零信任——老樹新花還是水到渠成？

? 引言

即使跟其相關的底層技術很早就出現了，然而縱觀IT演進的時間軸，“零信任”這個概念的歷史都不算長。通信網解決了連通性問題，互聯網解決了聯通性問題。無論是電路交換還是分組交換，在這些網絡設計的時候，安全都不是他們考慮的核心。這完全可以理解，就像筆者一直強調的那樣，安全從來都是跟著業務走，是為業務服務的，因此很難領先于業務而出現。但隨著網絡和服務模式的逐漸成熟，如何更加安全有效的獲取信息、數據和服務，并避免“不可靠”的其他因素干擾破壞，安全就會被提上設計者的日程。

美國國防部在本世紀初提出了“黑核(Black core)”的理念，提出安全模型應該從基于邊界(perimeter)逐步演進到基于單次交易(individual transaction)。2004年成立的耶利哥論壇(Jericho Forum )，其使命之一就是探求“去邊界”趨勢下的網絡安全問題與解決方案。“零信任”這個術語的正式出現，公認是在2010年由Forrester分析師John Kindervag最早提出，他總結了傳統網絡架構中隱含式信任(比如根據IP地址等來賦予信任權等)的潛在風險，認為在安全會跟隨服務模式變化，在去邊界化的時代基于“零信任”原則來演進。

2014年開始，Google對外公開了其內部項目BeyondCorp的研究成果，當時的主要目的，是為了推行員工隨處可訪問公司內部應用和數據的“零信任”模式，提高生產效率，不區分公司內外網，逐漸摒棄VPN這種access-and-grant-all的模式。

其后幾年，“去邊界化”和“零信任接入”迅速演進，2020年開始的全球新冠疫情，更是為隨時隨地遠程安全訪問的業務需求打了雞血，催生了標準和實踐的進一步完善。2020年8月12日，美國國家標準與技術研究院(簡稱NIST)發布《零信任架構》正式版。該標準自2019年9月以來，先后發布兩個草案版本，是迄今為止最為權威的零信任架構標準。2020年底谷歌也發布了BeyondCorp Enterprise，與2014年相比，這是谷歌云的對外商用平臺，為其全球云租戶提供端到端的零信任平臺，包括持續監控和調整以及開放的生態系統。

時至今日，“零信任”儼然已成安全領域最熱門的詞匯，做安全的不提自己是基于零信任原則，就跟2012年做網絡的人說自己不基于SDN一樣落伍。而零信任是不是一個被過度營銷的術語?零信任架構、零信任原則等等又該如何解讀?志翔科技從2014年創立以來，就以“無邊界安全”和“零信任原則”作為產品和方案的理念基礎。因此本文的目的，不是“又一篇白皮書”，而是從一個安全老兵的角度來聊聊對這些buzzwords背后的理解。

? 透過現象看零信任之本質

有關零信任的白皮書，從國際到國內已經汗牛充棟，本文無需再贅述為啥網絡是不可信的，以及哪些零信任能力重要等等。不過筆者略帶嘲諷的認為，“零信任”這個術語被過度使用，被誤用，甚至是被濫用了。

首先，“零信任”這個詞是什么屬性，是名詞還是用做定語的形容詞?在比較權威和技術的出版物中，“零信任”被公認為是一種理念(concept)，原則(principles)，新模式(model)，思維方式(mindset),甚至一種安全框架范式(paradigm)。這些詞都是框架性的，而不是針對某個技術和網元的具體定義——零信任實際上不是某個具象的產品或平臺，而是一種安全框架。在零信任之下，必須談一些具體的東西才有意義。

另外，把零信任作為定語又有哪些內容值得探討?筆者認為，首先，“零信任架構(ZTA)”首當其沖，它指基于零信任理念和原則，面向企業網絡各部件關系、工作流規劃和訪問策略的企業信息安全架構。其次“零信任網絡訪問(ZTNA)”則是一個更具體的場景描述，指的是應用零信任原則的網絡和業務訪問方式與流程。

如果說零信任是“道”，那么在零信任范式下進行的架構變革，就走向了“術”。在操作層面上，“術”是最好理解的。各種對零信任能力的解讀和總結很多，筆者歸納一下自己的理解，就是如下兩條：

(1)安全權限需以身份為基礎，而且須顯式方可授予

(2)持續(continuous)、動態(dynamic)、自適應(adaptive)

第一條涉及具體的實現架構，第二條似乎好像還是有點晦澀。我們用微信舉例吧。無論是發消息還是支付，“你是誰”是微信辨別權限的標準，這個“你是誰”，包括“賬號”、“手機號”、“手機設備”等幾類信息，這些組合起來就構成了一個使用者的身份和安全態勢(security posture)。在使用小程序、公眾號、換手機的時候，每次重新校驗和授權，都體現了“身份”是訪問服務的基礎。

