亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

引言

即使跟其相關(guān)的底層技術(shù)很早就出現(xiàn)了，然而縱觀IT演進(jìn)的時(shí)間軸，“零信任”這個(gè)概念的歷史都不算長(zhǎng)。通信網(wǎng)解決了連通性問(wèn)題，互聯(lián)網(wǎng)解決了聯(lián)通性問(wèn)題。無(wú)論是電路交換還是分組交換，在這些網(wǎng)絡(luò)設(shè)計(jì)的時(shí)候，安全都不是他們考慮的核心。這完全可以理解，就像筆者一直強(qiáng)調(diào)的那樣，安全從來(lái)都是跟著業(yè)務(wù)走，是為業(yè)務(wù)服務(wù)的，因此很難領(lǐng)先于業(yè)務(wù)而出現(xiàn)。但隨著網(wǎng)絡(luò)和服務(wù)模式的逐漸成熟，如何更加安全有效的獲取信息、數(shù)據(jù)和服務(wù)，并避免“不可靠”的其他因素干擾破壞，安全就會(huì)被提上設(shè)計(jì)者的日程。

美國(guó)國(guó)防部在本世紀(jì)初提出了“黑核（Black core）”的理念，提出安全模型應(yīng)該從基于邊界（perimeter）逐步演進(jìn)到基于單次交易（individual?transaction）。2004年成立的耶利哥論壇（Jericho Forum ），其使命之一就是探求“去邊界”趨勢(shì)下的網(wǎng)絡(luò)安全問(wèn)題與解決方案。“零信任”這個(gè)術(shù)語(yǔ)的正式出現(xiàn)，公認(rèn)是在2010年由Forrester分析師John?Kindervag最早提出，他總結(jié)了傳統(tǒng)網(wǎng)絡(luò)架構(gòu)中隱含式信任（比如根據(jù)IP地址等來(lái)賦予信任權(quán)等）的潛在風(fēng)險(xiǎn)，認(rèn)為在安全會(huì)跟隨服務(wù)模式變化，在去邊界化的時(shí)代基于“零信任”原則來(lái)演進(jìn)。

2014年開(kāi)始，Google對(duì)外公開(kāi)了其內(nèi)部項(xiàng)目BeyondCorp的研究成果，當(dāng)時(shí)的主要目的，是為了推行員工隨處可訪問(wèn)公司內(nèi)部應(yīng)用和數(shù)據(jù)的“零信任”模式，提高生產(chǎn)效率，不區(qū)分公司內(nèi)外網(wǎng)，逐漸摒棄VPN這種access-and-grant-all的模式。

其后幾年，“去邊界化”和“零信任接入”迅速演進(jìn)，2020年開(kāi)始的全球新冠疫情，更是為隨時(shí)隨地遠(yuǎn)程安全訪問(wèn)的業(yè)務(wù)需求打了雞血，催生了標(biāo)準(zhǔn)和實(shí)踐的進(jìn)一步完善。2020年8月12日，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（簡(jiǎn)稱(chēng)NIST）發(fā)布《零信任架構(gòu)》正式版。該標(biāo)準(zhǔn)自2019年9月以來(lái)，先后發(fā)布兩個(gè)草案版本，是迄今為止最為權(quán)威的零信任架構(gòu)標(biāo)準(zhǔn)。2020年底谷歌也發(fā)布了BeyondCorp Enterprise，與2014年相比，這是谷歌云的對(duì)外商用平臺(tái)，為其全球云租戶(hù)提供端到端的零信任平臺(tái)，包括持續(xù)監(jiān)控和調(diào)整以及開(kāi)放的生態(tài)系統(tǒng)。

