零信任的历史与演变

周末，浏览国外安全网站，看到一篇《The History and Evolution of Zero Trust》文章，翻译国外就是《零信任的历史与演变》，从一个维度讲述了零信任的发展，感觉蛮不错，一起分享一下。

“‘零信任’这个词现在被如此广泛地使用，以至于它几乎失去了意义”

零信任网络访问 (ZTNA) 是 John Kindervag 对零信任模型的原始工作的演变。零信任是 Forrester 的 Kindervag 在 2010 年创造的术语。在 2017 年左右，Gartner 分析师正在玩弄一个相关但不同的想法：持续自适应风险和信任评估 ( CARTA )。CARTA 的设计目的与 Kindervag 的零信任相同——将互联网起源中对信任的隐含接受替换为对明确证明信任的要求。 

Steve Riley 是 Gartner 分析师之一。大约是云安全联盟 (CSA) 和 Google 的BeyondCorp（最初是在 2009 年更早时候为响应极光行动而创建的）的“软件定义边界”出现的时候。这些与 Gartner 关于“持续自适应信任”的工作有相似之处——“零”只是起点。

到 2019 年，Riley 准备撰写一份关于 CARTA 的 Gartner 市场报告，但说服他的同事零信任网络访问 ( ZTNA ) 将是一个更容易识别的主题名称。他的 2019 年市场报告是 Kindervag 最初的零信任概念的网络安全应用最广泛的应用之一。

什么是零信任？

Riley 说：“‘零信任’这个词现在被如此广泛地使用，以至于它几乎失去了意义。”

谈到了一个名为“持续自适应风险和信任评估”的概念。Riley 将此概念应用于零信任，并在 2019 年创造了零信任网络访问 (ZTNA) 一词。Riley 希望他曾使用过零信任应用程序访问 (ZTAA) 一词，但现在认为改变为时已晚. 底层网络几乎是零信任要求的附带条件，适用于访问网络上运行的单个应用程序——这是 ZTNA 的真正目的。

零信任一词现在是一个集体形容词。如果没有伴随的名词或名词性短语，本身是没有意义的。世界已经从 Kindervag 公认的革命性和有价值的不信任概念（也许它本身源于最小特权的安全原则）向前发展：现在它是“在这个舞台上，如果没有充分和持续的授权，什么都不信任”。

尽管零信任可以应用于其他领域——例如零信任电子邮件访问 (ZTEA) 或零信任数据访问 (ZTDA)，但这可能是未来的事情。在这里，我们专注于 ZTNA/ZTAA。在 Riley 的定义中，它包括持续自适应风险和信任评估的想法，作为一种可用的折衷方案，以提供最大可能的安全性而不影响可用性。

更具体地说，我们正在研究Netskope 对 ZTNA 的实施，Riley 现在是该领域的 CTO。

信托经纪人的作用

ZTNA 中的一个关键概念是信任经纪人的角色。位于网络外部的信任代理为经过身份验证的用户提供正确的信任级别，以访问特定的应用程序。这种方法有很多目的。 

首先，它阻止来自经过身份验证的可信赖用户以外的任何人的所有和任何传入通信。应用程序告诉代理谁可以通过身份验证访问哪些应用程序。Riley 说，如果没有这个外部代理，“攻击者可以连接，而不必费心提交身份验证序列。他们可以随心所欲地向服务中投掷任何东西，看看他们是否可以以不可预测但对攻击者有利的方式使其行为不端。” 代理将范例从“连接（到网络），然后进行身份验证”更改为“身份验证，然后连接（到单个指定的应用程序）”。

代理可以检查设备的健康状况、其地理位置和用户的其他行为生物特征。它会生成信任分数。如果信任分数对于指定的应用程序是足够的，则通过代理授予用户访问权限。

这个位很关键——用户只被允许访问指定的应用程序。任何想要访问不同应用程序的用户都需要对该应用程序重新进行身份验证，并且身份验证要求可能会有所不同。这可以防止网络内的横向移动，无论是员工还是攻击者。

可以拥有真正的零信任吗？

理解零信任概念的困难之一是每个人都知道零信任和可用性是相互排斥的。保证零信任的唯一方法是拔掉计算机电源，将其包裹在六英尺厚的铅衬混凝土中，然后将其放入深海中，但这阻碍了可用性。

零信任是最小可能信任的应用，仍然确保实用程度的可用性。增加该等式的一侧必须以另一侧为代价。

在我们当前的方法中，访问是基于信任评分授予的。从理论上讲，分数可以被操纵——所需要的只是充分的操纵，将结果从略低于“允许”提高到略高于“拒绝”。

第二个潜在的弱点是经纪人。如果代理受到威胁，那么攻击者将能够访问所选应用程序。这是 Riley 在他还在 Gartner 时就开始研究 ZTNA 概念时考虑的问题。他的结论是，经纪人仍然是外部访问的最佳选择。替代方案是依靠网络和互联网之间的防火墙（我们知道这不起作用），或者使用 VPN。 

莱利说：“VPN 是一只脚在互联网上，另一只脚在公司网络中的东西，大多数 VPN 集中器都潜伏在地下室的一角，永远不会更新。你不能更新它，因为每个人都在不断地使用它。”

信托经纪人路线的优势在于，它由一家全职的专业安全公司运营，其网络安全技能远超普通商业客户。但由于依赖第三方服务来实现这一点，因此确保服务本身能够证明它是值得信赖的，这一点非常重要。

零信任将何去何从？

请记住，零信任只是一个形容词。没有它所描述的名词是没有意义的。在本文中，我们研究了应用程序访问的零信任，或基于 Gartner 分析师在 2019 年定义该主题的 ZTNA。这可能是零信任概念最重要和最紧迫的领域。

但这不是唯一的潜在领域。零信任应该潜在地应用于当前遭受访问滥用的任何领域。

现在，网络安全的当前方向之一是增加粒度。一个很好的例子是当前朝着“以数据为中心的安全”的趋势。所有安全性的主要目的是保护公司数据——所以问题是我们是否应该期待未来会朝着零信任数据访问 (ZTDA) 方向发展？

裸露的骨头已经存在。Riley 说：“让我们以天空中的数据库表为例，无需在 Microsoft Azure 中建立虚拟机并在那里运行数据库服务器，只需使用 SQL Azure 并将天空中的表作为 URL 进行配置。有一些机制可以让您对单个字段或整个表格的行或列进行访问控制。” 

无论需要何种粒度，访问控制都可以成为有意设计的策略的一部分，旨在消除无处不在的隐式信任，并且始终要求对任何实体的任何形式的访问进行身份验证和授权。 

Riley 说：“我喜欢把这些东西抽象化，我想消除每一层的隐含信任：网络、应用程序、虚拟机和数据对象。相反，我想要这样一种情况，即每次交互都由某种东西介导，并且对交互的信心水平由上下文和周围的信号来衡量。”

简而言之，他补充说：“我认为，最终，零信任将包括零信任数据访问。”

原文始发于微信公众号（河南等级保护测评）：零信任的历史与演变