用支付這個場景舉例則可簡單說明顯式授權。每次支付都要輸入密碼或者指紋，這些權限不會因為手機不變、商家不變、用戶不變而默認賦予給使用者，這就是“必須顯式”授權。異常的大額支付、異常地點的交易以及其他的可疑行為等，則必須持續監控，并動態提、降權來保證安全。最后，零信任也要和便利共存，因此小額免密就是系統為用戶開放的一種自適應。

所以，總的來說我們想用好零信任，就必須清楚的認識到：(1)零信任不是某個產品或方案，而是一種安全框架范式;(2)既然是框架，顯然零信任不是靈丹妙藥，不能一秒實現藥到病除;(3)零信任在起步的時候，是新瓶里面裝陳酒，其框架下的終端安全、身份認證、授權接入、微隔離、可視化、API安全等等大多是已有安全機制，在這些基礎上逐漸在云服務和云生態的推動下，演進出新酒。

? 零信任緣何忽然紅火

說“忽然”有點誤導觀眾。零信任不是孫悟空，一下從石頭里蹦出來;也不是哪吒，好多年都不出來。作為一種安全框架的零信任和其衍生的架構，大體上也遵循安全機制與其服務的IT設施和業務的關系來發展。

信息安全一直是跟隨其服務的對象來發展的。過去幾十年，促進信息安全發展的幾個因素，包括了(1)IT基礎架構和技術的發展，(2)行業的信息化和數字化進程，以及(3)作為高科技本身的安全技術自身的發展。

近二十年來，IT基礎架構和技術發展中，虛擬化和云計算對科技行業基礎設施的影響是顛覆性的，這些技術成為現代數據中心和業務建設的主流方式。前文提到，谷歌的BeyondCorp于2014年推出，旨在取代員工VPN，在公司內部嘗試“零信任”架構。無獨有偶，美國的SaaS業務也是在2014年標志性的首次超越IaaS，其后，亞馬遜、微軟、谷歌和IBM帶領的美國公有云SaaS業務就此一飛沖天。云計算的顛覆性發展帶來對云安全的新需求，也催生了“去邊界”和“以身份為基石”的潮流。以往基于物理防火墻的On-premise的安全邊界，隨著云業務的靈活開展，不得不逐漸讓位于隱形的“邊界”，也就是用戶的身份權限，而云的天生federation屬性也讓身份管理和聚合走到了新高度。

不同行業的信息化數字化進程是不一樣的，這也帶來不同階段的安全需求。互聯網行業是云計算上半場的主力玩家，因此我們也能看到，零信任技術體系在電商、社交、移動支付等新興領域最早完善，國內外互聯網企業，無論是谷歌、Facebook還是阿里、騰訊，對于“動態認證”、“最小化權限管理”、“事中轉事前”的安全理念不但接受而且擁抱和創造。而傳統行業如石油電力、機械生產、智能制造等逐步完成數字化改造，會成為云計算下半場的主力。這些行業的安全機制如工控安全、工業物聯網安全等將站在零信任的肩膀上發展。

最后，安全與威脅，是互相促進的一對，道和魔都在摩爾定律的激勵下不斷自我更新，交替前進。新的加密算法，基于大數據分析技術做UEBA，利用沙箱技術來識別惡意代碼和異常行為，利用ML和AI技術還原攻擊鏈等，這些技術的發展都讓“持續”、“動態”、“自適應”這些零信任的基礎變得可能。

因此，拋開營銷的噱頭不論，零信任并非“一夜成名”。安全技術本身具有附加性(跟隨著IT架構演進)、伴生性(作為對抗中被動的一方，安全一定與行業場景結合)，以及發展的內在屬性(數學、芯片、算法等會推動其進步)。而作為新安全框架的“零信任”，與云計算帶來的去邊界趨勢，與各行業的數字化進程，與摩爾定律的溢出效應都息息相關。

事物的發展，總是偶然推動成必然。我們也不能忽略地緣政治和新冠疫情對零信任的推動。2020年以來，遠程安全接入和業務不中斷變成全球企業的頭等大事，直接推動對零信任的需求指數級增長，其火熱自然水到渠成。

? 從口號到應用，王道是找到最適合的路徑

讀完業界的零信任白皮書，我們會發現，零信任能夠涵蓋從云到邊到端的各種場景，包括遠程辦公、業務訪問、分支安全接入、數據交換、大數據中心、云平臺、物聯網等等。這些當然正確，因為零信任作為新安全范式，作為“道”，自然是放之四海而皆準的。但對安全廠商和安全用戶而言，如何部署零信任?

