零信任 | 风口之上 零信任是破局当下网络安全困境的关键

图/网络

1993年7月5日，漫画家彼得•施泰纳在《纽约客》发表了上面这幅经典的漫画，一只狗坐在电脑前告诉它的同伴“在互联网上,没人知道你是一条狗”。这句话一炮而红，此后的很多年里，各种杂志、技术博客都用“在互联网上，没人知道XXX”的句式来调侃互联网世界里的不确定性。而今二十年过去了，这句话在某些方面依旧适用：当你坐在电脑前，如何确定另一端的“用户”是人还是狗？

验证远程连接用户的身份一直是网络安全工作的一大重要问题，网络安全领域一直在寻求能够验证用户真伪的可靠方法，比如个人用户登录支付宝时需要手机验证码认证、人脸识别等，企业用户用网络安全边界阻挡不可信的人员或者设备接入内部网络等。然而，随着技术的发展，网络安全威胁不断增加并日趋复杂化，通过了用户验证和防火墙接入网络的用户也无法保证完全可信，假如一个人登录QQ后，中间拿快递去了，一只狗接着在屏幕前聊天，对面的人能分辨出来吗？

传统网络安全架构基于安全边界，在某种程度上假设或默认内网是安全的，默认内网的用户或设备可以任意访问资源，只针对外网的威胁进行防御（部署防火墙、WAF、IPS等）。如果将内网的资源比作城堡，那么安全边界就是城堡前的护城河，只要跨过了护城河，就能任意进入城堡随意动用里面的事务。

护城河保护城堡，但只要跨过护城河就能享用对城堡的任意访问和使用权

近几年，随着云的广泛应用和移动互联网技术的发展，网络边界日趋开放和复杂。同时，频繁的人员流动、线上办公的广泛应用等，也加剧了外部攻击威胁和内部安全隐患：一方面，高级持续性威胁攻击仍能轻易找到各种漏洞突破企业的边界；另一方面，来自企业内部的信息泄露、员工误操作等造成的损失逐年剧增，基于边界的安全防护逐渐失效。

内外部威胁不断加剧

传统的网络安全架构已无法满足现代企业的数字化转型需求，当下网络安全困境亟待一种新的安全边界防护思维和方法破局。

从概念走向落地

图/网络 零信任发展史

随着业界对零信任理论的不断完善和实践探索，零信任从原型概念向主流网络安全技术架构逐步演进，从最初网络层微分段的范畴开始，逐步演变成为覆盖云环境、大数据中心、远程办公等众多场景的新一代安全架构。

零信任安全架构的核心思路

在Evan Gilman《零信任网络：在不可信网络中构建安全系统》一书中，使用了五句话对零信任安全进行了抽象概括：

基于此，我们可以将零信任架构的设计原则归纳如下：

总的来说，零信任以“永不信任，持续认证”为核心理念，不再单纯的用一个“边界”来划分可信或不可信的设备、网络或用户。建立零信任网络架构，需要企业根据用户、用户所处位置、上下文信息和其他数据等条件，利用微隔离和细粒度边界规则，来确定是否信任请求企业特定范围访问权的用户/主机/应用。

零信任就是让企业收回安全战场控制权，控制网络接入的身份、对象、地点和时间，从内而外地施行控制。

在2019年的RSAC上，对于“零信任”的讨论概念进入一波新的高潮，越来越多的企业意识到需要在企业内部和外部生态环境中营造信任。据《Gartner2019零信任网络访问市场指南》预测：到2023年，有60％的企业将淘汰大部分的VPN，而使用ZTNA（零信任网络访问）。显然，零信任已成为下一代互联网访问发展的必然趋势。

目前，零信任在海外已走向规模化落地，商业模式也日趋成熟，Microsoft、Google、Cisco、Symantec等国际巨头纷纷进军零信任领域。

2017年，Google基于零信任构建的BeyondCorp项目成功完成

Zscaler、Okta凭借在零信任安全领域的技术创新在纳斯达克上市，市值从20亿美金飞速发展到100亿美金以上

......

在国内，对于零信任概念的落地和相关技术的发展也在不断加快。根据中华人民共和国工业和信息化部（工信部）于2019年9月发布的《关于促进网络安全产业发展的指导意见》（下简称《意见》）， “到2025年，培育形成一批年营收超过20亿的网络安全企业，形成若干具有国际竞争力的网络安全骨干企业，网络安全产业规模超过2000亿。”其中，零信任安全被《意见》列为主要任务中着力突破的网络安全关键技术。

面对复杂多变的内外部威胁和IT新环境下传统安全边界的日趋瓦解，零信任安全所倡导的全新安全思路，已然成为企业数字化转型过程中应对安全挑战的主流架构之一。但零信任网络架构如何实现落地？是否适用于所有场景？采用了零信任架构后，是否就可以不再使用VPN？有哪些经典零信任安全的优秀案例可以参考学习.....

关于零信任，还有很多问题值得进一步探讨，敬请期待【零信任安全系列】后续更新，也欢迎留言分享你对零信任安全、对下一代网络安全架构的想法~