本文來(lái)自安全牛。

　　隨著美國(guó)國(guó)防部和聯(lián)邦政府將零信任技術(shù)列為關(guān)鍵性的新一代安全體系計(jì)劃，其作為無(wú)邊界化趨勢(shì)下的新安全理念，已經(jīng)成為各行業(yè)普遍關(guān)注并寄予厚望的焦點(diǎn)技術(shù)。但是，由于企業(yè)組織長(zhǎng)期圍繞傳統(tǒng)的安全技術(shù)和方法制定并實(shí)施網(wǎng)絡(luò)安全計(jì)劃，因此在轉(zhuǎn)向采用零信任安全的過(guò)程中，將面臨很多挑戰(zhàn)和困難。

　　零信任建設(shè)充滿(mǎn)挑戰(zhàn)

　　如果我們將現(xiàn)代的零信任方法與傳統(tǒng)的傳統(tǒng)安全方法進(jìn)行對(duì)比，就可以理解為什么美國(guó)國(guó)家安全局（NSA）、國(guó)防部（DoD）、國(guó)防工業(yè)基地（DIB）和拜登政府的《網(wǎng)絡(luò)安全行政令》都急于要求采用零信任架構(gòu)（ZTA）。傳統(tǒng)安全策略圍繞較傳統(tǒng)的“內(nèi)部信任”方法而構(gòu)建，一旦進(jìn)入可信區(qū)域，應(yīng)用程序和系統(tǒng)就可以隨意通信，這讓攻擊者比較容易下手。

　　零信任安全架構(gòu)旨在解決以上這些問(wèn)題。在零信任環(huán)境中，每個(gè)連接和所有訪問(wèn)都有明確的定義、授權(quán)和約束。當(dāng)服務(wù)（如系統(tǒng)、應(yīng)用程序、容器等）需要與另一個(gè)服務(wù)連接時(shí)，該連接必須使用有效的身份驗(yàn)證方法，通過(guò)某種授權(quán)級(jí)別。在訪問(wèn)者證明自己可信任之前，“零信任”將是一種默認(rèn)的安全狀態(tài)。

　　作為一種方法和架構(gòu)概念，零信任的作用和價(jià)值不難理解。但零信任能否成為加強(qiáng)組織安全防護(hù)能力的最佳實(shí)踐，還有待進(jìn)一步的觀察和驗(yàn)證。零信任不是一種單一的技術(shù)或產(chǎn)品，而是一套現(xiàn)代安全策略原則。對(duì)企業(yè)來(lái)說(shuō)，零信任是安全理念戰(zhàn)略的終極目標(biāo)，不可能一蹴而就。零信任環(huán)境建設(shè)將是一個(gè)充滿(mǎn)挑戰(zhàn)的持續(xù)過(guò)程。

　　企業(yè)在開(kāi)展零信任安全建設(shè)時(shí)，不能把一切推倒重來(lái)，這樣成本會(huì)很高，用戶(hù)體驗(yàn)也會(huì)有問(wèn)題。很多零信任解決方案需要用戶(hù)對(duì)應(yīng)用環(huán)節(jié)進(jìn)行改造，但是一些老舊應(yīng)用改造空間小，因此系統(tǒng)能否順利完成升級(jí)并不確定。

　　零信任安全建設(shè)還會(huì)改變用戶(hù)的使用習(xí)慣。對(duì)企業(yè)來(lái)說(shuō)，建設(shè)零信任安全環(huán)境后，原有的一些工作流程會(huì)發(fā)生改變。

　　此外，很多企業(yè)現(xiàn)有的安全環(huán)境并不是圍繞零信任原則而設(shè)計(jì)、構(gòu)建和部署的，開(kāi)發(fā)團(tuán)隊(duì)常常以“完全信任”模式構(gòu)建應(yīng)用程序和服務(wù)環(huán)境，幾乎沒(méi)有實(shí)施訪問(wèn)限制或安全控制。只在構(gòu)建應(yīng)用程序和云環(huán)境之后，安全和DevOps團(tuán)隊(duì)才竭力對(duì)IT系統(tǒng)環(huán)境實(shí)施安全控制和訪問(wèn)限制。隨著云計(jì)算應(yīng)用越來(lái)越復(fù)雜，安全控制和執(zhí)行的復(fù)雜性同樣隨之加大。如果某些控制或配置缺失或不準(zhǔn)確，環(huán)境可能很容易受到攻擊。據(jù)Verizon的《2022年數(shù)據(jù)泄露調(diào)查報(bào)告》顯示，配置錯(cuò)誤是數(shù)據(jù)泄露的首要來(lái)源。

　　自動(dòng)化是實(shí)現(xiàn)零信任的前提

　　如果云基礎(chǔ)設(shè)施環(huán)境是使用自動(dòng)化預(yù)構(gòu)建、預(yù)配置和標(biāo)準(zhǔn)化的，那么任何規(guī)模的企業(yè)或組織都可以獲得成本合理的現(xiàn)代零信任架構(gòu)。開(kāi)發(fā)人員現(xiàn)在可以一開(kāi)始就在遵循零信任原則的基礎(chǔ)上構(gòu)建云應(yīng)用程序。這意味著訪問(wèn)權(quán)限成為DevOps流程一個(gè)不可或缺的組成部分，也成為自動(dòng)化配置管理實(shí)踐的一個(gè)關(guān)鍵部分。新應(yīng)用程序添加到環(huán)境中后，開(kāi)發(fā)人員與安全從業(yè)人員和DevSecOps團(tuán)隊(duì)更加順暢無(wú)阻地合作，共同配置訪問(wèn)權(quán)限、授權(quán)、日志及關(guān)鍵基礎(chǔ)架構(gòu)的其他組件。

　　在零信任環(huán)境中，由于需要對(duì)用戶(hù)身份進(jìn)行多次、持續(xù)的請(qǐng)求和驗(yàn)證容易造成不好的用戶(hù)體驗(yàn)，因此安全專(zhuān)家將其視為通過(guò)機(jī)器學(xué)習(xí)實(shí)現(xiàn)自動(dòng)化的機(jī)會(huì)。例如，Gartner建議采用一種被稱(chēng)為“持續(xù)適應(yīng)性信任”的分析方法CAT，可以使用上下文數(shù)據(jù)（例如設(shè)備身份、網(wǎng)絡(luò)身份和地理位置）作為一種數(shù)字現(xiàn)實(shí)檢查來(lái)幫助驗(yàn)證用戶(hù)身份。

　　事實(shí)上，網(wǎng)絡(luò)中充滿(mǎn)了數(shù)據(jù)，安全專(zhuān)家的人工分析太困難且無(wú)效，其中很多數(shù)據(jù)是可以被人工智能實(shí)時(shí)篩選,自動(dòng)化地實(shí)現(xiàn)零信任環(huán)境的安全性。零信任廠商需要為企業(yè)組織提供自動(dòng)化工具，幫助他們構(gòu)建更強(qiáng)大的零信任環(huán)境，保障零信任環(huán)境的防御系統(tǒng)能夠貫穿于IT系統(tǒng)的整個(gè)架構(gòu)中。