根據(jù)定義，零信任安全模型提倡創(chuàng)建區(qū)域和分段來控制敏感的IT資源。這還需要部署技術(shù)來監(jiān)視和管理區(qū)域之間的數(shù)據(jù)，更重要的是，一個區(qū)域內(nèi)用戶之間的交互。

　　零信任安全模型重新定義了公司范圍內(nèi)的可信網(wǎng)絡(luò)的體系結(jié)構(gòu)。這件事情至關(guān)重要，因?yàn)橄裨?、DevOps和IoT這樣的技術(shù)和過程已經(jīng)模糊或完全移除傳統(tǒng)邊界的概念。

　　區(qū)域本身可以通過使用向下到主機(jī)或數(shù)據(jù)層的微分段來委托，以實(shí)施零信任模型。這意味著一個資源，比如一個服務(wù)器，甚至一個數(shù)據(jù)庫，可以有多個區(qū)域來支持實(shí)現(xiàn)零信任所需的數(shù)據(jù)收集和監(jiān)視。

　　零信任本質(zhì)上建立了信任、驗(yàn)證和持續(xù)評估信任的模型，用于進(jìn)一步訪問和橫向移動。

　　雖然零信任已經(jīng)成為IT界的流行語，但在實(shí)踐中，這種模式通常是不切實(shí)際的，或者說是不現(xiàn)實(shí)的。

　　本文將回顧零信任模型的實(shí)際缺點(diǎn)和局限性，并給出更好的解決方案。

　　01  零信任模式的成功之處

　　Forrester為成功實(shí)施零信任勾勒出了一個路線圖。以下是Forrester的五步模型：

　　1、識別存儲和傳輸中的敏感數(shù)據(jù)

　　執(zhí)行數(shù)據(jù)發(fā)現(xiàn)和分類

　　根據(jù)數(shù)據(jù)分類對網(wǎng)絡(luò)進(jìn)行分段和分區(qū)

　　2、繪制敏感數(shù)據(jù)流入和流出的可接受路線圖

　　對電子交換敏感數(shù)據(jù)所涉及的所有資源進(jìn)行分類評估數(shù)據(jù)工作流程，必要時重新設(shè)計

　　驗(yàn)證現(xiàn)有的工作流程，如PCI架構(gòu)，并驗(yàn)證設(shè)計

       3、構(gòu)造零信任的微邊界

　　圍繞敏感數(shù)據(jù)確定微邊界、區(qū)域和分段

　　使用物理和虛擬安全控件實(shí)施分段

　　基于這些控制和微邊界設(shè)計建立訪問

　　自動化規(guī)則和訪問策略基線

　　審核并記錄所有訪問和更改控制

　　4、使用安全分析詳細(xì)監(jiān)控零信任環(huán)境

　　利用和確定組織內(nèi)現(xiàn)有的安全分析解決方案

　　確定安全分析工具的邏輯架構(gòu)和最佳位置

　　如果需要新的解決方案，請確定一個供應(yīng)商，該供應(yīng)商正在向與您的組織相同的安全方向發(fā)展，并且可以為您的其他安全解決方案提供分析

5、支持安全自動化和自適應(yīng)響應(yīng)

　　將業(yè)務(wù)流程轉(zhuǎn)化為技術(shù)自動化

　　記錄、評估和測試安全運(yùn)營中心的政策和程序，以提高有效性和響應(yīng)能力將政策和程序與安全分析自動化相關(guān)聯(lián)，并確定可以從手動流程中提升哪些內(nèi)容在您的環(huán)境和當(dāng)前解決方案中驗(yàn)證自動化的安全性和實(shí)現(xiàn)02

　　實(shí)現(xiàn)零信任的四大障礙

　　雖然許多建議的方法都有優(yōu)點(diǎn)，而且似乎合乎邏輯，但由于幾乎每個組織都面臨以下問題，許多方法在實(shí)踐中難以實(shí)現(xiàn)：

　　1. 技術(shù)兼容困難

　　如果您的組織開發(fā)自己的軟件以供使用，并且應(yīng)用程序已經(jīng)使用了幾年以上，那么將會出現(xiàn)技術(shù)兼容問題。

　　重新設(shè)計、重新編碼和重新部署內(nèi)部應(yīng)用程序可能代價高昂，而且可能會造成服務(wù)中斷。需要有一個正式的采取這些類型舉措的業(yè)務(wù)需求。向現(xiàn)有應(yīng)用程序添加安全參數(shù)來實(shí)現(xiàn)零信任感知并不總是可行的。很有可能您現(xiàn)有的應(yīng)用程序無法實(shí)施零信任。