時(shí)至今日，“零信任”儼然已成安全領(lǐng)域最熱門(mén)的詞匯，做安全的不提自己是基于零信任原則，就跟2012年做網(wǎng)絡(luò)的人說(shuō)自己不基于SDN一樣落伍。而零信任是不是一個(gè)被過(guò)度營(yíng)銷(xiāo)的術(shù)語(yǔ)？零信任架構(gòu)、零信任原則等等又該如何解讀？志翔科技從2014年創(chuàng)立以來(lái)，就以“無(wú)邊界安全”和“零信任原則”作為產(chǎn)品和方案的理念基礎(chǔ)。因此本文的目的，不是“又一篇白皮書(shū)”，而是從一個(gè)安全老兵的角度來(lái)聊聊對(duì)這些buzzwords背后的理解。

透過(guò)現(xiàn)象看零信任之本質(zhì)

有關(guān)零信任的白皮書(shū)，從國(guó)際到國(guó)內(nèi)已經(jīng)汗牛充棟，本文無(wú)需再贅述為啥網(wǎng)絡(luò)是不可信的，以及哪些零信任能力重要等等。不過(guò)筆者略帶嘲諷的認(rèn)為，“零信任”這個(gè)術(shù)語(yǔ)被過(guò)度使用，被誤用，甚至是被濫用了。

首先，“零信任”這個(gè)詞是什么屬性，是名詞還是用做定語(yǔ)的形容詞？在比較權(quán)威和技術(shù)的出版物中，“零信任”被公認(rèn)為是一種理念（concept），原則（principles），新模式（model），思維方式（mindset）,甚至一種安全框架范式（paradigm）。這些詞都是框架性的，而不是針對(duì)某個(gè)技術(shù)和網(wǎng)元的具體定義——零信任實(shí)際上不是某個(gè)具象的產(chǎn)品或平臺(tái)，而是一種安全框架。在零信任之下，必須談一些具體的東西才有意義。

另外，把零信任作為定語(yǔ)又有哪些內(nèi)容值得探討？筆者認(rèn)為，首先，“零信任架構(gòu)（ZTA）”首當(dāng)其沖，它指基于零信任理念和原則，面向企業(yè)網(wǎng)絡(luò)各部件關(guān)系、工作流規(guī)劃和訪問(wèn)策略的企業(yè)信息安全架構(gòu)。其次“零信任網(wǎng)絡(luò)訪問(wèn)（ZTNA）”則是一個(gè)更具體的場(chǎng)景描述，指的是應(yīng)用零信任原則的網(wǎng)絡(luò)和業(yè)務(wù)訪問(wèn)方式與流程。

如果說(shuō)零信任是“道”，那么在零信任范式下進(jìn)行的架構(gòu)變革，就走向了“術(shù)”。在操作層面上，“術(shù)”是最好理解的。各種對(duì)零信任能力的解讀和總結(jié)很多，筆者歸納一下自己的理解，就是如下兩條：

• 安全權(quán)限需以身份為基礎(chǔ)，而且須顯式方可授予
• 持續(xù)（continuous）、動(dòng)態(tài)（dynamic）、自適應(yīng)（adaptive）

第一條涉及具體的實(shí)現(xiàn)架構(gòu)，第二條似乎好像還是有點(diǎn)晦澀。我們用微信舉例吧。無(wú)論是發(fā)消息還是支付，“你是誰(shuí)”是微信辨別權(quán)限的標(biāo)準(zhǔn)，這個(gè)“你是誰(shuí)”，包括“賬號(hào)”、“手機(jī)號(hào)”、“手機(jī)設(shè)備”等幾類(lèi)信息，這些組合起來(lái)就構(gòu)成了一個(gè)使用者的身份和安全態(tài)勢(shì)（security?posture）。在使用小程序、公眾號(hào)、換手機(jī)的時(shí)候，每次重新校驗(yàn)和授權(quán)，都體現(xiàn)了“身份”是訪問(wèn)服務(wù)的基礎(chǔ)。

