2020年，在安全方面，零信任的火熱有目共睹。

在如今企業(yè)攻防演練，遠程辦公、移動(dòng)辦公等的實(shí)際需求日益增多，VPN在訪(fǎng)問(wèn)控制、數據保護上已無(wú)法滿(mǎn)足企業(yè)的安全需求，零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)在遠程辦公和多云訪(fǎng)問(wèn)等場(chǎng)景中發(fā)揮了更安全高效的作用。

2010年，約翰·金德維格提出零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)（Zero-Trust Network Access，簡(jiǎn)稱(chēng)“ZTNA”），認為傳統基于邊界的網(wǎng)絡(luò )安全架構存在風(fēng)險，可信的內部網(wǎng)絡(luò )充滿(mǎn)威脅，信任是致命的風(fēng)險。

在業(yè)界廠(chǎng)商大力跟進(jìn)零信任領(lǐng)域，如微軟、亞馬遜、Cyxtera、國內各安全廠(chǎng)商等，零信任解決的是什么？有人說(shuō)它是新的邊界，是保護數據，身份認證的新技術(shù)階段發(fā)展，亦或是替代VPN的安全新工具......美國國家標準與技術(shù)研究院NIST于2020年8月發(fā)布零信任架構ZTA的正式標準，ZTA標準的出臺迅速得到了業(yè)內的高度認可，成為零信任領(lǐng)域的權威標準。

標準對零信任架構ZTA的定義如下：利用零信任的企業(yè)網(wǎng)絡(luò )安全規劃，包括概念、思路和組件關(guān)系的集合、旨在消除在信息系統和服務(wù)中實(shí)施精準訪(fǎng)問(wèn)策略的不確定性。該標準強調安全防護應該圍繞著(zhù)資源（數據、負載、應用等），零信任適用于一個(gè)組織內部或與合作伙伴協(xié)助完成的工作環(huán)境，并非常詳細地描述了零信任架構的邏輯組件。

可以看出，零信任架構中的眾多組件并不是新的技術(shù)或產(chǎn)品，而是按照零信任理念形成的一個(gè)面向用戶(hù)、設備和應用的完整端對端安全解決方案。

零信任架構圖

而從上面的架構圖得出，零信任安全架構體系它解決的是訪(fǎng)問(wèn)主體到客體的安全問(wèn)題，主要是跟訪(fǎng)問(wèn)控制、邊界隔離的問(wèn)題相關(guān)。在移動(dòng)和云化的時(shí)代，零信任幫助企業(yè)構建一個(gè)虛擬的企業(yè)邊界，利用基于身份的訪(fǎng)問(wèn)控制，來(lái)應對邊界模糊化帶來(lái)的粗粒度控制問(wèn)題。

●訪(fǎng)問(wèn)主體包括設備和用戶(hù)，不再是以前單純只看用戶(hù)。在如今流動(dòng)的世界中，數據、身份訪(fǎng)問(wèn)和管理、安全分析等也必須和用戶(hù)等綁在一起。

●訪(fǎng)問(wèn)客體包括企業(yè)資源，業(yè)務(wù)服務(wù)器等。訪(fǎng)問(wèn)主體與客體是邊界隔離的，用戶(hù)不可直接訪(fǎng)問(wèn)這些資源，這也就涉及到訪(fǎng)問(wèn)授權的問(wèn)題。

在零信任的訪(fǎng)問(wèn)過(guò)程中，隨著(zhù)安全技術(shù)的發(fā)展，網(wǎng)絡(luò )中存在的設備、數據和應用程序等逐漸增多，成為了進(jìn)入到網(wǎng)絡(luò )中的各個(gè)端點(diǎn)，零信任及其預防為主的方法會(huì )先擴展到對于企業(yè)端點(diǎn)安全能力的加強。

在2020年9月16日舉行的“TechNet網(wǎng)絡(luò )研討會(huì )”上顯示了美國國防部網(wǎng)絡(luò )架構和網(wǎng)絡(luò )安全架構的演變過(guò)程，在2020年代中展現為云優(yōu)先，用戶(hù)/端點(diǎn)無(wú)處不在的場(chǎng)景，圖中的SDP環(huán)是對國防部計劃實(shí)施零信任的解釋?zhuān)瑫r(shí)也說(shuō)明了，對于端點(diǎn)的管理是零信任計劃的重要一步。

另外一個(gè)例子我們以谷歌BeyondCorp項目為例。2009年“極光行動(dòng)”席卷全球使得Google意識到并開(kāi)啟了全新的“零信任”概念，從而誕生了BeyondCorp項目。在這個(gè)方案中，Google做的第一件事就是了解公司的人員與設備情況。據了解，Google的零信任安全架構涉及復雜的庫存管理，記錄具體誰(shuí)擁有網(wǎng)絡(luò )里的哪臺設備。設備庫存服務(wù)來(lái)從多個(gè)系統管理渠道搜集每個(gè)設備的各種實(shí)時(shí)信息，比如活動(dòng)目錄(Active Directory)或Puppet。

強有力的端點(diǎn)安全防護對企業(yè)零信任架構的整體規劃會(huì )起到很好的指導和借鑒，對搭建零信任的主要組件會(huì )有一個(gè)更穩固的基礎，同時(shí)我們要明白零信任并不是對傳統技術(shù)的拋棄，而是一種新的替換或者組合，對于企業(yè)現有的NAC、EPP、EDR、DLP、IAM等安全建設，零信任可無(wú)縫替換或者接入新的架構，實(shí)現傳統安全建設與零信任的無(wú)縫融合。在Gartner 2020 ZTNA市場(chǎng)指南中指出，企業(yè)在考慮零信任時(shí)，需要充分評估零信任廠(chǎng)商對異構終端的統一管理能力，如下圖所示。

圖 Gartner 2020 ZTNA市場(chǎng)指南

在網(wǎng)絡(luò )體系中，端點(diǎn)安全保護和收集有關(guān)端點(diǎn)上發(fā)生的活動(dòng)的數據，為了有效應對高級威脅，端點(diǎn)安全必須加強。而網(wǎng)絡(luò )安全各個(gè)系統的集成同樣也是保障企業(yè)整體安全，并會(huì )成為整個(gè)安全體系結構中實(shí)現零信任模型的重要一步。零信任架構是從一個(gè)整體入手，以統一的視角來(lái)幫助企業(yè)看待和建設網(wǎng)絡(luò )安全體系建設。零信任架構的搭建需從設備、身份、信譽(yù)、行為等多維度展開(kāi)，結合到文中表達的主要思想，怎么樣的端點(diǎn)安全對于構建企業(yè)零信任架構才是成功的？

下篇詳解，未完待續~