　　因此，這取決于自身系統(tǒng)對自定義應(yīng)用程序的依賴程度，這將決定是否能夠采用零信任，并確定所需的工作量和成本。當(dāng)應(yīng)用程序與微邊界不兼容，或者缺少支持所需自動化的應(yīng)用程序編程接口時，這種情況尤為明顯。

　　2. 遺留系統(tǒng)問題

　　遺留應(yīng)用程序、基礎(chǔ)設(shè)施和操作系統(tǒng)肯定無法通過零信任感知。它們沒有最小權(quán)限或橫向移動的概念，也沒有動態(tài)允許基于上下文使用進(jìn)行修改的身份驗(yàn)證模型。

　　任何零信任實(shí)現(xiàn)都需要分層或包裝方法來啟用這些系統(tǒng)。然而，分層方法需要包裝對資源的外部訪問，并且很少能夠與系統(tǒng)本身交互。這違背了零信任的前提。您無法使用不兼容應(yīng)用程序來實(shí)施監(jiān)測。您可以篩選抓取、按鍵記錄、監(jiān)控日志和網(wǎng)絡(luò)流量以查找潛在的惡意行為，但其帶來的反饋是有限的。因此只能將遺留應(yīng)用程序的外部交互限制為用戶或其他資源，而非響應(yīng)本身。這限制了零信任的覆蓋范圍，并且基于遺留應(yīng)用程序的特性，組織可能會發(fā)現(xiàn)，由于包括TLS 1.3在內(nèi)的大量加密要求，甚至監(jiān)視網(wǎng)絡(luò)流量都是不可行的。

　　3.點(diǎn)對點(diǎn)技術(shù)違反零信任原則

　　如果您認(rèn)為您的組織不使用點(diǎn)對點(diǎn)（P2P）網(wǎng)絡(luò)技術(shù)，那么您可能不知道Windows 10中的默認(rèn)設(shè)置。

　　從2015年開始，Windows 10啟用了點(diǎn)對點(diǎn)技術(shù)，在對等系統(tǒng)之間共享Windows更新，以節(jié)省互聯(lián)網(wǎng)帶寬。當(dāng)一些組織關(guān)閉它時，其他組織甚至不知道它的存在。這代表了系統(tǒng)之間的特權(quán)橫向運(yùn)動，而這種運(yùn)動基本上是不受控制的。雖然此功能沒有出現(xiàn)任何漏洞和攻擊，但它確實(shí)提供了違反零信任模型的通信。即使在指定的微邊界內(nèi)也不應(yīng)出現(xiàn)未經(jīng)授權(quán)的橫向移動。

　　此外，如果您使用ZigBee或其他網(wǎng)絡(luò)技術(shù)協(xié)議，您會發(fā)現(xiàn)它們的操作完全與零信任背道而馳。它們需要點(diǎn)對點(diǎn)通信來操作，信任模型嚴(yán)格基于密鑰或密碼，沒有用于身份驗(yàn)證修改的動態(tài)模型。

　　因此，如果你決定接受零信任，請調(diào)查你的組織是否有點(diǎn)對點(diǎn)或mesh網(wǎng)絡(luò)技術(shù)，即使是無線網(wǎng)絡(luò)。這些都是實(shí)現(xiàn)零信任所需的訪問和微邊界控制的巨大障礙。

　　4.數(shù)字化轉(zhuǎn)型帶來的考驗(yàn)

　　即使對于那些有能力建立一個新的數(shù)據(jù)中心、實(shí)現(xiàn)基于角色的訪問模型并100%接受零信任的組織來說，數(shù)字化轉(zhuǎn)型的考慮也會使零信任理論難以被接受。

　　云計算、DevOps和IoT推動的數(shù)字化轉(zhuǎn)型本身并不支持零信任模型，因?yàn)樗枰~外的技術(shù)來細(xì)分和實(shí)施這一概念。對于大型部署，這可能會導(dǎo)致成本高昂，甚至可能影響解決方案與多用戶訪問進(jìn)行正確交互的能力。如果您對此表示懷疑，請僅考慮記錄每個事件以動態(tài)訪問項目范圍內(nèi)所有資源的存儲要求和許可證成本。

　　一些人可能對云確實(shí)包含分段和零信任模型表示不贊同，但這都取決于如何使用云。將基礎(chǔ)架構(gòu)直接遷移到云端并不意味著零信任。如果您在云中開發(fā)一個新的應(yīng)用程序作為一項服務(wù)，那么它肯定可以接受零信任。

