如果你的網絡有一個邊界，它總有一天會遭到破壞。這既是“現實世界”難以傳授的教訓，也是關鍵安全模型(零信任)產生的前提。

[[270401]]

什么是“零信任”?

“永不信任且始終驗證”應該是對零信任模型最具概括性的描述。所謂“永不信任”，是因為網絡中沒有用戶或端點被認為是絕對安全的;“始終驗證”是因為每個用戶和端點訪問任何網絡資源都必須在每個網絡節點進行身份驗證，而不僅僅是在邊界或大型網段邊界才需要進行身份驗證。

本質上來說，零信任是關于如何創建組織的網絡安全態勢的思考過程和方法，其基本上打破了舊式的“網絡邊界防護”思維。在舊式思維中，專注點主要集中在網絡防御邊界，其假定已經在邊界內的任何事物都不會造成威脅，因此邊界內部事物基本暢通無阻，全都擁有訪問權限。而就零信任模型而言，其對邊界內部或外部的網絡統統采取不信任的態度，必須經過驗證才能完成授權，實現訪問操作。

為什么要用零信任?

2010年，“零信任”網絡架構正式面世，如今，經過9年的發展，零信任模型已經在CIO、CISO和其他企業高管中流行起來。而推動零信任模型日漸流行的現實因素有很多，包括：

1. 網絡攻擊演變得更加復雜高端

網絡形勢的嚴峻程度具體可以通過下述一組統計數據進行直觀地了解：

美國網絡安全公司 Cybersecurity Ventures 發布的《2017年度網絡犯罪報告》預測，到2021年，網絡犯罪所致全球經濟損失總額將達6萬億美元/年，比2015年的3萬億美元足足翻了一倍。

同時，由Ponemon Institute和IBM安全機構贊助的《2018年數據泄露研究成本》發現，數據泄露的全球平均成本現在為390萬美元，比2017年增加了6%。

而且，這些數據還是在公司企業對網絡安全工作投入越來越多的情況下取得的。科技研究與咨詢公司Gartner將2018年全球信息安全產品和服務支出定在了1140多億美元,比去年增長12.4%。

企業高管們開始認識到現有的安全方法并不足以應對愈趨嚴峻的安全態勢，他們需要尋找更好的方法，而零信任模型恰好就是解決該問題的答案。

2. 工作流的移動化和云端化

如今，可以說網絡邊界已經根本不存在了。單純由內部系統組成的企業數據中心不再存在，企業應用一部分在辦公樓里，一部分在云端，分布各地的員工、合作伙伴和客戶都可以通過各種設備遠程訪問云端應用。

面對這樣的新形勢，我們應該如何保護自身安全成為了一個重要命題，而零信任模型也由此應運而生并流行開來。

零信任模型真的適合您的企業嗎?

雖然零信任模型背后的概念很簡單，但是實現起來卻是另一回事。在公司決定投資該技術和程序之前，應該了解該模型及其應用所涉及的具體內容。雖然，零信任被視為“后邊界時代”的答案，但它真的適合您的公司嗎?我想您需要通過了解以下幾個問題來獲取答案：

1. 決定由誰負責驅動項目?

無論是零信任模型本身，還是其支持技術“微分段”都需要對安全和網絡基礎設施進行更改。鑒于此，公司首先要回答的問題之一就是應該由哪個團隊負責該項目。

在開始項目之前，根據具體的應用程序環境配置方式，可能需要對交換機、路由器、防火墻、身份驗證服務器和應用程序服務器本身進行更改。在許多組織中，更改這些基礎架構組件可能已經遠遠超出了安全團隊的責任范圍，在這種情況下，組織要不擴展安全團隊的責任范圍，要不確定具體的項目負責人，例如由安全團隊負責，網絡和應用程序維護團隊輔助項目實施。

對于一些企業而言，零信任的多重職責和組成部分成為推動它們遷移至DevSecOps(指DevOps全生命周期的安全防護)的激勵因素。將基礎架構的每個部門視為要經常進行身份驗證、監控和改進的軟件，對于零信任安全性具有非常重要的意義，而且也可以緩解圍繞哪個團隊應該負責推動變革過程的一系列問題。

