翻译和碰瓷不是创新——有感于零信任话题

admin 2022年1月6日04:13:07安全闲碎评论18 views1291字阅读4分18秒阅读模式

作者介绍:“深呼吸”同学,博士,资深安全顾问,教过书,打过工,创过业,曾就职于国内外网络及安全大厂,拥有超过20年信息化及网络安全建设经验。


零信任真是火,2018年由于某行业新一代网络建设引入了这个概念,写进了建设标准。自此零信任在国内风生水起,一些厂商进行了“翻译”、“加工”、“名词替换”,推出了各种零信任产品、框架、解决方案,甚至是标准。加上漂亮国在政府、军方也在推行零信任策略,更是推波助澜。国内大有零信任无所不能的趋势,似乎只要有了零信任,网络空间安全就可以高枕无忧了。有些地方政府也蹭热度,把零信任当作技术创新和产业来进行推动。

最近朋友圈有几篇高质量的文章,对零信任进行了再解读、再思考,让大家可以冷静一些,反思一下零信任到底是什么。

一、零信任是访问控制策略,策略粒度决定访问控制的精细程度。零信任的本质是基于身份的、细粒度的动态访问控制机制。从这个角度,传统的访问控制手段也是零信任实践方式,只是粒度上的区别。比如VPN,提供了身份识别、认证和授权,但其策略比较粗放,单供单一访问控制策略,访问控制精细程序不高,因此可以说VPN是一种“粗粒度”、“特殊的”的零信任策略方式,SDP说它替代了VPN。

二、零信任是访问控制策略,和业务场景高度相关。一个企业的访问控制策略和其业务场景高度相关。因此,零信任不是产品和系统,也不是各种产品和系统的组合,更不是一个标准。某厂商推出的零信任解决方案,在身份中心、应用网关、应用网关、API网关、UEBA前面加了零信任三个字,这种标品方案与客户场景无任何关系,无非也就蹭个热度,在市场上发个声音。零信任策略的实践,与企业的业务现状、安全现状、团队现状都有很大的关系,不能脱离现状去尝试所谓的标准化零信任方案。例如,BeyondCorp只是在谷歌公司内部实践,谷歌没有将整个BeyondCorp的安全能力抽象成一个产品。

三、零信任是访问控制策略,不是网络安全的最终解药。无疑,零信任策略可以解决很多网络安全问题。但网络安全的本质是安全能力之间的对抗、是人与人之间的对抗,安全能力需要安全资源、安全技术、安全管理和人的执行来保障。如果不顾现状、不计成本追求概念上的新意,那样不仅会背上沉重负担,甚至可能顾此失彼。

国内安全圈新词多、评奖多、会议多,从推进国家网络安全战略、加强全民安全意识和推动网络安全市场发展来说,的确起到非常重要的作用。但“网络安全是整体的而不是割裂的,是动态的而不是静态的,是开放的而不是封闭的,是相对的而不是绝对的,是共同的而不是孤立的”,安全从业者要对网络安全保持敬畏之心,不能人云亦云,少一些蹭热度和碰瓷,多一些淡定和实在,真正从客户的业务、现状和需求出发,回归安全的初心和本质


参考文章:

公众号:小贝说安全 ——《零信任,何以从一种策略和思路被吹上了天?》

公众号:网络安全游魂——《零信任,一种强运营的安全策略》


                                                                                                   -2021.08.01

翻译和碰瓷不是创新——有感于零信任话题


原文始发于微信公众号(网络安全游魂):翻译和碰瓷不是创新——有感于零信任话题

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年1月6日04:13:07
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  翻译和碰瓷不是创新——有感于零信任话题 http://cn-sec.com/archives/598754.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: