2010年，約翰·金德瓦格正式提出了零信任安全模型。作為弗雷斯特研究公司安全和風(fēng)險(xiǎn)團(tuán)隊(duì)的副總裁和首席分析師，他花了數(shù)年時(shí)間進(jìn)行初步研究，結(jié)果創(chuàng)造了這種新的信任模型、新的網(wǎng)絡(luò)安全方法和旨在阻止不斷增長的數(shù)據(jù)泄露的安全策略。

　　在過去的幾年中，零信任獲得了許多追隨者和支持者，這是因?yàn)橐苿?dòng)設(shè)備、自帶設(shè)備、物聯(lián)網(wǎng)、云計(jì)算、遠(yuǎn)程工作（以及遠(yuǎn)程訪問公司資源）的廣泛應(yīng)用使企業(yè)范圍的單一邊界成為過去，并大大擴(kuò)大了企業(yè)的受攻擊面。因此，企業(yè)防御必須集中在用戶、資產(chǎn)和資源上。

　　零信任有用嗎？

　　正如比爾·哈羅德（美孚國際石油公司的首席技術(shù)官）近期總結(jié)說：“零信任模型強(qiáng)制要求，只有在適當(dāng)?shù)沫h(huán)境下，合適的人員或資源才有權(quán)從合適的設(shè)備訪問合適的數(shù)據(jù)和服務(wù)?！?/p>

　　在上個(gè)月，黑客通過獲取企業(yè)建筑安全初創(chuàng)公司Verkada的攝像頭管理權(quán)限，很可能已經(jīng)進(jìn)入了軟件供應(yīng)商Cloudflare 的CEO的企業(yè)電腦和網(wǎng)絡(luò)，雖然該公司的CTO（首席技術(shù)官）很快否認(rèn)了這一消息。

　　約翰·金德瓦格解釋道：“……我們不信任我們的企業(yè)網(wǎng)絡(luò)；我們使用如‘Cloudflare訪問’類似的產(chǎn)品，來控制訪問權(quán)限。攻擊者入侵公司網(wǎng)絡(luò)中的任意一臺(tái)機(jī)器和入侵公司W(wǎng)iFi網(wǎng)絡(luò)，能得到的信息是幾乎沒有差別的。所以網(wǎng)絡(luò)不重要，重要的是控制訪問的途徑?！?/p>

　　約翰·金德瓦格補(bǔ)充說：“當(dāng)然，如果我們一直沿用舊的”城堡護(hù)城河式“的企業(yè)網(wǎng)絡(luò)（在這種網(wǎng)絡(luò)中，企業(yè)網(wǎng)絡(luò)中的任何東西和任何人都是天生可信的），結(jié)果可能會(huì)非常糟糕。這就是零信任如此強(qiáng)大的原因。因?yàn)樾鹿谝咔榈陌l(fā)展，我們所有人都可能在家辦公，這意味著進(jìn)入辦公室網(wǎng)絡(luò)的攻擊者再也無法得逞了?！?/p>

　　零信任模式在廣泛應(yīng)用中得到了進(jìn)一步證明。零信任戰(zhàn)略被廣泛部署在世界上一些最安全的網(wǎng)絡(luò)環(huán)境中。這也是美國國家安全局最近開始提供零信任技術(shù)指導(dǎo)的原因。這并不是說零信任戰(zhàn)略只對(duì)最為重要的的大型機(jī)構(gòu)有所幫助。他說：“無論企業(yè)和機(jī)構(gòu)的規(guī)模大小都可以使用該技術(shù)，以抵御當(dāng)今最可怕的網(wǎng)絡(luò)災(zāi)難：勒索軟件攻擊和數(shù)據(jù)泄露?！?/p>

　　“因?yàn)榱阈湃侮P(guān)注的是受保護(hù)的內(nèi)容，所以它會(huì)阻止不在吉卜林方法（Kipling Method指定范圍內(nèi)的流量。這意味著到C&C節(jié)點(diǎn)的出站流量將被自動(dòng)停止，這就是軟件和數(shù)據(jù)過濾的工作原理。當(dāng)惡意軟件試圖ping互聯(lián)網(wǎng)上的C&C節(jié)點(diǎn)時(shí)，控制系統(tǒng)中沒有設(shè)置允許該會(huì)話的規(guī)則。因此，將不會(huì)泄露數(shù)據(jù)，軟件也不能交換密鑰?！彼忉尩?。

