互联网世界的自我保护提高安全，安全保护没有边界，零信任才能真正安全

在互联网时代，更加关注网络安全

在数字化和网络化时代，信任是许多系统运行、信息互操作和交易进行的基础之一。随着各种技术的发展，服务的可用性和可用性也在不断提高。如何保证安全，却一直是一个难题，而且越来越难以应对，甚至已经严重威胁到现实世界的正常运行。

根据世界经济论坛发布的《2018年全球风险报告》，网络攻击在十大严重影响风险中排名第六;在十大可能的重大风险中，网络攻击首次进入前三，仅次于极端天气事件与国家灾害相关，排名第四的是数据欺诈或盗窃，这也与安全密切相关。

安全威胁太多，无法一一列举。即使在上升和面临衰退之后，一段时间后，它们往往会恢复，进化，或与其他威胁混合，这是不可预测的。但总的来说，由于云服务、移动应用和物联网等新兴技术的迅速崛起和普及，这些威胁可能会猖獗。而且，冲击是势不可挡的，个人和企业都无法抗拒，无法抗拒。置身于这种情况之外;同时，由于大门敞开，跨内外的威胁，如:数据泄露、DDoS、APT、特权账户滥用等，也层出不穷，难以完全切断。面对这种情况，我们不知道该相信什么，这就是目前的写照。

边界不再存在的内部网环境

在传统的网络安全体系结构设计中，通常认为内部用户和应用系统处于可信状态。因此，较少的验证和验证机制被实现。然而，如今用户和应用系统都是在各个地方实现的，并没有内外之分。这个时候，我们在看待安全防护的时候，就应该采取一种不断核查，不容易轻信的态度。

转变安全思维:从信任到零信任

过去，为了加强信息安全，IT行业投入了大量资源，试图增强用户的信任。要追溯这些努力的来源，我们必须首先谈谈微软，他们在2002年开始推广可信计算。

当时，该公司的操作系统Windows NT 4.0和Windows 2000因存在漏洞而被滥用，并遭受了“Code”、“Nimda”、“Blaster”等网络蠕虫攻击。因此，他们苦思冥想，积极加强操作系统和其他软件。安全方面，所以自Windows XP SP2以来，内置Windows防火墙，Windows Update自动更新，并推行软件开发生命周期(SDL)安全项目。

微软后续在Windows Vista和Windows Server 2008中，内置的用户帐户控制(UAC)和网络访问保护(NAP)也是基于这一概念，开发的安全功能。除了微软，AMD、惠普、IBM、英特尔和微软也在2003年合作成立了可信计算组(TCG)。他们推动了几种知名安全技术的发展，例如;越来越多的人在计算机和服务器中内置可信计算模块(TPM)，提供网络访问控制功能的可信网络连接(TNC)，以及应用于硬盘本身加密应用的标准规范(SED)。

在这几年里，分层防御和深度防御的概念非常流行，引起了人们对网络访问控制(NAC)应用的关注，市场上出现了许多协同防御产品。

后来，随着服务器虚拟化平台和云服务的兴起，软件定义防护和云安全产品也开始走上舞台，可以支持在当时这些非典型网络应用环境下的安全防御策略实施。

例如，老牌网络防火墙制造商Check Point在2014年推出了软件定义保护(Software Defined Protection)，服务器虚拟化平台制造商VMware在2011年发布了Shield, NSX在2012年收购了网络虚拟化供应商Nicira。它可以提供网络分段功能，减少内部网络受到横向攻击的可能性。在大型公有云服务中，也有多种网络分区机制。对于AWS, Amazon VPC提供子网、安全组、acl (network access control lists)等功能。

2009年，Forrester研究机构的首席分析师提出了一种名为“零信任模型”(Zero Trust model)的新型安全模型，在当时受到了极大的关注。然而，在最初阶段，并没有多少安全供应商积极响应，主要基于著名的帕洛阿尔托网络公司的下一代防火墙。到2015年，Forrester发现相关应用领域逐渐扩大，涵盖虚拟化网络基础设施(VNI)和网络编排解决方案。2016年第四季度，他们将基于零信任概念的威胁缓解技术大幅增加至20种。然而，Forrester在今年1月发布的报告中重新引入了零信任产品类型和相应的制造商。他们将这些部分作为一个扩展的生态系统，并将其区分为零信任平台、安全自动化和调度指挥、安全视角和分析，以及人员、工作量、数据、网络和联网设备等安全级别，并将“人员”进一步细分为交互流程和身份管理。“网络”特指网络分区隔离。