用支付這個(gè)場(chǎng)景舉例則可簡(jiǎn)單說(shuō)明顯式授權(quán)。每次支付都要輸入密碼或者指紋，這些權(quán)限不會(huì)因?yàn)槭謾C(jī)不變、商家不變、用戶(hù)不變而默認(rèn)賦予給使用者，這就是“必須顯式”授權(quán)。異常的大額支付、異常地點(diǎn)的交易以及其他的可疑行為等，則必須持續(xù)監(jiān)控，并動(dòng)態(tài)提、降權(quán)來(lái)保證安全。最后，零信任也要和便利共存，因此小額免密就是系統(tǒng)為用戶(hù)開(kāi)放的一種自適應(yīng)。

所以，總的來(lái)說(shuō)我們想用好零信任，就必須清楚的認(rèn)識(shí)到：（1）零信任不是某個(gè)產(chǎn)品或方案，而是一種安全框架范式；（2）既然是框架，顯然零信任不是靈丹妙藥，不能一秒實(shí)現(xiàn)藥到病除；（3）零信任在起步的時(shí)候，是新瓶里面裝陳酒，其框架下的終端安全、身份認(rèn)證、授權(quán)接入、微隔離、可視化、API安全等等大多是已有安全機(jī)制，在這些基礎(chǔ)上逐漸在云服務(wù)和云生態(tài)的推動(dòng)下，演進(jìn)出新酒。

零信任緣何忽然紅火

說(shuō)“忽然”有點(diǎn)誤導(dǎo)觀眾。零信任不是孫悟空，一下從石頭里蹦出來(lái)；也不是哪吒，好多年都不出來(lái)。作為一種安全框架的零信任和其衍生的架構(gòu)，大體上也遵循安全機(jī)制與其服務(wù)的IT設(shè)施和業(yè)務(wù)的關(guān)系來(lái)發(fā)展。

信息安全一直是跟隨其服務(wù)的對(duì)象來(lái)發(fā)展的。過(guò)去幾十年，促進(jìn)信息安全發(fā)展的幾個(gè)因素，包括了（1）IT基礎(chǔ)架構(gòu)和技術(shù)的發(fā)展，（2）行業(yè)的信息化和數(shù)字化進(jìn)程，以及（3）作為高科技本身的安全技術(shù)自身的發(fā)展。

近二十年來(lái)，IT基礎(chǔ)架構(gòu)和技術(shù)發(fā)展中，虛擬化和云計(jì)算對(duì)科技行業(yè)基礎(chǔ)設(shè)施的影響是顛覆性的，這些技術(shù)成為現(xiàn)代數(shù)據(jù)中心和業(yè)務(wù)建設(shè)的主流方式。前文提到，谷歌的BeyondCorp于2014年推出，旨在取代員工VPN，在公司內(nèi)部嘗試“零信任”架構(gòu)。無(wú)獨(dú)有偶，美國(guó)的SaaS業(yè)務(wù)也是在2014年標(biāo)志性的首次超越IaaS，其后，亞馬遜、微軟、谷歌和IBM帶領(lǐng)的美國(guó)公有云SaaS業(yè)務(wù)就此一飛沖天。云計(jì)算的顛覆性發(fā)展帶來(lái)對(duì)云安全的新需求，也催生了“去邊界”和“以身份為基石”的潮流。以往基于物理防火墻的On-premise的安全邊界，隨著云業(yè)務(wù)的靈活開(kāi)展，不得不逐漸讓位于隱形的“邊界”，也就是用戶(hù)的身份權(quán)限，而云的天生federation屬性也讓身份管理和聚合走到了新高度。

