“零信任”自從2010年被Forrester分析師約翰·金德維格正式提出到現(xiàn)在已有十年的歷史，在這十年中“零信任”一直都是安全圈內眾人不斷爭議和討論的對象，有人說它將是網(wǎng)絡安全發(fā)展的必然產(chǎn)物，也有人說這種理念難以實現(xiàn)。無論“零信任”如何飽受爭議，但事實證明隨著相關技術的發(fā)展它都已然成為當下企業(yè)最好的選擇。

　　研究人員說： “我們估計，這份報告中披露的戰(zhàn)役是伊朗迄今所揭示的最連續(xù)，最全面的戰(zhàn)役之一。”，“揭露的戰(zhàn)役被用作偵察基礎設施；但是，研究人員將攻擊活動與威脅小組APT33，APT34和APT39捆綁在一起，使用開放源代碼和自行開發(fā)的工具進行了混合，從而促進了小組竊取敏感信息并利用供應鏈攻擊來針對其他組織，說過。

　　2019年，在工信部公開征求對《關于促進網(wǎng)絡安全產(chǎn)業(yè)發(fā)展的指導意見（征求意見稿）》的意見中，”零信任安全“首次被列入網(wǎng)絡安全需要突破的關鍵技術。同年，國家首次將零信任安全技術和5G、云安全等并列列為我國網(wǎng)絡安全重點細分領域技術。由此可見，零信任安全同樣引起了國家相關部門和業(yè)界的高度重視。

　　陳本峰認為：”想要實現(xiàn)零信任，就需要重新思考我們應該如何利用現(xiàn)有的基礎設施，以更簡單、更高效的方式設計具體實施方案，同時保證整個過程中不受任何阻礙?！搬槍α阈湃渭軜嫷?種具體實現(xiàn)方案，陳本峰為我們帶來了詳細的解讀。

　　零信任架構

　　零信任架構就是在不可信的網(wǎng)絡環(huán)境下重建信任，利用零信任概念和包含組件關系，制定工作流程規(guī)劃和訪問策略。零信任架構是基于零信任的企業(yè)網(wǎng)絡安全策略原則，其目的是防止數(shù)據(jù)泄漏并限制內部橫向移動。零信任架構的技術的本質是構建以身份為基石的業(yè)務動態(tài)可信訪問控制機制。企業(yè)決定采用零信任作為網(wǎng)絡安全基礎，并基于零信任原則制定開發(fā)計劃，然后部署此計劃形成一個零信任環(huán)境供企業(yè)使用。

　　企業(yè)可以通過多種方式為工作流程制定ZTA。這些方法在使用組件和組織的策略規(guī)則的主要來源方面有所不同。每個方法都實現(xiàn)了零信任的7大原則（零信任安全十周年峰會|陳本峰受邀出席并解讀《NIST零信任架構》），但可以使用一個或兩個作為策略的主要驅動力。這些方法包括通過下一代防火墻增強身份治理驅動的邏輯微分段，以及基于網(wǎng)絡的細分。

　　針對不同的用例可以選擇不同的方法，很多組織為企業(yè)開發(fā)零信任產(chǎn)品時可能會發(fā)現(xiàn)其選擇的用例和現(xiàn)有策略指向，某種方法會優(yōu)勝于其他方法。這并不意味著其他方法無效，而是在具體的過程中其他方法難以實施，可能需要更基本的方法來更改企業(yè)當前業(yè)務流程的方式。

　　零信任架構（ZTA）的三大技術：”SIM“

　　2019年，美國國家標準委員會NIST對外正式發(fā)布了《零信任架構ZTA》白皮書，強調了零信任的安全理念，并介紹了實現(xiàn)零信任架構的三大技術”SIM“：

　　1）SDP，軟件定義邊界；

　　2）IAM，身份權限管理；

　　3）MSG，微隔離。

　　零信任架構的三大技術

　　圖： 零信任架構的三大技術

　　SDP 軟件定義邊界：

　　SDP即”軟件定義邊界“，是國際云安全聯(lián)盟CSA于2014年提出的基于零信任（Zero Trust）理念的新一代網(wǎng)絡安全模型。SDP 旨在使應用程序所有者能夠在需要時部署安全邊界，以便將服務與不安全的網(wǎng)絡隔離開來。SDP 將物理設備替換為在應用程序所有者控制下運行的邏輯組件。SDP 僅在設備驗證和身份驗證后才允許訪問企業(yè)應用基礎架構。

　　SDP 的體系結構由兩部分組成：SDP 主機和 SDP 控制器。SDP 主機可以發(fā)起連接或接受連接。這些操作通過安全控制通道與 SDP 控制器交互來管理（請參見下圖）。因此，在 SDP 中，控制平面與數(shù)據(jù)平面分離以實現(xiàn)完全可擴展的系統(tǒng)。此外，為便于擴展與保證正常使用，所有組件都可以是多個實例的。