2. 建立最小權限策略

訪問權限的成本是多少?貴公司是否將其視為訪問表中的一串廉價代碼?盡可能地為用戶提供他們可能需要的權限，真的比冒險讓他們在職責擴展時遇到訪問拒絕問題更好?如果是這樣，那么當你啟用零信任模型時，你的用戶可能需要經歷一次嚴肅的態度調整。

最小權限安全性基于一個非常簡單的概念：當用戶僅具有完成其工作所需的訪問權限時，網絡(和應用程序)基礎架構是最安全的。這種特權管理方式存在諸多好處，其中一個是當員工不具備充分的權限時，其能夠造成的傷害也是有限的。另一個巨大的好處是，即便黑客竊取到這些員工的登錄憑據，其能造成的傷害也是有限的。對于具備低級別權限的低級別員工來說，如果他們對遠程網絡段和應用程序的訪問受到限制，那么他們為網絡接管提供跳板的可能性也要小很多。

對于許多組織來說，想要實現最小權限可能需要思維上的辨證性轉變，因為如果不能完全且謹慎的解釋這種轉變背后的原因，它就會變得很尷尬。然而，在零信任架構中，最小特權可以成為限制攻擊者擴展攻擊，并在網絡內部造成大規模破壞能力的有力工具。

3. 最小邏輯單元

這是零信任安全的關鍵。當您將網絡和應用程序基礎架構在邏輯上和物理上劃分為非常小的部分時，由于每個從一個網段到另一個網段的傳輸都需要進行身份驗證，那么您就能夠對入侵者可以實施的訪問權限進行一些非常嚴格的限制。

組織應該同時從邏輯空間和時間上考慮這些小分段。如果用戶(特別是高級特權用戶。例如管理員)偶爾需要訪問特定系統或功能，則應該授予他/她處理問題所需時間的訪問權限，而不是總能如此。

如果您認為自己的網絡遭到了破壞，那么邏輯響應可以盡可能減少這種破壞所造成的損失。將任何單一攻擊限制在單個邏輯段，就可以限制攻擊對整體安全性的威脅。

4. 突出重點，多看多研究

零信任模型實現過程中需要依賴的技術之一就是“微分段”。在基本網絡用語中，“分段”是指將以太網劃分為子網絡(也就是子網)，以管理并控制網絡流量，而不是將所有數據包發送給所有節點。網絡分段提供了基礎工具，提升了網絡性能，并在傳統靜態網絡中引入了安全性。“微分段”基于這一基本理念，抽象出新的虛擬化及控制層。使用微分段，數據中心被劃分為邏輯單元，這些邏輯單元往往是工作負載或應用。這樣IT能夠針對每個邏輯單元制定獨特的安全策略與規則。一旦周邊被滲透，微分段能夠顯著減少惡意行為的攻擊面，并限制攻擊的橫向移動。因為，傳統防火墻能夠實現常見的縱向防護，但微分段明顯地限制了企業內工作負載之間不必要的橫向通信。

微分段可以讓你更輕松地掌握網絡上發生的任何事情，但是要想知道誰在做什么，前提條件是你首先要觀察得夠多夠仔細。如果你想要實現零信任安全，就應該仔細研究網絡行為的許多不同方面。

通過微分段技術，可以比使用傳統的授權模式更簡單地檢測零信任網絡。但是為了確定優先級問題，我們的重點不在于監控何處，而在于監控每個分段中的哪些因素。

一旦確定了戰略網絡段或應用程序技術架構組件，就可以建立對網絡流量和行為的深入審查，而不必擔心淹沒在海量數據中，因為你只需要從有限的網段中獲取數據即可。但是，一般而言，在監控網段時你需要積極一點，以便安全架構師可以跟蹤攻擊者和員工行為，并幫助改進安全規則和流程以跟上網絡發展的步伐。

5. 添加多因素身份驗證

零信任最大的改變在于將執行機制從單一的網絡邊界轉移到每個目標系統和應用程序。其重點是驗證用戶的身份以及他們所使用的設備，而不是基于某人是否從受信或不受信的網絡中訪問企業資源的安全策略。

