互联网世界的自我保护，提高安全，安全保护没有界限，零信任可能真正安全

在数字化和网络的时代，信任是许多系统操作的基础之一，信息互操作性以及交易的行为。随着各种技术的演变，服务的可用性和可用性继续提高。如何确保安全性，但它一直是一个问题，而且越来越难以应对，它甚至严重威胁着现实世界的正常运作。

根据世界经济论坛发布的2018年全球风险报告，网络袭击在造成严重影响的十大风险中排名第六;并且在十大可能的主要风险之中，网络攻击是第一次进入前三名，第二个仅次于极端天气事件与国家灾难有关，第四位是数据欺诈或盗窃，这也与安全密切相关。

枚举了太多的安全威胁。即使在上升和面临经济衰退后，经过一段时间，他们常常恢复，进化或与其他威胁混合，这是不可预测的。但总体而言，由于新兴技术的快速增长和普及，如云服务，移动应用以及事物互联网，这些威胁可能是猖獗的。此外，影响压倒性，个人和企业不可抗拒，无法抗拒。保持局势;同时，由于宽门，内部和外部的威胁，例如：数据泄漏，DDO，APT，特权滥用等，也是无穷无尽的并且难以完全切断。面对这种情况，我们不知道该相信什么，这是目前的描绘。

Intranet环境，边界不再存在

在传统网络安全架构的设计中，内部定位的用户和应用系统通常被认为是可信状态。因此，实施了较少的验证和验证机制。然而，如今，用户和应用系统在各个地方实现，内部和外部没有区别。此时，当我们查看安全保护时，我们应该采用连续验证的态度，不易信任。

安全思维的重大变化:从信任到零信任

在过去，为了加强信息安全，IT行业已经投入了大量资源，以提高用户的信任。为了追踪这些努力的来源，我们必须首先谈论微软，他们开始在2002年促进值得信赖的计算。

当时，公司的操作系统Windows NT 4.0和Windows 2000因其漏洞而被滥用，并且遭受了网络蠕虫攻击，例如代码，Nimda和Blaster。因此，他们痛苦地思考并积极加强了操作系统和其他软件。安全性，因此Windows XP SP2，内置Windows防火墙，Windows Update自动更新，并推广软件开发生命周期（SDL）安全项目。

Microsoft在Windows Vista和Windows Server 2008中的后续行动，内置用户帐户控制（UAC）和网络访问保护（NAP）也基于此概念，开发了安全功能。除了Microsoft，AMD，HP，IBM，Intel和Microsoft还在2003年合作，建立了可信计算组（TCG）。他们促进了几种知名安全技术的发展，如;计算机和服务器内置可信可信计算模块（TPM），可信网络连接（TNC）提供网络访问控制功能，以及应用于硬盘本身的加密应用的标准规范（SED）中的可信网络连接（TNC）。

这几年，分层防御和深度防御的概念非常流行，引起了人们对网络接入控制(NAC)应用的关注，市场上出现了许多协同防御产品。

后来，随着服务器虚拟化平台和云服务的兴起，软件定义的保护和云安全产品也开始上升到舞台，可以在此时间支持这些非典型网络应用环境中的安全防御策略。

例如，计数器，Veteran Network防火墙制造商，2014年推出的软件定义保护，盾牌，2011年发布的服务器虚拟化平台制造商VMware以及2012年收购网络虚拟化供应商Nicira的NSX。它可以提供网络分割功能，以减少内部网络的水平攻击的可能性。在大型公共云服务中，它还具有多个网络分区机制。在AWS方面，Amazon VPC提供子网，安全组，网络访问控制列表（NACL）。

2009年，研究机构Forrester的首席分析师提出了一种新的安全模型，称为零信任模型，当时受到了极大的关注。然而，在最初阶段并没有很多安全厂商积极响应，主要基于下一代防火墙著名的帕洛阿尔托网络。到2015年，Forrester发现相关应用领域逐渐扩展，包括虚拟网络基础设施(VNI)和网络编排解决方案。2016年第四季度，他们将基于零信任概念的威胁缓解技术大幅增加到20种。然而，Forrester在今年1月发布的报告中重新介绍了零信任的产品类型和相应的制造商。他们将这些部分设置为一个扩展的生态系统，并将它们区分为零信任平台、安全自动化和调度命令、安全视角和分析，以及安全级别，如人员、工作量、数据、网络和联网设备，而“员工”又进一步细分为互动流程和身份管理。“网络”专指网络分区隔离。