　　圖：SDP架構及特性

　　在使用中，每個服務器都隱藏在遠程訪問網(wǎng)關設備后面，在授權服務可見且允許訪問之前用戶必須對其進行身份驗證。 SDP 采用分類網(wǎng)絡中使用的邏輯模型，并將該模型整合到標準工作流程中。

　　SDP的安全優(yōu)勢：

　　1、SDP最小化攻擊面降低安全風險；

　　2、SDP通過分離訪問控制和數(shù)據(jù)信道，保護關鍵資產(chǎn)和基礎架構，從而阻止?jié)撛诘幕诰W(wǎng)絡的攻擊；

　　3、SDP提供了整個集成的安全體系結構，這一體系結構是現(xiàn)有的安全設備難以實現(xiàn)的；

　　4、SDP提供了基于連接的安全架構，而不是基于IP的替代方案。因為整個IT環(huán)境爆炸式的增長，云環(huán)境中的邊界缺失使得基于IP的安全性變得脆弱。

　　5、SDP允許預先審查控制所有連接，從哪些設備、哪些服務、哪些設施可以進行連接，所以它整個的安全性方面是比傳統(tǒng)的架構是更有優(yōu)勢的。

　　IAM（增強的身份管理）

　　身份管理是大多數(shù)組織實現(xiàn)安全和IT運營策略的核心。它使企業(yè)可以自動訪問越來越多的技術資產(chǎn)，同時管理潛在的安全和合規(guī)風險。身份管理為所有用戶，應用程序和數(shù)據(jù)啟用并保護數(shù)字身份。

　　開發(fā)ZTA的增強的身份管理方法將參與者的身份用作策略創(chuàng)建的關鍵組成部分。企業(yè)資源訪問的主要要求基于授予給定主體的訪問特權。通常使用開放式網(wǎng)絡模型或具有訪問者訪問權限或網(wǎng)絡上頻繁使用非企業(yè)設備的企業(yè)網(wǎng)絡找到針對企業(yè)的基于身份治理的增強方法。最初，所有具有資源訪問權限的資產(chǎn)都將獲得網(wǎng)絡訪問權限，這些權限僅限于具有適當訪問權限的身份。自發(fā)布NIST SP 800-207（第二草稿）零信任架構以來，身份驅動的方法與資源門戶網(wǎng)站模型配合的很好。身份和狀態(tài)提供輔助支持數(shù)據(jù)以訪問決策。其他模型也可以使用，具體取決于現(xiàn)有的策略。

　　身份管理可以幫助組織有效地解決復雜業(yè)務帶來的挑戰(zhàn)，并平衡四個關鍵目標：

　　加強安全性并降低風險。

　　改善合規(guī)性和審計績效。

　　提供快速，有效的業(yè)務訪問。

　　降低運營成本。

　　圖： 零信任身份與訪問管理

　　MSG（微隔離）

　　微隔離是一種網(wǎng)絡安全技術，它可以將數(shù)據(jù)中心在邏輯上劃分為各個工作負載級別的不同安全段，然后定義安全控制并為每個唯一段提供服務。微隔離使IT人員可以使用網(wǎng)絡虛擬化技術在數(shù)據(jù)中心內部部署靈活的安全策略，而不必安裝多個物理防火墻。此外，微隔離可用于保護每個虛擬機（VM）在具有策略驅動的應用程序級安全控制的企業(yè)網(wǎng)絡中。微隔離技術可以大大增強企業(yè)的抵御能力。

　　圖： 微隔離

　　微隔離是一種在數(shù)據(jù)中心和云部署中創(chuàng)建安全區(qū)域的方法，該方法使企業(yè)組織可以分離工作負載并分別保護它們，使網(wǎng)絡安全性更加精細，從而更加有效。如下為微隔離的幾個好處：

　　1，減少攻擊面

　　2.改善橫向運動的安全性

　　3.安全關鍵應用

　　4.改善法規(guī)遵從性狀況

　　寫在最后：

　　網(wǎng)絡安全多年來已經(jīng)成為人們口中經(jīng)久不衰的話題，從單一防護到零信任的發(fā)展，安全防御方式正在進一步提升。隨著技術的不斷發(fā)展，零信任理念也正在逐步將公共和私人網(wǎng)絡的邊界消除。不過，并非每個企業(yè)都擁有實施零信任網(wǎng)絡的IT基礎架構的知識、資源和時間。企業(yè)必須擁有大量的預算和人力來開發(fā)，構建和維護因地適宜的零信任架構。對于資源不足的小型企業(yè)來說，這也將成為一項重大的挑戰(zhàn)。