不同行業(yè)的信息化數(shù)字化進(jìn)程是不一樣的，這也帶來(lái)不同階段的安全需求。互聯(lián)網(wǎng)行業(yè)是云計(jì)算上半場(chǎng)的主力玩家，因此我們也能看到，零信任技術(shù)體系在電商、社交、移動(dòng)支付等新興領(lǐng)域最早完善，國(guó)內(nèi)外互聯(lián)網(wǎng)企業(yè)，無(wú)論是谷歌、Facebook還是阿里、騰訊，對(duì)于“動(dòng)態(tài)認(rèn)證”、“最小化權(quán)限管理”、“事中轉(zhuǎn)事前”的安全理念不但接受而且擁抱和創(chuàng)造。而傳統(tǒng)行業(yè)如石油電力、機(jī)械生產(chǎn)、智能制造等逐步完成數(shù)字化改造，會(huì)成為云計(jì)算下半場(chǎng)的主力。這些行業(yè)的安全機(jī)制如工控安全、工業(yè)物聯(lián)網(wǎng)安全等將站在零信任的肩膀上發(fā)展。

最后，安全與威脅，是互相促進(jìn)的一對(duì)，道和魔都在摩爾定律的激勵(lì)下不斷自我更新，交替前進(jìn)。新的加密算法，基于大數(shù)據(jù)分析技術(shù)做UEBA，利用沙箱技術(shù)來(lái)識(shí)別惡意代碼和異常行為，利用ML和AI技術(shù)還原攻擊鏈等，這些技術(shù)的發(fā)展都讓“持續(xù)”、“動(dòng)態(tài)”、“自適應(yīng)”這些零信任的基礎(chǔ)變得可能。

因此，拋開(kāi)營(yíng)銷(xiāo)的噱頭不論，零信任并非“一夜成名”。安全技術(shù)本身具有附加性（跟隨著IT架構(gòu)演進(jìn)）、伴生性（作為對(duì)抗中被動(dòng)的一方，安全一定與行業(yè)場(chǎng)景結(jié)合），以及發(fā)展的內(nèi)在屬性（數(shù)學(xué)、芯片、算法等會(huì)推動(dòng)其進(jìn)步）。而作為新安全框架的“零信任”，與云計(jì)算帶來(lái)的去邊界趨勢(shì)，與各行業(yè)的數(shù)字化進(jìn)程，與摩爾定律的溢出效應(yīng)都息息相關(guān)。

事物的發(fā)展，總是偶然推動(dòng)成必然。我們也不能忽略地緣政治和新冠疫情對(duì)零信任的推動(dòng)。2020年以來(lái)，遠(yuǎn)程安全接入和業(yè)務(wù)不中斷變成全球企業(yè)的頭等大事，直接推動(dòng)對(duì)零信任的需求指數(shù)級(jí)增長(zhǎng)，其火熱自然水到渠成。

從口號(hào)到應(yīng)用，王道是找到最適合的路徑

讀完業(yè)界的零信任白皮書(shū)，我們會(huì)發(fā)現(xiàn)，零信任能夠涵蓋從云到邊到端的各種場(chǎng)景，包括遠(yuǎn)程辦公、業(yè)務(wù)訪問(wèn)、分支安全接入、數(shù)據(jù)交換、大數(shù)據(jù)中心、云平臺(tái)、物聯(lián)網(wǎng)等等。這些當(dāng)然正確，因?yàn)榱阈湃巫鳛樾掳踩妒剑鳛椤暗馈保匀皇欠胖暮６詼?zhǔn)的。但對(duì)安全廠商和安全用戶(hù)而言，如何部署零信任？

筆者的理解非常直接：空講概念不如枚舉場(chǎng)景。重要的事情說(shuō)三遍：場(chǎng)景，場(chǎng)景，場(chǎng)景，拋開(kāi)場(chǎng)景來(lái)說(shuō)零信任的框架等于吹空中樓閣，相當(dāng)于宣稱(chēng)用板藍(lán)根治療所有的頭疼發(fā)熱。