如果對每個網段的身份驗證是整個網絡安全的關鍵，那么身份驗證過程就變得至關重要。這里所說的用戶身份驗證是指強化您所使用的因素，并添加其他因素以使用戶身份識別變得更加確定。

針對用戶所用密碼的調查結果總是不可避免地令人失望，像“12345”或“qwerty”這樣的字符串始終位于最常用密碼列表的頂部。因此，第一項任務就是為組織中的每個人建立強密碼策略，然后切實地執行這些策略。

接下來的任務就是添加多因素身份驗證。如今，多因素身份驗證正變得越來越普遍，但要知道它可是從幾乎為0的市場滲透率發展起來的，因此許多公司非常愿意嘗試任何比傳統用戶名/密碼更強大的身份驗證方式來強化自身網絡安全。

6. 保持技術更新

沒有任何安全模型可以一成不變，成為“設置完就忘記”的存在。零信任安全當然也不例外，相反地，它可能算是最不應該被忘記的安全模型之一。這是因為當身份驗證在整個方案中發揮如此重要的作用時，跟上威脅發展步伐并了解其如何試圖阻止身份驗證方案至關重要。

除了身份驗證問題之外，安全專業人員還需要及時了解用于橫向移動和繞過網絡分段的威脅及機制。在網絡安全的世界中，沒有人可以假設當前運行的方法和技術可以始終有效，因此安全從業人員需要跟上行業發展趨勢，并且花時間分析監控中捕獲的事件，以查看網絡分段中哪些地方已被攻擊者試探，以及哪些地方極有可能被攻擊者攻破。

毫無疑問，零信任安全可以成為信息和資產安全的基礎。但僅僅因為一種方法是有效的，并不意味著它就可以在未經慎重思考和規劃的情況下投入使用。企業需要根據自身情況考量上述問題，提前做好計劃，并且記住最重要的一點——不要信任任何人!

經典企業實踐案例：BeyondCorp

作為零信任網絡的先行者，谷歌花了6年時間才從其VPN和特權網絡訪問模式遷移到BeyondCorp零信任環境。期間谷歌不得不重新定義和調整其職位角色及分類，建立起全新的主控庫存服務以跟蹤設備，并重新設計用戶身份驗證及訪問控制策略。從2014年起，Google連續在《login》雜志上發表了6篇BeyondCorp相關的論文，全面介紹BeyondCorp和Google從2011年至今的實施經驗。

Google將BeyondCorp項目的目標設定為“讓所有Google員工從不受信任的網絡中不接入VPN就能順利工作”。與傳統的邊界安全模式不同，BeyondCorp摒棄了將網絡隔離作為防護敏感資源的主要機制，取而代之的是，所有的應用都部署在公網上，通過用戶與設備為中心的認證與授權工作流進行訪問。這就意味著作為零信任安全架構的BeyondCorp，將訪問控制權從邊界轉移到個人設備與用戶上。因此員工可以實現在任何地點的安全訪問，無需傳統的VPN。

谷歌的零信任安全架構涉及復雜的庫存管理，記錄具體誰擁有網絡里的哪臺設備。設備庫存服務來從多個系統管理渠道搜集每個設備的各種實時信息，比如活動目錄(Avvtive Directory)或Puppet。

對于用戶的認證則基于一套代表敏感程度的信任層。無論員工使用什么設備或身處何處，都能得到相應的訪問權限。低層次的訪問不需要對設備做太嚴格的審核。

而且，在谷歌網絡中不存在特權用戶。谷歌使用安全密鑰進行身份管理，比密碼更難偽造。每個入網的設備都有谷歌頒發的證書。網絡的加密則是通過TLS(傳輸層安全協議)來實現。

除此之外，與傳統的邊界安全模式不同，BeyondCorp不是以用戶的物理登陸地點或來源網絡作為訪問服務或工具的判定標準，其訪問策略是建立在設備信息、狀態和關聯用戶的基礎上，更偏向用戶行為和設備狀態的分析。

總體來說，谷歌BeyondCorp主要包括三大指導原則：

• 無邊界設計——從特定網絡連接，與你能獲得的服務沒有關系;
• 上下文感知——根據對用戶與設備的了解，來授予所獲得的服務;
• 動態訪問控制——所有對服務的訪問必須經過認證、授權和加密。