分。問題示例包括但不限于：

這個(gè)人是誰(shuí)？是真人還是機(jī)器？（物聯(lián)網(wǎng)傳感器，例如）

他們以前要求過這個(gè)嗎？

他們使用什么設(shè)備？

操作系統(tǒng)版本是否已更新和修補(bǔ)？

請(qǐng)求者位于何處？（國(guó)內(nèi)、海外等）

此人是否有權(quán)查看此資產(chǎn)？

ZTNA 的部署方案

 每家公司都是不同的，因此他們處理零信任的方式會(huì)有所不同。以下是一些常見方案：

擁有衛(wèi)星辦公室的企業(yè)。員工在遠(yuǎn)程位置工作或遠(yuǎn)程工作人員的公司可能需要將 PE/PA 作為云服務(wù)托管。這提供了更好的可用性，并且不需要遠(yuǎn)程工作人員依賴企業(yè)基礎(chǔ)架構(gòu)來(lái)訪問云資源。在此方案中，最終用戶資產(chǎn)將具有已安裝的代理，或者將通過資源門戶獲得網(wǎng)絡(luò)訪問權(quán)限。

多云或云到云企業(yè)： 使用多個(gè)云提供商的公司可能會(huì)看到應(yīng)用程序托管在獨(dú)立于數(shù)據(jù)源的云服務(wù)上的情況。在這種情況下，托管在一個(gè)云中的應(yīng)用程序應(yīng)該能夠直接連接到第二個(gè)云中的數(shù)據(jù)源，而不是強(qiáng)制應(yīng)用程序通過企業(yè)網(wǎng)絡(luò)隧道返回。在這種情況下，PEP 將放置在每個(gè)應(yīng)用程序/服務(wù)和數(shù)據(jù)源的訪問點(diǎn)上。這些可以位于云服務(wù)中，甚至可以位于第三個(gè)云提供商中?？蛻艨梢灾苯釉L問 PEP，企業(yè)能夠管理訪問權(quán)限。這里的一個(gè)挑戰(zhàn)是不同的云提供商有自己的方法來(lái)實(shí)現(xiàn)相同的功能。

具有承包商或非員工訪問權(quán)限的企業(yè)： 對(duì)于需要有限訪問權(quán)限的現(xiàn)場(chǎng)訪客或簽約服務(wù)提供商，零信任架構(gòu)還可能將 PE 和 PA 部署為托管云服務(wù)，或在 LAN 上部署（如果很少或不使用云托管服務(wù)）。PA確保非企業(yè)資產(chǎn)無(wú)法訪問本地資源，但可以訪問Internet，以便訪問者和承包商能夠工作。

零信任挑戰(zhàn)

除了與從隱式信任遷移到零信任相關(guān)的一些遷移問題外，安全領(lǐng)導(dǎo)者還應(yīng)考慮其他幾個(gè)問題。首先，必須正確配置和維護(hù) PE 和 PA 組件。對(duì) PE 規(guī)則具有配置訪問權(quán)限的企業(yè)管理員可能能夠執(zhí)行未經(jīng)批準(zhǔn)的更改或犯可能中斷操作的錯(cuò)誤。受損的 PA 可能允許訪問否則不會(huì)批準(zhǔn)的資源。必須正確配置和監(jiān)視這些組件，并且必須記錄任何更改并進(jìn)行審核。

其次，由于 PA 和 PEP 正在為資源的所有訪問請(qǐng)求做出決策，因此這些組件容易受到拒絕服務(wù)或網(wǎng)絡(luò)中斷攻擊。對(duì)決策過程的任何干擾都可能對(duì)公司的運(yùn)營(yíng)產(chǎn)生不利影響。策略實(shí)施可以駐留在適當(dāng)安全的云環(huán)境中，也可以復(fù)制到不同的位置以幫助降低此威脅，但它并不能完全消除威脅。

第三，被盜的憑據(jù)和惡意的內(nèi)部人員仍然會(huì)對(duì)公司的資源造成損害。但是，正確開發(fā)和實(shí)現(xiàn)的零信任體系結(jié)構(gòu)將限制這種方法造成的損害，因?yàn)橄到y(tǒng)能夠確定誰(shuí)在發(fā)出請(qǐng)求以及請(qǐng)求是否正確。例如，監(jiān)控系統(tǒng)將能夠檢測(cè)看門人的被盜憑據(jù)是否突然嘗試訪問信用卡號(hào)數(shù)據(jù)庫(kù)。

第四，安全官員需要確保采用零信任策略不會(huì)造成大量的安全疲勞，在這種疲勞中，用戶不斷被要求提供憑據(jù)、密碼和操作系統(tǒng)補(bǔ)丁檢查，最終會(huì)對(duì)生產(chǎn)力產(chǎn)生負(fù)面影響。在這里，需要在員工和承包商完成工作的能力與確保他們不是攻擊者之間取得平衡。