去邊界化的趨勢(shì)和零信任的模式，是志翔科技從2014年成立以來(lái)就一直持續(xù)探索的方向。近十年來(lái)，業(yè)務(wù)逐漸上云，同時(shí)端系統(tǒng)越來(lái)越豐富強(qiáng)大，形成啞鈴形的訪問(wèn)模式，本地on-premise的IDC逐漸被Cloud蠶食，內(nèi)外網(wǎng)邊界變得模糊和消失。另一方面，中國(guó)的云市場(chǎng)與美國(guó)發(fā)展明顯不同，大部分頭部云客戶(hù)，如金融、能源、政府等還維持私有云和專(zhuān)有云（Hosted Cloud）的模式。疫情席卷而來(lái)，給全世界都帶來(lái)了遠(yuǎn)程辦公的剛需，也帶來(lái)了零信任的有趣話題。

VPN目前幾乎是IT人員手邊解決遠(yuǎn)程接入需求的第一選項(xiàng)，但是在超大規(guī)模和應(yīng)用精細(xì)化的要求下，VPN捉襟見(jiàn)肘——盡管VPN一定程度上滿(mǎn)足了遠(yuǎn)程接入需求，但其access-and-grant-all模式，給予了過(guò)多的隱含權(quán)限，正好是零信任原則的對(duì)立面，所以替換VPN成為零信任應(yīng)用最經(jīng)典的場(chǎng)景之一。

盡管不同行業(yè)需求各自不同，但共通之處在于——信任不可能被“趨近歸零”，而最小權(quán)限的原則在實(shí)際應(yīng)用中經(jīng)常給IT管理員帶來(lái)諸多不便。最重要的是，企業(yè)的安全機(jī)制需要的是平穩(wěn)過(guò)渡——我們的客戶(hù)絕不接受立刻關(guān)閉VPN。因此正確的路線是Dream?Big and Start?Small。在這些現(xiàn)實(shí)情況下。志翔結(jié)合自身產(chǎn)品能力，找到能與企業(yè)現(xiàn)有VPN形成最佳補(bǔ)充的兩個(gè)場(chǎng)景來(lái)入手：

• 南北向的：企業(yè)用戶(hù)如何安全訪問(wèn)企業(yè)應(yīng)用，即ZTNA。
• 東西向的：企業(yè)工作負(fù)載之間的精細(xì)化保護(hù)。

從“道”上說(shuō)，企業(yè)客戶(hù)會(huì)關(guān)注自己的數(shù)字資產(chǎn)和業(yè)務(wù)如何管理（asset?management，東西向），后疫情時(shí)代則更關(guān)注如何遠(yuǎn)程安全的訪問(wèn)這些業(yè)務(wù)（access?management，南北向），這正是志翔的零信任方案聚焦之所在。從“理”上說(shuō)，志翔與客戶(hù)探索出的方法是逐步建立身份化的體系，然后從大顆粒開(kāi)始，通過(guò)基于至安盾?的零信任網(wǎng)關(guān)等形式建立不影響當(dāng)前業(yè)務(wù)管控的基本框架，再基于行為做精細(xì)化管控和持續(xù)優(yōu)化；在服務(wù)端逐步引入基于用戶(hù)身份的微隔離，比如至明?安全探針等，對(duì)服務(wù)器、虛擬機(jī)、容器等工作負(fù)載進(jìn)行更精細(xì)化的監(jiān)測(cè)、保護(hù)以及安全可視化。

當(dāng)然，挑戰(zhàn)永遠(yuǎn)存在：接入側(cè)的場(chǎng)景很復(fù)雜，用戶(hù)行為差異化明顯，需要不斷積累場(chǎng)景才能提升產(chǎn)品通用性；服務(wù)側(cè)的穩(wěn)定性和業(yè)務(wù)敏捷是一對(duì)矛盾，如何隔離和協(xié)調(diào)異種工作負(fù)載等都是難題。

零信任承擔(dān)的責(zé)任，對(duì)安全而言本來(lái)就是演進(jìn)的大挑戰(zhàn)。無(wú)論政策、標(biāo)準(zhǔn)、運(yùn)維、安全可視化和安全管理，還是南北向和東西向的網(wǎng)絡(luò)、基礎(chǔ)架構(gòu)、身份安全、數(shù)據(jù)安全等，零信任面臨的機(jī)遇和挑戰(zhàn)并存共生，這也恰是其魅力之所在。

