虽然“零信任架构”已经成为一个热门短语，但人们对它到底是什么还是有很多困惑。这是一种概念吗？还是一种标准？一个框架？一套实际的技术平台？但其实根据安全专家的说法，最好将其描述为处理网络安全防御的新心态，不论公司规模大小都应该适时地开始实施应用它——特别是在云安全方面。

根据定义，零信任本质上是一种安全范式，用于确保每一个试图连接到公司资源的人或实体是他们信息中所验证的那个人。这就需要对每一项行动进行明确许可并采取持续监控以寻找可能出现的风险。但这超出了基本的身份验证和访问管理的处理能力，因为这种方法将所有试图链接到公司资源的人预设为威胁组织，无论他们的身份、位置或如何连接到网络（无论是“内部”公司网络周边还是远程）。

因此，Forcepoint SASE/零信任解决方案高级总监Jim Fulton表示，实现零信任架构对云安全的分布式性质具有特别的意义。毕竟，云可以通过多种方式访问，其基础设施本质上并不具有安全性。它只能达到公司制造所能保证的那种安全，这也是为什么配置错误会如此常见。

Fulton认为：零信任原则对云安全至关重要，尤其是对于可以从互联网上任何地方访问的云应用程序。零信任始于强大的身份验证，以确保可靠地识别试图获取或使用重要资源的人。接下来，零信任方法会检查被识别的人每次访问或使用资源时是否具有明确权限。这使得黑客更加难以闯入云应用程序并在网络中进行自由的破坏行动。

目前来说这种方法是有效的：考虑一下，微软最新的零信任采用报告显示，在零信任系统实施方面领先的组织中有31%受到SolarWinds黑客的影响，而75%的组织尚未完全实施。

云端的零信任是什么样子的

Fulton指出，通过进一步挖掘，云的零信任防御可能有几个不同的元素。这可能意味着将资源隐藏在一般访问之外，以便人们只能通过特定的控件访问它们、或需要访问者通过更强大的身份验证来验证其是否具有访问的身份、只允许人们执行他们有明确权限执行的特定操作并持续验证这些类权限以实现发现闯入和模仿合法用户的危险尝试。

Fulton解释说，为了实现这一目标，就需要通过特定的方式来访问这些敏感应用程序，例如通过云访问安全经纪人（CASB），而不是直接从互联网上的任何地方进入。然后只有可以使用适当的凭据（用户名、密码等）登录的特定人员才能开始访问公司的云。为了使这一步骤更完善，许多系统现在要求使用密码以外的其他信息进行多因素身份验证，例如发送代码到受信任、预先注册的手机或提出只有受信任用户可能知道的问题。此外，组织的云安全正在持续监控人们的行为，云内的奇怪行为可能会发出危险信号，并导致个人或实体被动态切断，阻止他们做任何破坏性的事情。

值得注意的是，零信任是一种进化，而不是一场革命。趋势科技基础设施战略副总裁William Malik解释说：“零信任的核心想法已经存在了一段时间——20多年前，杰里科论坛反对依赖外围；网络访问控制（NAC）要求连接到网络的设备在获得访问之前必须通过审查，特权访问管理要求个人在访问敏感流程或信息之前进行积极的身份验证。零信任将这些概念整合到一个全面的架构框架中，而不是类似于一组点产品通过单个产品来解决了一个特定的漏洞。”

超越的图景：现实世界场景

一般来说，零信任倡议有两个目标：减少攻击面和提高可见度。为了证明这一点，请读者想象勒索软件团伙通过地下初始访问经纪人购买公司云的初始访问权限，然后试图发动攻击的（常见）场景。

趋势科技网络安全副总裁Greg Young认为：就可见度而言，零信任应该阻止这种攻击，或者让它变得如此困难，以至于会更早地被发现。如果公司知道其身份、应用程序、云工作负载、数据源和云中涉及的容器的态势，这就会使得攻击者的行动变得非常困难。公司知道什么是未修补的，什么是不受信任的横向移动，并不断监控身份的行为，确实限制了他们可用的攻击表面。

而在攻击表面方面，Malik指出，如果该团伙使用初始或未修补的漏洞来获得访问权限，零信任将把攻击者纳入监测范围。他解释说：“首先，在某个时候，攻击者将导致受信任的用户或进程开始行为不端。这种异常行为会触发警报，并导致阻止个人或进程的操作。其次，在某个时候，攻击将要求数据加密（更改）或泄露（被盗）。这需要更高的权限。”这种超过预期权限权重的尝试要么会导致攻击者被拒绝访问，要么通过批准程序强制请求增强权限——这将标记和隔离异常行为。

零信任如何实现可见性和减少攻击面的另一个常见现实场景涉及使用“影子IT”工具的远程工作者，例如从他们的家庭网络访问未经批准的云软件即服务应用程序，这是一种非常普遍的情况，可能会给公司环境带来风险或脆弱性（例如，通过不安全的视频播放器或可利用的文件共享服务）。

Young解释说：如果在端点上有一个代理，公司就可以知道正在使用的笔记本电脑的行为。而通过API访问和/或CASB，公司就可以看到云应用程序，并获得有关该应用程序是否受到制裁的信息——以及身份和笔记本电脑的身份和姿势是否被允许访问它。从那里，公司我可以建立一个尽可能接近端到端的零信任网络访问（ZTNA）连接，并且可以不断评估信任和行为，以便在任何时候如果风险进入超出我信任的状态，那么连接可能会被切断并阻止访问。一直以来，趋势科技公司就一直在评估威胁信息和公司所有资产的行为，包括身份和东西。

实施的注意事项

除了理解心态和目标外，从实际角度实现零信任架构还需要许多不同的组成部分和许多不同的层次来展开搭建，这就是为什么其实施应该被视为一个长期项目。

这项目可能是令人生畏的，特别是对于中型组织和资源较少的小公司来说。专家强调，实际上，无论公司规模如何，都有丰富的选择来涉足零信任竞争。Young警告说：中型市场在零信任的情况下收益最大，但如果他们试图采取企业方法，他们难以迅速走上ZT的成功之路。相反，他建议，公司应该从一个小型的零信任组件开始，并从那里构建——例如实施多因素身份验证、用ZTNA取代VPN或进行高级身份管理。

从他的角度，他建议公司应当选择最容易实施或已成熟更换并获得最大收益的选项。不要试图通过购买的方式来获得零信任的——可以设定小目标，确保其植根于消除未赚取的信任，并始终确保公司提高知名度。

在后一点，Forcepoint的Fulton指出，公司应该迈出的第一步是了解哪些资源需要保护，应该允许对这些资源采取哪些具体行动，以及应该允许哪些类别的人执行某项行动。这样可以更轻松地在每个步骤中应用正确的技术。研究人员指出，非企业入门的另一个好选择是应用安全访问服务边缘（SASE）技术，该技术将几个零信任基石整合到一个平台中。SASE可以将中小型公司所需的CASB、ZTNA和安全网络网关功能提供到一个带有单一策略的控制面板中。

据Zscaler负责安全研究和运营的CISO副总裁Depen Desai称，无论公司起步为何，如果还没有开始，那么是时候开始零信任之路了。十年来，该行业一直在谈论零信任，但半途而废的公司是时候需要认真地对待零信任的真正含义。同样，美国联邦机构也被授权接受并执行来自最高层的真正零信任。随着攻击的升级以及员工、应用程序和设备位于世界每个角落，零信任真的不再是可选的。

参考及来源：https://threatpost.com/zero-trust-guide/179377/