　　然而，作為數(shù)字化轉(zhuǎn)型的一部分，僅僅轉(zhuǎn)移到云并不意味著直接能享受到零信任模型的益處。如果您決定接受零信任并將其納入您的計劃，那么在本文前面討論的所有原因的分層處理之后，它可能無法按照理想狀態(tài)實(shí)施工作。

　　03  當(dāng)考慮使用零信任時應(yīng)該怎么做

　　零信任唯一能夠成功實(shí)現(xiàn)的方法就是，無論是市場營銷還是實(shí)際應(yīng)用，都要從一開始就實(shí)施零信任。當(dāng)然，這不是所有人都能做到的，除非他們開始一個全新的計劃。

　　特權(quán)訪問管理 （PAM）

　　遠(yuǎn)程訪問

　　漏洞管理

　　簡單地說，如果您的組織還沒有接受特權(quán)訪問和最小特權(quán)的概念，并且仍然在維護(hù)共享的訪問帳戶，那么零信任將不起作用。

　　當(dāng)一些PAM供應(yīng)商在推銷“零信任”解決方案時，這實(shí)際上只是一個零信任的開端。他們其實(shí)并沒有提供一個包含的零信任的解決方案來解決整個問題，這是一項龐大的任務(wù)，通常需要從一開始就以零信任作為驅(qū)動安全原則來構(gòu)建正確的IT架構(gòu)。

　　不過，公平地說，接受零信任的第一步是接受PAM。

　　PAM的主要功能有刪除管理權(quán)限、管理帳戶和密碼、刪除共享帳戶、合并會話記錄、強(qiáng)制網(wǎng)絡(luò)通信等。只有在正確實(shí)現(xiàn)的前提下，才能將其擴(kuò)展到零信任，并且組織的其他部門在自動化、微邊界訪問控制、數(shù)據(jù)發(fā)現(xiàn)和安全分析方面都支持零信任。

　　并非所有的特權(quán)訪問都發(fā)生在傳統(tǒng)的公司范圍內(nèi)。零信任要求對資源進(jìn)行嚴(yán)格控制，以實(shí)施微邊界模型。

　　無論是剛起步的初創(chuàng)企業(yè)還是成熟的企業(yè)，對特權(quán)資源的零信任都無法管理不在范圍內(nèi)的內(nèi)容。零信任要求對所有請求訪問的內(nèi)容進(jìn)行完全控制，但當(dāng)它位于外部時，它可能會產(chǎn)生變化。用戶（遠(yuǎn)程員工、承包商等）和應(yīng)用程序訪問需要有特權(quán)的遠(yuǎn)程訪問才能建立安全連接并管理來自非托管系統(tǒng)的威脅。

　　零信任模型對于確保人員和承包商在微邊界以外的遠(yuǎn)程訪問的便利性非常有限（如果有的話）。請考慮基于連接源及其憑據(jù)、上下文和權(quán)限的總體安全性對微邊界的所有訪問。

　　零信任專注于用戶訪問、基于角色的訪問、橫向移動、微邊界、用戶分析和行為。對于一個成熟的公司來說，零信任基于現(xiàn)有安全程序部署，但卻忽略了一個最基本的流程：漏洞和補(bǔ)丁管理。

　　如果用戶訪問的資源容易受到其他類型的網(wǎng)絡(luò)安全風(fēng)險和漏洞攻擊，那么控制用戶是毫無意義的。因此不應(yīng)授予易受攻擊的應(yīng)用程序管理權(quán)限。

　　橫向移動和權(quán)限利用只能從兩個攻擊媒介中發(fā)生：

　　特權(quán)攻擊媒介（由于帳戶和密碼管理不善）

　　漏洞和攻擊組合

　　要使零信任有效，不僅需要考慮用戶，還需要考慮資源本身的風(fēng)險。如果資產(chǎn)具有可遠(yuǎn)程利用的關(guān)鍵缺陷，則永遠(yuǎn)不會在零信任模型中授予訪問權(quán)限。零信任忽略了資源風(fēng)險，而過分關(guān)注訪問控制。

　　零信任模型已經(jīng)并不新奇。像PCI這樣的監(jiān)管標(biāo)準(zhǔn)已經(jīng)出臺了很多年，包含了概念，分析和自動化?；驹頉]有什么問題，但不考慮堆棧中的現(xiàn)有技術(shù)、戰(zhàn)略方向以及用于遠(yuǎn)程訪問和漏洞管理的技術(shù)的話，它就只是一種解釋概念的理論方法，而不是一種可以購買的可對現(xiàn)有系統(tǒng)進(jìn)行改造的解決方案。