　　實(shí)現(xiàn)零信任

　　作為現(xiàn)任ON2IT網(wǎng)絡(luò)安全戰(zhàn)略的高級(jí)副總裁，金德瓦格致力于讓各種規(guī)模的機(jī)構(gòu)更容易獲得和使用零信任技術(shù)，他建議通過以下五個(gè)步驟來部署零信任網(wǎng)絡(luò)：

　　1.定義您的保護(hù)面：需要保護(hù)什么？

　　2.制定工作流程：系統(tǒng)如何協(xié)同工作？

　　3.設(shè)計(jì)工作環(huán)境：將控件放置在盡可能靠近需要的保護(hù)面，以便您可以定義微周長（micro-perimeter）

      4.創(chuàng)建零信任策略：使用吉卜林方法，即確定您網(wǎng)絡(luò)和政策中的人員、事件、時(shí)間、地點(diǎn)、原因和方式。

　　5.監(jiān)控和維護(hù)環(huán)境：收集遙測數(shù)據(jù)，執(zhí)行機(jī)器學(xué)習(xí)和分析，并自動(dòng)執(zhí)行響應(yīng)策略。

　　“自從我創(chuàng)造了最初的模型以來，零信任的戰(zhàn)略目標(biāo)始終沒有改變，我只是完善了一些相關(guān)概念?！彼a(bǔ)充說道，“我曾經(jīng)說過，五步部署模式的第一步是‘定義您的數(shù)據(jù)’，但現(xiàn)在我說第一步是‘定義您的保護(hù)面’。我對(duì)保護(hù)表面的想法集中在這樣一個(gè)理解上，即攻擊表面是巨大的，并且總是在增長和擴(kuò)展，這使得處理攻擊成為一個(gè)無法解決的問題。我顛倒了攻擊面的概念來創(chuàng)建保護(hù)面，保護(hù)面要小幾個(gè)數(shù)量級(jí)，并且很容易確定?！?/p>

　　他指出，選擇零信任技術(shù)的機(jī)構(gòu)應(yīng)該努力避免以下兩個(gè)陷阱：認(rèn)為零信任是二元的（要么一切都是零信任，要么都不是），以及部署沒有策略的產(chǎn)品（從而產(chǎn)生虛假的安全感）。

　　他解釋道：“零信任是漸進(jìn)的。它是一次可以建立一個(gè)保護(hù)面，因此可以通過不中斷的迭代的方式發(fā)展?！?/p>

　　他還建議首先在最不敏感和最不重要的保護(hù)面之上創(chuàng)建零信任網(wǎng)絡(luò)，通過學(xué)習(xí)、實(shí)踐和減少破壞性錯(cuò)誤，然后慢慢為更多和更為關(guān)鍵的保護(hù)面實(shí)施零信任保護(hù)。

　　他補(bǔ)充說，在設(shè)計(jì)零信任網(wǎng)絡(luò)時(shí)，組織應(yīng)該關(guān)注業(yè)務(wù)成果，確保從內(nèi)向外的設(shè)計(jì)模式，并正確確定是誰需要訪問資源，檢查和記錄第7層的所有流量，以便定義第7層策略聲明。

　　消除誤解

　　金德瓦格急于消除的誤解之一是：零信任使系統(tǒng)“可信”。零信任系統(tǒng)只是針對(duì)身份和多因素認(rèn)證（multi-factor authentication，MFA）。

　　他說，“零信任”消除了數(shù)字系統(tǒng)中的信任，因?yàn)樾湃问且粋€(gè)可以被利用的漏洞。零信任消耗第7層策略中用MFA驗(yàn)證的身份屬性。如果零信任等于MFA（正如許多供應(yīng)商聲稱的），那么斯諾登和曼寧的違規(guī)行為都不可能發(fā)生。他們有非常強(qiáng)大的MFA和身份解決方案，但沒有人在事件發(fā)生之后查看他們的數(shù)據(jù)包。

　　最后，他強(qiáng)調(diào)，盡管許多供應(yīng)商已經(jīng)重新定義了零信任的含義，以突破他們產(chǎn)品的限制，但這些都不是真正的“零信任”。雖然有些產(chǎn)品在零信任環(huán)境下運(yùn)行良好，但如果一個(gè)供應(yīng)商進(jìn)來向你銷售他們的‘零信任’產(chǎn)品，這足以表明他們不理解這個(gè)概念，“他指出，”如果您想聘請(qǐng)托管服務(wù)提供商來幫助您實(shí)施零信任系統(tǒng)，請(qǐng)?jiān)儐査麄內(nèi)绾味x零信任：‘這是一種產(chǎn)品還是一種策略？’然后確保他們問您的第一個(gè)問題是‘你想保護(hù)什么？’”