如果童話故事里的小紅帽懂“零信任”，還會被大灰狼吃掉嗎？

假設童話故事里有“零信任”，一切都將不同。首先，小紅帽在路上遇到大灰狼的時候，“零信任”會在關鍵時期，給小紅帽預警風險，同時會加固外婆的房子，如增加圍欄、鎖、防盜門等，不會讓大灰狼那么容易進入房子。其次，“零信任”可以通過各種技術手段，幫助小紅帽識破偽裝成外婆的大灰狼。

A

零信任是何許人也？

童話故事里的“零信任”是假設，在現實中則是站在移動互聯網基礎新形勢下的新安全理念。零信任將成為未來網絡安全的主流架構，企業 IT 安全建設的必然選擇。

網絡安全發展幾十年，人們說到網絡安全，想到的是VPN、防火墻、殺毒軟件、漏洞掃描和網絡入侵檢測等等。而零信任到底是什么？怎么就成了網絡安全的熱門詞？我們以三只小豬的童話故事來解答以上問題。

大灰狼看到三只小豬，就像黑產看到了企業可竊取的巨大利益，大灰狼（黑產）通過各種手段來攻破房子（企業業務系統），進而吃掉三只小豬（竊取利益）。三只小豬的房子堅固度，就像是企業的安全防護手段。現實中，企業會在房子外面增加圍欄、門鎖、防盜門等措施加固房子，防止房子被物理破壞。而黑產可以通過收買“壞豬”來打開房門，還可以偽裝成“豬媽媽”進入房子。

如果三只小豬懂“零信任”，他們可以通過判斷誰是“壞豬”、識破冒牌“豬媽媽”來保護自己，防止大灰狼進入房子；當然即便大灰狼經過很好的偽裝進入了房子，也可以通過不間斷分析監督，在不同的風險程度時，采取不同的處置手段，若風險程度較高，便可直接驅逐來斷絕風險。

由此可以看出，零信任不是單一的產品、技術能夠實現的，企業也不可能通過單一的產品和技術一步到位的將原業務系統改為零信任架構。

市場上主流的零信任理念觀點

在介紹目前市場上主流的零信任之前，先科普下邊界概念是什么？邊界即執行安全控制的載體。在三只小豬故事里，房子是他們的安全邊界，攻破了房子就會被吃掉。數字時代下的云計算、物聯網等新興技術的快速發展，企業傳統的以網絡作為邊界安全的架構正在逐漸失效，而不以邊界為信任條件，以“人”為核心的零信任安全更符合當下企業的業務安全需求。

從2004年耶利哥論壇提出去邊界化安全理念，到2010年“零信任之父”John Kindervag提出零信任網絡模型概念，至2020年零信任方案在多行業落地，并陸續推出零信任相關標準，零信任安全正在快速普及應用，將成為企業 IT 安全建設的必然選擇。

零信任即永不信任，始終驗證。默認情況下不信任網絡內部和外部的任何人/設備/系統，需要基于認證和授權重構訪問控制的信任基礎。

谷歌：讓每位谷歌員工都可以在不借助VPN的情況下通過不受信任的網絡順利開展工作

谷歌BeyondCorp計劃的目標是提高員工和設備訪問內部應用程序的安全性。谷歌認為傳統防火墻的保護效果變得不明顯，不如破除內外網實行統一，將所有應用部署在公網上，用戶不再需要通過VPN連接到內網，而是通過與設備為中心的認證、授權工作流，實現員工任何地點對資源的訪問。Google平等對待位于外部公共網絡和本地網絡的設備，默認均不會授予任何特權，準確識別設備、用戶，移除對網絡的信任，實現基于已知設備和用戶的訪問控制，并動態更新設備和用戶信息，從而保證用戶獲得流暢的資源訪問體驗。

Gartner：取代VPN，零信任不意味邊界的消失

Gartner將零信任網絡訪問（ZTNA）定義為產品和服務，它創建一個基于身份和上下文的邏輯訪問邊界，包括一個用戶和一個應用或一組應用程序。Gartner分析師認為，ZTNA增強了傳統VPN技術應用程序訪問能力，減少員工和合作伙伴之間需要的訪問信任。安全和風險管理領導人應試點ZTNA項目，或迅速擴大遠程訪問。

微軟：致力于搭建身份作為新的安全邊界

微軟通過強調身份驅動型安全解決方案，并專注于通過強身份驗證，消除密碼、檢驗設備健康狀態以及安全訪問公司資源來保護用戶身份。

NIST：零信任（ZT）&零信任架構（ZTA）

零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網絡環境已經被攻陷的前提下，當執行信息系統和服務中的每次訪問請求時，降低其決策準確度的不確定性。零信任架構（ZTA）則是一種企業網絡安全的規劃，它基于零信任理念，圍繞其組件關系、工作流規劃與訪問策略構建而成。

零信任安全帶來的實際社會價值

通過零信任安全體系架構的建設，以人工智能、大數據等技術與業務高度融合，能夠為企業提供多方面的實際社會價值有：

第一方面：能發現并解決由于身份信息泄露、冒用、盜用、特權賬號、賬號共享等等的身份欺詐風險。

第二方面：能發現并解決各類移動終端的安全風險，能解決網絡設備、服務器、wifi、vpn等等設備的二次認證，從而避免了各類型設備的欺詐風險。

第三方面：基于人工智能技術，通過連續認證實現動態行為監控，通過規則引擎來實現動態授權，通過機器學習引擎來發現新的風險，從而能夠實時的發現并解決用戶的行為風險。

第四方面：兼容移動互聯網、物聯網、5G等等新興應用場景，為企業的新時期信息化建設或信息化數字轉型提供有效的安全保障。

需以“人”為核心實現零信任安全

芯盾時代認為，零信任體系的目標是建立一個不依賴于城墻和壕溝的防御體系，基于用戶身份、位置，相關業務數據、管理數據等各種信息的相互關系，場景匹配等各種微分化的情況來判斷、確定以及響應訪問的合法性。在移動互聯網時代，應從設備、身份和行為等維度入手，持續驗證“人”是否可信，并根據狀態進行及時處置，實現身份/設備管控、持續認證、動態授權、威脅發現與動態處理的閉環操作，保障企業業務場景的動態安全。

零信任安全是在網絡發展的歷程中由需求逐步產生的，它的出現重構了以身份為信任的安全防護機制，對數字時代的發展浪潮中網絡核心價值點-“人”進行全方位的安全防護。

原文標題：童話故事里的“零信任”

文章出處：【微信公眾號：芯盾時代】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq