零信任(Zero-Trust)

零信任安全（Zero Trust）是在2010年由咨询公司Forrester的分析师约翰·金德维格提出的安全理念，其本质是以身份为基石的动态访问控制，即以身份为基础，通过动态访问控制技术，以细粒度的应用、接口、数据为核心保护对象，遵循最小权限原则，构筑端到端的身份边界。

对于零信任安全理念来说，2017年是个分水岭，在2017年Google基于零信任安全的BeyondCorp项目取得成功，验证了零信任安全在大型网络场景下的可行性，业界也开始跟进和开展零信任安全实践。

零信任安全的三大技术SIM：

S：SDP（Software Defined Perimeter，软件定义边界）

I：IAM（Identity and Access Management，身份管理系统）

M：MSG（Micro-Segmenetation，微隔离）

零信任安全原则

• 持续监控和验证

零信任网络背后的理念是假设网络内部和外部都有攻击者，所以没有用户或机器应该被自动信任。零信任验证用户身份和权限，以及设备身份和安全。在登录和建立连接后，经过一段时间就会超时，迫使用户和设备不断重新验证。

• 最低权限

零信任安全的另一原则是最低权限访问。也就是说，仅向用户授予必要的访问权限，就像军队中的将领仅在必要之时将信息告知士兵一样。这样能最大程度减少各个用户接触网络敏感部分的机会。实施最低权限涉及谨慎管理用户权限。VPN 不太适合用于最低权限的授权方式，因为登录 VPN 后，用户可以访问连接的整个网络。

• 设备访问控制

除了用户访问控制外，零信任还要求对设备访问进行严格控制。零信任系统需要监控有多少不同的设备在尝试访问他们的网络，确保每个设备都得到授权，并评估所有设备以确保它们没有被入侵。这进一步减少了网络的攻击面。

• 微分段

零信任网络也利用微分段。微分段是一种将安全边界划分为小区域的做法，以分别维护对网络各个部分的访问。例如，将文件存放在利用微分段的单个数据中心的网络可能包含数十个单独的安全区域。未经单独授权，有权访问其中一个区域的个人或程序将无法访问任何其他区域。

• 防止横向移动

在网络安全领域，“横向移动”是指攻击者进入网络后在该网络内移动。即使攻击者的进入点被发现，横向移动也难以检测到，因为攻击者会继续入侵网络的其他部分。零信任旨在遏制攻击者，使他们无法横向移动。由于零信任访问是分段的且必须定期重新建立，因此攻击者无法移动到网络中的其他微分段。一旦检测到攻击者的存在，就可以隔离遭入侵的设备或用户帐户，切断进一步的访问。（在城堡和护城河模型中，如果攻击者可以横向移动，则隔离原始遭入侵设备或用户几乎没有效果，因为攻击者已经到达了网络的其他部分。

• 多因素身份验证 (MFA)

多因素身份验证 (MFA) 也是零信任安全的核心价值观。MFA 意味着需要多个证据来对用户进行身份验证；仅输入密码不足以获得访问权限。MFA 的一种常见应用是 Facebook 和 Google 等在线平台上使用的双因素授权 (2FA)。除了输入密码之外，对这些服务启用 2FA 的用户还必须输入发送到其他设备（例如手机）的代码，从而提供两个证据来证明自己是声称的身份。

零信任网络访问 (ZTNA)

零信任网络访问 (ZTNA) 是让组织能够实施零信任安全的主要技术。类似于软件定义边界 (SDP)，ZTNA 隐藏了大多数基础设施和服务，在设备和它们需要的资源之间建立一对一的加密连接。了解有关 ZTNA 工作原理的更多信息。

零信任网络访问 (ZTNA) 技术使实施零信任安全模式成为可能。“零信任”是一种 IT 安全模式，它假定网络内外都存在威胁。因此，零信任要求在授权每个用户和每台设备访问内部资源之前对其进行严格的验证。

ZTNA 类似于用于控制访问的软件定义边界 (SDP) 方法。在 ZTNA 中，与 SDP 一样，连接的设备只知道它们所连接的资源，对于网络上的其他任何资源（应用程序、服务器等）一无所知。

想象一下这样的场景：每个居民都有一本电话簿，上面有他们城市里其他每个居民的电话号码，任何人都可以拨打任何号码与其他人联系。然后，想象一下另一个情景：每个人都有一个未登记的电话号码，一个居民必须知道另一个居民的电话号码才能给他们打电话。这第二种情况有几个好处：没有不需要的电话，不会意外地打给错误的人，也没有不法分子利用城市的电话簿愚弄或诈骗居民的风险。

ZTNA 就像第二种情况。但是，ZTNA 使用的不是电话号码，而是“未列出”的 IP 地址、应用程序和服务。它在用户和他们需要的资源之间建立一对一的连接，就像两个需要相互联系的人交换电话号码一样。但与两个人交换号码不同的是，ZTNA 连接需要定期重新验证和重新创建。

应用场景：

根据应用场景的类型可以分为三类：无边界安全办公、企业分值机构安全访问、第三方企业协作。

市场规模：

Gartner的《零信任访问指南》认为到2022年，在向生态合作活便开放的数字业务应用程序中，80%将通过零信任进行网络访问，到2023年，60%的企业将采用零信任代替大部分VPN。

行业洞察：

零信任应用广泛及重要性已被大部分企业认同，根据咨询公司illumio的最新企业调查，4%的企业完全部署零信任，其余多数企业还处于试点阶段。海外零信任市场入围较多选手，实现路径各显神通。

原文始发于微信公众号（网络安全等保测评）：零信任(Zero-Trust)