筆者的理解非常直接：空講概念不如枚舉場景。重要的事情說三遍：場景，場景，場景，拋開場景來說零信任的框架等于吹空中樓閣，相當于宣稱用板藍根治療所有的頭疼發熱。

去邊界化的趨勢和零信任的模式，是志翔科技從2014年成立以來就一直持續探索的方向。近十年來，業務逐漸上云，同時端系統越來越豐富強大，形成啞鈴形的訪問模式，本地on-premise的IDC逐漸被Cloud蠶食，內外網邊界變得模糊和消失。另一方面，中國的云市場與美國發展明顯不同，大部分頭部云客戶，如金融、能源、政府等還維持私有云和專有云(Hosted Cloud)的模式。疫情席卷而來，給全世界都帶來了遠程辦公的剛需，也帶來了零信任的有趣話題。

VPN目前幾乎是IT人員手邊解決遠程接入需求的第一選項，但是在超大規模和應用精細化的要求下，VPN捉襟見肘——盡管VPN一定程度上滿足了遠程接入需求，但其access-and-grant-all模式，給予了過多的隱含權限，正好是零信任原則的對立面，所以替換VPN成為零信任應用最經典的場景之一。

盡管不同行業需求各自不同，但共通之處在于——信任不可能被“趨近歸零”，而最小權限的原則在實際應用中經常給IT管理員帶來諸多不便。最重要的是，企業的安全機制需要的是平穩過渡——我們的客戶絕不接受立刻關閉VPN。因此正確的路線是Dream Big and Start Small。在這些現實情況下。志翔結合自身產品能力，找到能與企業現有VPN形成最佳補充的兩個場景來入手：

(1)南北向的：企業用戶如何安全訪問企業應用，即ZTNA。

(2)東西向的：企業工作負載之間的精細化保護。

從“道”上說，企業客戶會關注自己的數字資產和業務如何管理(asset management，東西向)，后疫情時代則更關注如何遠程安全的訪問這些業務(access management，南北向)，這正是志翔的零信任方案聚焦之所在。從“理”上說，志翔與客戶探索出的方法是逐步建立身份化的體系，然后從大顆粒開始，通過基于至安盾?的零信任網關等形式建立不影響當前業務管控的基本框架，再基于行為做精細化管控和持續優化;在服務端逐步引入基于用戶身份的微隔離，比如至明?安全探針等，對服務器、虛擬機、容器等工作負載進行更精細化的監測、保護以及安全可視化。

當然，挑戰永遠存在：接入側的場景很復雜，用戶行為差異化明顯，需要不斷積累場景才能提升產品通用性;服務側的穩定性和業務敏捷是一對矛盾，如何隔離和協調異種工作負載等都是難題。

零信任承擔的責任，對安全而言本來就是演進的大挑戰。無論政策、標準、運維、安全可視化和安全管理，還是南北向和東西向的網絡、基礎架構、身份安全、數據安全等，零信任面臨的機遇和挑戰并存共生，這也恰是其魅力之所在。

? 寫在最后：零信任的趨勢

根據Markets and Markets的數據，全球零信任安全市場規模預計將從2020年的196億美元增長到2026年的516億美元，復合年增長率(CAGR)為17.4%。當然，定義一個“零信任安全市場”，本身也是一件奇怪的事情。零信任如果是框架而非專門的產品和方案，則其規模應該是一堆雙算的市場板塊數字之和。

業務數字化轉型和云計算的發展，改變了網絡安全的設計理念。傳統物理邊界變得模糊后，安全的邊界不再是數據中心邊緣和企業網邊緣的某個盒子。在云計算時代，應該基于以數據為中心(Data-centric)的原則來部署安全，關心的問題應該是：誰，能訪問什么業務和數據，應該授予何種訪問權限，為什么需要這些權限，在授權范圍訪問是如何進行的等等，而不再是“業務在哪里”和“邊界在哪里”。換句話說，傳統安全邊界變成了無處不在的邊界能力——動態創建、策略強化、權限管控、安全訪問。以身份為基石的架構體系很快會成為業界主流;以身份為中心進行訪問控制的零信任安全，必將得到越來越多行業客戶的認可與肯定。

安全的附加性、伴生性，以及安全技術發展的內在屬性，決定了零信任的增長動力來自于云計算的發展、云計算下半場的用戶們數字化轉型逐漸到位，以及后新冠時代遠程辦公、授權訪問和合規要求等。無論企業應用訪問，還是公有云服務的提供，無疑零信任模式將成為安全行業發展的未來趨勢。但零信任是過程，不是結果;而對于志翔科技這樣的行業從業者而言，零信任是“道”，在道之下，如何明道優術將是永恒的話題，這也正是網絡空間安全的魅力所在。

在演進過程中，每個行業信息化程度不一，對數據業務安全和敏捷性的要求不同，因此不同行業如何應用ZTNA來解決VPN的問題，其節奏和方式也各有差異。下一篇，我也將從從業者的角度來分享并與諸位同行探討，不同行業“零信任”落地的共性與差異。

來源：志翔科技? ?作者：伍海桑博士