也谈谈零信任

持安科技原计划将在11月30日的CIS 2022网络安全创新大会上发布零信任新产品，CEO何艺特意邀请我录一段祝贺视频。这时我才想起两个月前他到深圳出差，特意让我观摩了一个正在开发中的产品以及谈到他的零信任宏伟蓝图 —— 看来就是这个了。

感谢何总还看重我这个下野的闲云野鹤，既然提到了零信任我也就借机写一篇吧。

零信任这几年很火，涌现出一批主打零信任的创业公司，安全厂商也纷纷推出了各自的零信任产品，甲方单位也纷纷实践零信任理论（接线报，国内某大厂近期即将发布零信任白皮书，阐述其零信任实践，可以一看），白宫更是把零信任上升到了国家战略层面。就在11月22日，美国国防部（DoD）正式发布了零信任战略和路线图，要在2027年完成第一期基准能力建设。

追溯历史，零信任的概念要追到2004年了，最早的零信任实践是谷歌的BeyondCorp计划。

（《信息安全产业专题报告：零信任，重塑网络安全理念》）

说起BeyondCorp我就想起当年国内纷纷以谷歌要“废弃防火墙”、“废除内外网”为标题，搞得人一头雾水，连防火墙都不要了，这不是自杀行为嘛。后来看了BeyondCorp的paper才明白，哦，并不是要废弃防火墙，而是增加了更多的防护。

简单理解就是过去的安全思想主要是做边界防护，在边界投入大量资源层层加固，但是这个边界防护的思想存在一个重大安全风险，就是黑客一旦突破边界进入内网基本就是一马平川如入无人之境。这个案例就很多了，谷歌自己遭受的极光行动（Operation Aurora）就很能说明问题，也是因为这个事件促使谷歌对网络安全大力投入并升级安全体系。

我之前也写过一篇文章《捻乱止于河防——浅谈企业入侵防御体系建设》，主要也是讲边界防护，文章留了一个未完待续，我是准备讲纵深防御，本质就是零信任，等我想清楚了再动笔。

那么要如何解决边界防护的破绽呢？

答案就是零信任。其实就是从过去的信任内部到现在什么都不信任，因为都不信任了，所以任何行为都要做身份校验 —— 管控粒度由IP变成了请求/行为，更精细了。

正好VPN是典型的边界防护产品，偏偏它又是黑客突破边界的关键节点，经常出问题，所以VPN就运气不好成为了零信任要替换的第一个产品，又加上疫情催生了远程办公，更加速了VPN的替代。但是注意，不要片面的把零信任理解成为VPN替代者或者下一代VPN，这样就格局小了。同样，零信任也不只是SDP、微隔离、IAM这些，零信任是一种新的思想、框架和理念，上述技术只是实现零信任的基础底座之一。

所以，在零信任思想指导下，我们的安全体系应该默认不信任，要对系统内的主体客体行为做持续验证。

关于零信任的讨论很多，相关资料可以说是汗牛充栋，大家可以自行搜索，注意要排除掉一些软文硬广。我觉得可以重点看看最早的零信任践行者谷歌的BeyondCorp架构及相关研究论文（前谷歌数据保护团队陈志杰的《谷歌零信任实践分享》是内部人士现身说法），还有微软/亚马逊等国际大厂的一线实战实践，还有像NSA、DoD、Gartner这些机构的材料，当然，最重要的还是你自己的思考和实践。

回想一下，过去我们通过各种缓冲区溢出、SQL注入、XSS等漏洞提炼出的基本安全原则“一切输入都是有害的”，是不是闪烁着朴素的零信任思想。

实现了零信任是不是就是无懈可击的了呢？绝对不是。这世上就没有无懈可击的系统，如果有，那就是你不知道。从理论和实践来看，零信任最大的安全风险又回到了信任的本源：如果黑客已经取得了合法身份，在这个身份权限范围内进行渗透，那该如何发现；甚至更进一步，黑客控制了零信任系统本身呢。

总之，基于零信任思想，企业安全体系还有很多工作可以做，做好了防护水平也会有质的飞跃，这个方向是未来。

何艺是我见到的比较早（2015年？）就在关注和实践零信任理念的大佬，所以我们在“基于量子透明计算的可信自主可控区块链式拟态安全态势感知的威胁情报联盟微信交流群”（简称“蓝星安全联盟”）都称他为“零信任之父”。

最后，祝何艺和持安科技事业取得重大胜利。你们看我这个背景假吗？

原文始发于微信公众号（朴实无华lake2）：也谈谈零信任