网络隔离是零信任模型中更常见的结构。Forrester在2010年开始倡导零信任模型时，他们也基于这一概念设计了零信任网络架构，其中包括多种控制和保护的集成。功能网络隔离网关SG (Functional network isolation gateway)、微核边界MCAP (micro-core and boundaries)，根据不同的运行属性划分为多个隔离区，一台服务器负责集中管理机制，数据采集负责采集和分析网络流量，以DAN (data acquisition)为例。

零信任的基本精神:不管你信不信，都必须经过验证才能算数

零信任到底是什么?为什么越来越多的安全供应商接受这个概念?简而言之，在零信任网络环境中，所有网络流量都是不可信的。因此，安全人员必须验证和保护所有的资源，限制和严格实施访问控制，检测和记录所有的互联网流量。

根据John Kindervag在2010年对零信任网络架构的解释，他提出了以下三个核心概念:(1)在安全设备上，不再存在trust和untrust接口;(2)不再存在信任与不信任的网络;(3)不再存在可信用户和不可信用户。

如果将零信任模型扩展到信息安全层面，提出了三个基本概念:(1)无论你在哪里，都必须确保所有资源的访问都是安全的;(2)采用最低权限策略，严格实施访问控制;(3)检测并记录所有流量。

在上述概念中，我们必须假设所有网络流量都具有威胁性。除非他们的安全团队验证他们是合法授权的，通过了测试，并且受到了保护，否则他们不会被信任。例如，内部和外部网络之间的数据访问通常由加密通道保护。相比之下，网络犯罪分子很容易发现未加密的数据。因此，安全专家的保护态度必须与互联网上的外部数据访问保持一致。

在对访问行为的管理上，零信任模型也将使用更多的方法来验证和减轻伤害。

过去我们所依赖的主要是基于用户角色的访问控制机制(RBAC)的保护，通常用于网络访问控制、基础设施软件、身份和访问管理系统。如果采用零信任模型，RBAC将不是唯一的方法。重点是配置最低的访问权限和实现精确的访问控制，以减少攻击和滥用的影响。例如，根据用户表示的身份，分配适当的资源访问权限，并将其限制在执行这些任务所需的范围内，使其只做正确的事情，而不是盲目信任用户，而不考虑故意或疏忽。并导致做错事的可能性。

当然，世界上没有完美无缝的限制。为了进一步确保事情做得正确，并尽早掌握错误的状态，我们还需要不断地检测和记录。例如，我们必须对网络流量活动进行分析和分析。可以将透视能力(Perspective capability, NAV)与检测和记录结合起来，以主动和实时的方式处理所有网络流量，而不是被动和延迟一段时间，并且仅针对内部网络流量。

为了满足这样的需求，零信任模型还专门定义了网络流量分析和透视需要具备的特征。例如，它可以灵活扩展使用规模和持续执行的态势感知，包括网络探索(发现和跟踪资产)，流量数据分析(流量模式和用户行为分析)，数据包捕获和分析，网络解释数据分析(网络流数据包分析)，网络取证(协助应急响应和犯罪调查)。

在零信任架构的设计中，John Kindervag认为需要匹配四个组件，分别是:Network Segmentation Gateway (SG)、Microcore and Perimeter (MCAP)、centralized management(集中管理)和Data Acquisition Network (DAN)。

SG将把原本分散在防火墙、网络入侵防御系统、网站应用防火墙、网络访问控制、内容过滤网关、VPN网关等多个安全产品中的功能，深度集成到网络层面，同时SG还将构建数据包转发引擎，使其能够构建在网络的中心。安全人员可以在SG中定义通用的控制策略，需要配置多个高速网络接口来承担庞大的网络流量处理操作。

这里的SG与我们熟悉的UTM设备非常相似。然而，John Kindervag说，UTM的一部分是对网络边界的控制。SG的部署位置和目标位置处于网络的中心位置。

MCAP适用于每个网络分区。交换区是由SG的网络接口与其他设备连接形成的交换区。这些区域设置有专用的微核交换机，共享相同的功能和策略控制属性。每个隔离区都变成了一个微边界。安全人员可以将MCAP中的所有交换机聚合在一起，形成统一的交换网络，达到集中管理的目的。

所谓集中管理，是指对网络背板的处理操作，可以通过透明、一体化的MCAP整体管理机制来定义。此外，它必须从基于单个组件的命令行操作方法升级为集中化和更易于使用。管理系统。