网络隔离是零信任模型的更常见结构。当Forrester开始倡导零信任模型时，他们还基于此概念设计了零信任网络架构，其中包括多个控件和保护的集成。根据不同的操作属性，划分为多​​个隔离区域的功能网络隔离网关（SG），微核和边界（MCAP），该处是负责集中管理机制的服务器，以及负责收集和分析网络流量的数据采集互联网（丹）。

零信任的基本精神:无论信任与否，都必须通过验证才能计数

究竟是什么信任？为什么越来越多的安全供应商拥抱这一概念？简而言之，在零信任网络环境中，所有网络流量都不是不受信任的。因此，安全专业人员必须验证和保护所有资源，限制和严格执行访问控制，并检测和记录所有互联网流量。

根据John Kindervag对2010年的零信任网络架构的解释，他提出了以下三个核心概念：（1）在安全设备上，不再有信任和不锈钢界面;（2）不再是信任和不受信任的网络;（3）不再有信任和不受信任的用户。

如果将零信任模型扩展到信息安全级别，提出了三个基本概念:(1)无论你在哪里，都必须确保所有资源都是安全访问的;(2)采用最低权限策略，严格实施访问控制;(3)检测并记录所有流量。

在上面的概念中，我们必须假设所有网络流量都威胁。除非他们的安全团队验证，否则确认它们是合法授权的，除非通过测试并受到保护，他们将不受信任。例如，内部和外部网络之间的数据访问通常由加密通道保护。相比之下，网络犯罪分子很容易检测未加密的数据。因此，安全专家的保护态度必须与互联网上的外部数据访问一致。

在访问行为的管理中，零信任模型也将使用更多的方法来验证和减轻伤害。

我们过去依赖于什么主要是基于用户角色的访问控制机制（RBAC）的保护，并且通常用于网络访问控制，基础设施软件和身份和访问管理系统。如果采用零信任模型，则RBAC将不是唯一的方法。重点是配置最低的访问权限和实现精确的访问控制，以减少攻击和滥用的影响。例如，根据用户指示的身份，分配适当的资源访问，它们仅限于他们需要执行这些任务所需的范围，使得它们只能做正确的事情，而不是盲目地信任用户，而不是盲目地相信用户不考虑意图或疏忽。并导致错误的可能性。

当然，世界上没有完美无缝的限制。为了进一步确保事物做得正确，并提前掌握错误状态，我们还需要连续检测和记录。例如，我们必须具有对网络流量活动的分析和分析。透视能力（NAV），以及检测和录制可以一起进行，以便以主动和实时方式处理所有网络流量，而不是被动和延迟一段时间，并且仅用于内部网络流量。

为了满足此类要求，零信任模型还具体定义了网络流量分析和视角所拥有的特性。例如，它可以灵活地扩展使用规模和连续执行的情境感知，包括网络探索（查找和跟踪资产），流数据分析（交通模式和用户行为分析），数据包捕获和分析和网络解释数据分析（网络流数据包分析），网络取证（协助应急响应和犯罪调查）。

在零信任架构的设计中，John Kindervag认为需要匹配四个组件，即：网络分割网关（SG），Microcore和周长（MCAP），集中管理和数据采集网络（DAN）。

SG将包括最初分散在多个安全产品中的功能，例如防火墙，网络入侵防护系统，网站应用防火墙，网络访问控制，内容过滤网关，VPN网关等加密产品，并深入集成到网络级别同时，SG还将构建一个数据包转发引擎，以便它可以内置在网络的中心。安全人员可以在SG中定义公共控制策略，并且必须配置多个高速网络接口以进行大量的网络流量处理操作。

这里的SG与我们所熟悉的UTM设备非常相似。但是John Kindervag说UTM的一部分是对网络边界的控制。SG的部署位置和目标位置位于网络的中心位置。

MCAP适用于每个网络分区。它们是通过连接到SG和其他设备的网络接口而形成的切换区域。使用具有相同函数和策略控制属性的专用微内核交换机设置这些区域。每个隔离区变为微型计。安全人员可以通过聚合MCAP中的所有开关来形成统一的交换网络，以实现集中管理的目的。

所谓的集中管理是指网络背板的处理操作，其可以由透明和集成的MCAP整体管理机制定义。此外，必须从基于要集中的各个组件的命令行操作方法升级它，更容易使用。管理系统。

