2020年，在安全方面，零信任的火熱有目共睹。

在如今企業(yè)攻防演練，遠(yuǎn)程辦公、移動辦公等的實(shí)際需求日益增多，VPN在訪問控制、數(shù)據(jù)保護(hù)上已無法滿足企業(yè)的安全需求，零信任網(wǎng)絡(luò)訪問在遠(yuǎn)程辦公和多云訪問等場景中發(fā)揮了更安全高效的作用。

2010年，約翰·金德維格提出零信任網(wǎng)絡(luò)訪問（Zero-Trust Network Access，簡稱“ZTNA”），認(rèn)為傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全架構(gòu)存在風(fēng)險(xiǎn)，可信的內(nèi)部網(wǎng)絡(luò)充滿威脅，信任是致命的風(fēng)險(xiǎn)。

在業(yè)界廠商大力跟進(jìn)零信任領(lǐng)域，如微軟、亞馬遜、Cyxtera、國內(nèi)各安全廠商等，零信任解決的是什么？有人說它是新的邊界，是保護(hù)數(shù)據(jù)，身份認(rèn)證的新技術(shù)階段發(fā)展，亦或是替代VPN的安全新工具......美國國家標(biāo)準(zhǔn)與技術(shù)研究院NIST于2020年8月發(fā)布零信任架構(gòu)ZTA的正式標(biāo)準(zhǔn)，ZTA標(biāo)準(zhǔn)的出臺迅速得到了業(yè)內(nèi)的高度認(rèn)可，成為零信任領(lǐng)域的權(quán)威標(biāo)準(zhǔn)。

標(biāo)準(zhǔn)對零信任架構(gòu)ZTA的定義如下：利用零信任的企業(yè)網(wǎng)絡(luò)安全規(guī)劃，包括概念、思路和組件關(guān)系的集合、旨在消除在信息系統(tǒng)和服務(wù)中實(shí)施精準(zhǔn)訪問策略的不確定性。該標(biāo)準(zhǔn)強(qiáng)調(diào)安全防護(hù)應(yīng)該圍繞著資源（數(shù)據(jù)、負(fù)載、應(yīng)用等），零信任適用于一個(gè)組織內(nèi)部或與合作伙伴協(xié)助完成的工作環(huán)境，并非常詳細(xì)地描述了零信任架構(gòu)的邏輯組件。

可以看出，零信任架構(gòu)中的眾多組件并不是新的技術(shù)或產(chǎn)品，而是按照零信任理念形成的一個(gè)面向用戶、設(shè)備和應(yīng)用的完整端對端安全解決方案。

零信任架構(gòu)圖

而從上面的架構(gòu)圖得出，零信任安全架構(gòu)體系它解決的是訪問主體到客體的安全問題，主要是跟訪問控制、邊界隔離的問題相關(guān)。在移動和云化的時(shí)代，零信任幫助企業(yè)構(gòu)建一個(gè)虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應(yīng)對邊界模糊化帶來的粗粒度控制問題。

●訪問主體包括設(shè)備和用戶，不再是以前單純只看用戶。在如今流動的世界中，數(shù)據(jù)、身份訪問和管理、安全分析等也必須和用戶等綁在一起。

●訪問客體包括企業(yè)資源，業(yè)務(wù)服務(wù)器等。訪問主體與客體是邊界隔離的，用戶不可直接訪問這些資源，這也就涉及到訪問授權(quán)的問題。

在零信任的訪問過程中，隨著安全技術(shù)的發(fā)展，網(wǎng)絡(luò)中存在的設(shè)備、數(shù)據(jù)和應(yīng)用程序等逐漸增多，成為了進(jìn)入到網(wǎng)絡(luò)中的各個(gè)端點(diǎn)，零信任及其預(yù)防為主的方法會先擴(kuò)展到對于企業(yè)端點(diǎn)安全能力的加強(qiáng)。

在2020年9月16日舉行的“TechNet網(wǎng)絡(luò)研討會”上顯示了美國國防部網(wǎng)絡(luò)架構(gòu)和網(wǎng)絡(luò)安全架構(gòu)的演變過程，在2020年代中展現(xiàn)為云優(yōu)先，用戶/端點(diǎn)無處不在的場景，圖中的SDP環(huán)是對國防部計(jì)劃實(shí)施零信任的解釋，同時(shí)也說明了，對于端點(diǎn)的管理是零信任計(jì)劃的重要一步。

另外一個(gè)例子我們以谷歌BeyondCorp項(xiàng)目為例。2009年“極光行動”席卷全球使得Google意識到并開啟了全新的“零信任”概念，從而誕生了BeyondCorp項(xiàng)目。在這個(gè)方案中，Google做的第一件事就是了解公司的人員與設(shè)備情況。據(jù)了解，Google的零信任安全架構(gòu)涉及復(fù)雜的庫存管理，記錄具體誰擁有網(wǎng)絡(luò)里的哪臺設(shè)備。設(shè)備庫存服務(wù)來從多個(gè)系統(tǒng)管理渠道搜集每個(gè)設(shè)備的各種實(shí)時(shí)信息，比如活動目錄(Active Directory)或Puppet。

強(qiáng)有力的端點(diǎn)安全防護(hù)對企業(yè)零信任架構(gòu)的整體規(guī)劃會起到很好的指導(dǎo)和借鑒，對搭建零信任的主要組件會有一個(gè)更穩(wěn)固的基礎(chǔ)，同時(shí)我們要明白零信任并不是對傳統(tǒng)技術(shù)的拋棄，而是一種新的替換或者組合，對于企業(yè)現(xiàn)有的NAC、EPP、EDR、DLP、IAM等安全建設(shè)，零信任可無縫替換或者接入新的架構(gòu)，實(shí)現(xiàn)傳統(tǒng)安全建設(shè)與零信任的無縫融合。在Gartner 2020 ZTNA市場指南中指出，企業(yè)在考慮零信任時(shí)，需要充分評估零信任廠商對異構(gòu)終端的統(tǒng)一管理能力，如下圖所示。

圖 Gartner 2020 ZTNA市場指南

在網(wǎng)絡(luò)體系中，端點(diǎn)安全保護(hù)和收集有關(guān)端點(diǎn)上發(fā)生的活動的數(shù)據(jù)，為了有效應(yīng)對高級威脅，端點(diǎn)安全必須加強(qiáng)。而網(wǎng)絡(luò)安全各個(gè)系統(tǒng)的集成同樣也是保障企業(yè)整體安全，并會成為整個(gè)安全體系結(jié)構(gòu)中實(shí)現(xiàn)零信任模型的重要一步。零信任架構(gòu)是從一個(gè)整體入手，以統(tǒng)一的視角來幫助企業(yè)看待和建設(shè)網(wǎng)絡(luò)安全體系建設(shè)。零信任架構(gòu)的搭建需從設(shè)備、身份、信譽(yù)、行為等多維度展開，結(jié)合到文中表達(dá)的主要思想，怎么樣的端點(diǎn)安全對于構(gòu)建企業(yè)零信任架構(gòu)才是成功的？

下篇詳解，未完待續(xù)~