要說網絡安全行業 2020 年最火的詞，莫過于零信任（Zero Trust）了。

關于零信任的話題，隻要有人開個頭，總能在安全圈裡引起諸多讨論。

什麼是零信任？

薔薇靈動 CEO 嚴雷的表述非常精煉：“零信任，有兩層意思，一個是沒有默認的信任，必須要經過驗證才能信任。第二個是沒有永久的信任，必須要持續觀察，确保你的行為不超越你的授權，或者說不與你所在組的行為基線發生偏移。”

那麼零信任是不是就意味着不信任呢？網絡的建立是為了通信的，在一個完全零信任的環境下，網絡體系還怎麼構建？

天防安全 CEO 段偉恒說：“零信任是不信任到信任經曆的過程體系。”隻有以不信任為出發，才能确保建立充分的信任。

根據公開信息，零信任并非特指某一特定技術，而是一個安全領域的全新理念，一個新的網絡安全體系架構。

簡單來說，在零信任的體系架構下，除非受保護的網絡明确知道接入者的身份和授權，否則默認情況下不信任企業網絡内部和外部的任何人 / 設備 / 應用。

傳統的網絡安全架構下，需要建立完備的邊界安全解決方案，典型如防火牆、IDPS 等方案。但是，這樣架構的前提是網絡需要有一個明确的邊界，随着互聯網進入雲計算和物聯網時代，各種公有雲、私有雲和混合雲形态各異，各種信息網絡、移動互聯網、工業物聯網、車聯網……網絡安全邊界已經逐漸模糊和瀕臨瓦解。

這種情況下，以往的傳統邊界安全控制體系遠遠不能滿足要求，訪問控制的顆粒度需要進一步下沉，從網絡邊界下沉到每個用戶和設備。

因此，零信任體系架構應運而生。

由此可見，

零信任的基礎之一是身份，網絡中的用戶、應用程序和設備，都被賦予了特定的數字身份。

零信任的基礎之二是權限，與身份相生相伴。按照最小權限原則細化訪問控制顆粒度，動态分配權限。

零信任的基礎之三是邊界，每個人 / 設備 / 應用都形成了自有的網絡訪問控制邊界。沒有身份和權限，原有的邊界内部的也不能訪問。

從 2004 年出現網絡無邊界的零信任雛形，到 2010 年“永不信任，始終驗證”的零信任概念提出，到目前的零信任架構趨于成熟，經曆了一個比較長的時間周期。早期的零信任雛形，是為了應對網絡無邊界的問題，聚焦于微隔離，将數據中心和園區網絡或雲劃分為較小的隔離段，來限制攻擊在網絡邊界内部橫向移動的能力。

而零信任發展到今天，已經形成了一個全新的網絡安全體系架構，以應對現代複雜的企業網絡基礎設施，應對日益嚴峻的網絡威脅形勢。

2020 年 4 月 10 日，Gartner 與奇安信集團聯合發布《零信任架構及解決方案》白皮書，對零信任架構進行了全面解析。

在白皮書中，将零信任的關鍵能力概括為：“以身份為基石、業務安全訪問、持續信任評估、動态訪問控制”。構築以身份為基石的動态虛拟邊界産品與解決方案，助力企業實現全面身份化、授權動态化、風險度量化、管理自動化的新一代網絡安全架構。

圖片來源：奇安信集團

以身份為基石：用戶、應用程序和設備的數字身份，取代網絡位置，成為訪問控制體系的核心。而用戶權限則與身份相關，遵循動态的最小權限原則，動态分配所需要的用戶權限。

業務安全訪問：通過将業務資産（應用、服務、接口、數據）的訪問路徑隐藏在零信任架構組件之後，默認對訪問主體不可見，隻有經過認證、具有權限、信任等級符合安全策略要求的訪問請求才予以放行。

持續信任評估：通過信任評估模型和算法，實現基于身份的信任評估能力，同時需要對訪問的上下文環境進行風險判定，對訪問請求進行異常行為識别并對信任評估結果進行調整。

動态訪問控制：通過訪問控制模型實現靈活的訪問控制基線，基于信任等級實現分級的業務訪問，同時，當訪問上下文和環境存在風險時，需要對訪問權限進行實時幹預。

既然是一個全新的網絡安全架構，那要實現真正的零信任，就面臨整個網絡安全體系的重構，是一個複雜的大工程。

我們來看一下奇安信的零信任安全解決方案，主要包括奇安信 TrustAccess 動态可信訪問控制平台、奇安信 TrustID 智能可信身份平台、奇安信 ID 智能手機令牌及各種終端 Agent 組成。

圖片來源：奇安信集團

可以明确的一點是，零信任已經成了整個安全行業關注的焦點，已經成為行業未來發展趨勢。不同的企業，從不同的領域，不同的産品維度，紛紛植入零信任理念。

比如網絡安全巨頭奇安信推出的零信任安全解決方案，結合自身産品優勢，嵌入了強大的網絡安全功能模塊；比如網絡新秀數篷科技，剛剛獲得 A 輪融資（投資方為時代資本、基石資本、松禾資本、經緯中國），推出了零信任自适應安全計算平台；比如企業級混合雲服務商青雲 QingCloud，推出統一認證與訪問鑒權管理服務，實現企業零信任安全架構的構建……

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!