至于丹的设置，它是突出捕获网络数据的重要性。它也是一种MCAP，可以部署安全事件管理系统（SIEM），网络分析和透视工具（NAV），该工具负责集中采集和分析。并记录所有网络流量。

利用这样一个网络区域，我们可以处理所有经过SG的流量，包括连接所有mcap的部分，通过镜像和转发流量，有效收集其中传输的数据包、Syslog、SNMP等信息，并将其存储在“in a single location”中。便于后续对网络流量进行分析和分析，达到近实时处理的要求。

袭击来自四面八方，边界划分需要更加详细

在零信任模型中，攻击威胁更加延长。就像保护总统的安全一样，应注意受保护对象的身份，位置和可访问性;the border control needs to set up multiple layers of partitions, such as peripheral fences and military police, and special services are surrounding the president’s car, forming For micro-boundary protection, it is also necessary to guard against remote sniper attacks and do well in endpoint control.

基于零信任模型的应用控制策略

根据动机，威胁水平也发生了变化。但是，是否是恶意或善意的，端点设备和应用程序可能会成为威胁。因此，要处理不同层次的威胁，黑名单和白名单可用于控制，但是，在相对正常和法律的终点和应用程序中，我们可以使用隔离来强制使用最小特权的访问方法来实现保护。

零信任模型已经开始显著扩展，可以应用在更多的层次上

在一开始Forrester发布的零信任研究报告中，网络架构受到了很多关注。此外，网络分区隔离在这里发挥了非常重要的作用。因此，近年来，每当这个概念被采用时，对于产品类型，大多数人都会想到下一代防火墙。然而，零信任不仅仅是网络隔离，而是整体的保护策略，涉及到处理过程和技术。因此，Forrester在近年来阐述零信任模型时，并没有局限于互联网，而是扩展了更多的保护。

例如，今年年初，他们专门提出了零信任扩展生态系统的概念，对零信任模型进行了分解，以数据为中心，围绕着人员、设备、网络、工作量等四个环节，运用网络视角和分析，自动化、调度和其他技术走到了一起。

承认和重视零信任的公司越来越多，谷歌和Netflix也开始采用这种做法

除了长期倡导这一概念的研究机构外，市场观点的重大变化，零信任模式最近受到了很多关注。有几个原因。

其中一个与谷歌有关。该公司的首席信息官表示，大型企业应建立“零信任”基础设施。谷歌还发布了一份研究论文“超越摩尔普：一个新的企业安全方法”，随后发表了几篇论文，探索了超越的概念和实施。自2017年以来，谷歌在这种自我开发的零信任安全框架中提供了新的云服务，并开始积极推广它。例如，在Google Cloud下一阵列中，云身份感知代理（云IAP），允许用户构建超字段描述的内容感知安全访问环境;谷歌为2011年开始的这个研究项目感到自豪，声称允许大多数员工每天在道路环境中每天都在不受信任的网络上工作，您可以在不使用VPN保护的情况下安全地工作。

除了谷歌，最近我们还看到了另一家建立了零信任架构的网络公司，那就是著名的在线音频和视频行业Netflix。

在今年早些时候的Usenix Enigma会议上，该公司的高级安全工程师布莱恩·齐默(Bryan Zimmer)公开介绍了他们的零信任架构，称为位置独立安全方法(LISA)，它包含三个基本原则:(1)信任的关键是使用人的身份和端点的健康状况，而不是位置;(2)办公网络不可信;(3)设备必须隔离。

从长远来看，为了提高整体安全防护，应该有更多的组织加入实施零信任模式的行列。随着新一波数字化转型的不断推进，应用系统和服务的运行必然走向更加开放的环境。如果我们继续使用传统的二分法(内部、外部、信任、不信任)来界定信息安全的保护范围，我担心面对这种未知的情况会越来越困难。

如果您可以彻底了解现实，思考和构建适合您的操作环境的零信任模型，通过连续验证，录制和持续分析和监督，您可以有效地实施“控制”和“保护”而不是防御策略。只有通过重点关注两端，我们也可以获得坚实的保证。

谷歌投资于零信任模型的开发

零信任模型不仅由信息安全供应商提倡。云服务巨头谷歌投资。他们花了六年来开发一个归零的安全框架，称为超级群体。在访问控制方面，它们加强了对原始网络边界的保护，以控制各个设备和用户。目前，他们可以允许其员工从任何地方连接到公司的应用系统。通过传统的VPN不需要加密连接。