寫(xiě)在最后：零信任的趨勢(shì)

根據(jù)Markets and Markets的數(shù)據(jù)，全球零信任安全市場(chǎng)規(guī)模預(yù)計(jì)將從2020年的196億美元增長(zhǎng)到2026年的516億美元，復(fù)合年增長(zhǎng)率（CAGR）為17.4％。當(dāng)然，定義一個(gè)“零信任安全市場(chǎng)”，本身也是一件奇怪的事情。零信任如果是框架而非專(zhuān)門(mén)的產(chǎn)品和方案，則其規(guī)模應(yīng)該是一堆雙算的市場(chǎng)板塊數(shù)字之和。

業(yè)務(wù)數(shù)字化轉(zhuǎn)型和云計(jì)算的發(fā)展，改變了網(wǎng)絡(luò)安全的設(shè)計(jì)理念。傳統(tǒng)物理邊界變得模糊后，安全的邊界不再是數(shù)據(jù)中心邊緣和企業(yè)網(wǎng)邊緣的某個(gè)盒子。在云計(jì)算時(shí)代，應(yīng)該基于以數(shù)據(jù)為中心（Data-centric）的原則來(lái)部署安全，關(guān)心的問(wèn)題應(yīng)該是：誰(shuí)，能訪問(wèn)什么業(yè)務(wù)和數(shù)據(jù)，應(yīng)該授予何種訪問(wèn)權(quán)限，為什么需要這些權(quán)限，在授權(quán)范圍訪問(wèn)是如何進(jìn)行的等等，而不再是“業(yè)務(wù)在哪里”和“邊界在哪里”。換句話說(shuō)，傳統(tǒng)安全邊界變成了無(wú)處不在的邊界能力——?jiǎng)討B(tài)創(chuàng)建、策略強(qiáng)化、權(quán)限管控、安全訪問(wèn)。以身份為基石的架構(gòu)體系很快會(huì)成為業(yè)界主流；以身份為中心進(jìn)行訪問(wèn)控制的零信任安全，必將得到越來(lái)越多行業(yè)客戶(hù)的認(rèn)可與肯定。

安全的附加性、伴生性，以及安全技術(shù)發(fā)展的內(nèi)在屬性，決定了零信任的增長(zhǎng)動(dòng)力來(lái)自于云計(jì)算的發(fā)展、云計(jì)算下半場(chǎng)的用戶(hù)們數(shù)字化轉(zhuǎn)型逐漸到位，以及后新冠時(shí)代遠(yuǎn)程辦公、授權(quán)訪問(wèn)和合規(guī)要求等。無(wú)論企業(yè)應(yīng)用訪問(wèn)，還是公有云服務(wù)的提供，無(wú)疑零信任模式將成為安全行業(yè)發(fā)展的未來(lái)趨勢(shì)。但零信任是過(guò)程，不是結(jié)果；而對(duì)于志翔科技這樣的行業(yè)從業(yè)者而言，零信任是“道”，在道之下，如何明道優(yōu)術(shù)將是永恒的話題，這也正是網(wǎng)絡(luò)空間安全的魅力所在。

在演進(jìn)過(guò)程中，每個(gè)行業(yè)信息化程度不一，對(duì)數(shù)據(jù)業(yè)務(wù)安全和敏捷性的要求不同，因此不同行業(yè)如何應(yīng)用ZTNA來(lái)解決VPN的問(wèn)題，其節(jié)奏和方式也各有差異。下一篇，我也將從從業(yè)者的角度來(lái)分享并與諸位同行探討，不同行業(yè)“零信任”落地的共性與差異。（作者：伍海桑博士 ?志翔科技聯(lián)合創(chuàng)始人）

來(lái)源：安全牛