对于DAN的设置，是为了突出捕获网络数据的重要性。它也是一种MCAP，可以部署安全事件管理系统(SIEM)、网络分析和透视工具(NAV)，负责集中采集和分析。并记录所有网络流量。

利用这样的网络区域，我们可以处理所有通过SG的流量，包括连接所有MCAP-through镜像和转发流量的部分，有效地收集其中传输的数据包、Syslog、SNMP等信息，并将其存储在一个单一的位置，方便后续对网络流量的分析和分析，达到近乎实时的处理要求。

攻击来自四面八方，边界划分需要更加细致

在零信任模型中，攻击的威胁范围更广。就像保护总统的安全一样，要注意被保护对象的身份、位置和可及性;边检需要设置外围围栏、宪兵等多层隔断，总统专车周围有特勤人员，形成微边界保护，还要防范远程狙击，做好端点控制。

基于零信任模型的应用控制策略

根据动机的不同，威胁程度也会发生变化。然而，无论是恶意的还是善意的，端点设备和应用程序都可能成为威胁。因此，要处理不同级别的威胁，可以使用黑名单和白名单进行控制。然而，在相对正常和合法的端点和应用程序中，我们可以使用隔离来使用最低权限访问方法强制实施保护。

零信任模型已经开始显著扩展，并且可以在更多的层面上应用

在一开始Forrester发布的零信任研究报告中，对网络架构进行了大量的关注。此外，网络分区隔离在这里确实起着非常重要的作用。因此，近年来，每当采用这个概念时，对于产品类型，大多数人都会想到下一代防火墙。然而，零信任不仅仅是网络隔离，而是整体的保护策略，涉及到处理过程和技术。因此，近年来Forrester在阐述零信任模型时，并没有将其局限于互联网，而是扩展了更多的保护。

例如，今年年初，他们专门提出了零信任扩展生态系统的概念，拆解了零信任模型，以数据为中心，围绕人员、设备、网络、工作量四个环节，将网络透视与分析、自动化与调度等技术融合在一起。

承认零信任并重视零信任的公司越来越多，b谷歌和Netflix都开始采用这种方式

除了长期倡导这一概念的研究机构外，市场观点也发生了重大变化，零信任模型最近受到了很多关注。这有几个原因。

其中一个与b谷歌有关。该公司首席信息官表示，大型企业应该建立“零信任”的基础设施。谷歌今年还发布了一篇研究论文《BeyondCorp:一种新的企业安全方法》，随后又发表了几篇论文，探讨了BeyondCorp的概念和实现。自2017年以来，谷歌在这一自主研发的零信任安全框架中提供了新的云服务，并开始积极推广。例如，在谷歌Cloud Next大会上，Cloud Identity-Aware Proxy (Cloud IAP)，允许用户构建由BeyondCorp描述的内容感知安全访问环境;谷歌对这个始于2011年的研究项目感到自豪，声称允许大多数员工每天在不受信任的网络上工作。在道路环境中，您可以在不使用VPN保护的情况下安全工作。

除了谷歌，最近我们还看到另一家网络公司建立了零信任架构，那就是知名的在线音视频行业的Netflix。

在今年早些时候的Usenix Enigma大会上，该公司的高级安全工程师Bryan Zimmer公开介绍了他们的零信任架构，称为位置独立安全方法(LISA)，其中包含三个基本原则:(1)信任的关键是使用端点的个人身份和健康状态，而不是位置;(2)办公网络不可信任;(3)设备必须隔离。

从长远来看，为了提高整体的安全保护，应该有更多的组织加入到实施零信任模型的行列中来。随着新一波数字化转型浪潮的不断推进，应用系统和服务的运行必将走向更加开放的环境，如果我们继续用传统的二分法(内部、外部、信任、不信任)来界定信息安全的保护范围，恐怕将越来越难以应对这种未知的局面。

如果你能透彻地了解现实，思考并构建一个适合你的运营环境的零信任模型，通过不断的验证、记录、持续的分析和监督，你就能有效地实施“控制”和“保护”而不是防御策略。只有专注于任何一端，我们也可以得到坚实的保证。

谷歌投资于零信任模型的开发

零信任模型不仅仅是信息安全厂商所提倡的。云服务巨头谷歌已经投资。他们花了六年时间开发了一个名为BeyondCorp的零信任安全框架。在访问控制方面，从原有的网络边界保护加强到对单个设备和用户的控制。目前，他们可以允许员工从任何地方连接到公司的应用系统。不需要通过传统VPN进行加密连接。