翻译和碰瓷不是创新——有感于零信任话题

作者介绍：“深呼吸”同学，博士，资深安全顾问，教过书，打过工，创过业，曾就职于国内外网络及安全大厂，拥有超过20年信息化及网络安全建设经验。

零信任真是火，2018年由于某行业新一代网络建设引入了这个概念，写进了建设标准。自此零信任在国内风生水起，一些厂商进行了“翻译”、“加工”、“名词替换”，推出了各种零信任产品、框架、解决方案，甚至是标准。加上漂亮国在政府、军方也在推行零信任策略，更是推波助澜。国内大有零信任无所不能的趋势，似乎只要有了零信任，网络空间安全就可以高枕无忧了。有些地方政府也蹭热度，把零信任当作技术创新和产业来进行推动。

最近朋友圈有几篇高质量的文章，对零信任进行了再解读、再思考，让大家可以冷静一些，反思一下零信任到底是什么。

一、零信任是访问控制策略，策略粒度决定访问控制的精细程度。零信任的本质是基于身份的、细粒度的动态访问控制机制。从这个角度，传统的访问控制手段也是零信任实践方式，只是粒度上的区别。比如VPN，提供了身份识别、认证和授权，但其策略比较粗放，单供单一访问控制策略，访问控制精细程序不高，因此可以说VPN是一种“粗粒度”、“特殊的”的零信任策略方式，SDP说它替代了VPN。

二、零信任是访问控制策略，和业务场景高度相关。一个企业的访问控制策略和其业务场景高度相关。因此，零信任不是产品和系统，也不是各种产品和系统的组合，更不是一个标准。某厂商推出的零信任解决方案，在身份中心、应用网关、应用网关、API网关、UEBA前面加了零信任三个字，这种标品方案与客户场景无任何关系，无非也就蹭个热度，在市场上发个声音。零信任策略的实践，与企业的业务现状、安全现状、团队现状都有很大的关系，不能脱离现状去尝试所谓的标准化零信任方案。例如，BeyondCorp只是在谷歌公司内部实践,谷歌没有将整个BeyondCorp的安全能力抽象成一个产品。

三、零信任是访问控制策略，不是网络安全的最终解药。无疑，零信任策略可以解决很多网络安全问题。但网络安全的本质是安全能力之间的对抗、是人与人之间的对抗，安全能力需要安全资源、安全技术、安全管理和人的执行来保障。如果不顾现状、不计成本追求概念上的新意，那样不仅会背上沉重负担，甚至可能顾此失彼。

国内安全圈新词多、评奖多、会议多，从推进国家网络安全战略、加强全民安全意识和推动网络安全市场发展来说，的确起到非常重要的作用。但“网络安全是整体的而不是割裂的，是动态的而不是静态的，是开放的而不是封闭的，是相对的而不是绝对的，是共同的而不是孤立的”，安全从业者要对网络安全保持敬畏之心，不能人云亦云，少一些蹭热度和碰瓷，多一些淡定和实在，真正从客户的业务、现状和需求出发，回归安全的初心和本质。

参考文章：

公众号：小贝说安全 ——《零信任，何以从一种策略和思路被吹上了天？》

公众号：网络安全游魂——《零信任，一种强运营的安全策略》

                                                                                                   -2021.08.01

原文始发于微信公众号（网络安全游魂）：翻译和碰瓷不是创新——有感于零信任话题