零信任安全体系架构和实践

在万物互联时代，全球数据量与日俱增，人们在探究数据价值的同时也打开了数据安全这个潘多拉魔盒。

一、为什么传统网络安全在数据安全时代开始失效？

虽然已经部署了周全的网络安全措施，但数据安全事件依然不断发生。步入数据安全时代，那些原先有效的安全措施开始失效甚至于无效，这个世界究竟发生了什么变化？

01日益普及的互联网业务

互联网的飞速发展打破了常规的时间、空间限制，使我们可以服务的人群变得无限多。当然，互联网带来无限多客户的同时也带来了无限多的黑客。在海量的黑客面前，任何细微漏洞都可以被捕获，导致安全风险被无限放大。特别是两个基本假设的成立让我们无所适从：

任何应用程序都会存在漏洞；

黑客总是比用户更早地发现漏洞。

02肆意泛滥的社交网络

伴随着移动互联网的兴起，社交网络有了新的颠覆性转变。从电子邮件到QQ、微博、微信等，彻底打通了内外部网络，网络边界变得越来越模糊。每个人在社交网络上都存在大量的“最熟悉的陌生人”，他们可以利用我们的信赖轻而易举地进入我们的网络。

03无限提高的数据价值

从网络安全到数据安全转变的根本原因是数据价值的无限提高。在很多机构，数据已经成为其核心财富甚至是最大财富，甚至有“抢银行不如抢数据”的说法。在数据财富无限快速放大的过程中，数据财富的管理并没有发生本质的变化，基本处于裸奔状态。因此，那些缺乏保护的数据财富在不断诱惑企业的员工、合作伙伴犯错，不断诱惑黑客来攫取。

在现实生活中，我们不会把海量现金放在客厅、广场等公共场合，我们总是小心翼翼地为这些财富施加众多的保护措施，或者委托给更加专业的信用机构（如银行）进行保管。然而，我们现在对于数据财富的处理方式，无异于是把它放在客厅里，甚至是广场上。在数据世界里，我们尚未发现类似于银行之类的机构来保障我们的数据财富安全。

04数字世界和现实世界的镜像

随着数据价值的凸显，特别是人工智能的兴起，我们正在把现实社会发生的一切进行数字化和数据化。可以预见，在不远的将来，数据世界很快就会成为现实世界的一个投影或镜像，现实生活中的抢劫、杀人等犯罪行为会映射为数字世界中的“数据破坏”。

二、从可信任验证体系走向“零信任”安全体系

01可信任验证和零信任体系并存的生活

人们大部分时间生活在可信任验证体系中，每个人可以自由处理自身拥有的财富以及其他物资。比如：我花钱买了个茶杯，可以用来喝茶，也可以用来喝咖啡，或者把它闲置起来，或者干脆作为垃圾处理掉，我拥有处理这个茶杯的权利。在大部分生活场景下，我们都采用类似方式来处理财富、物资甚至关系。

但是，当财富或者物资的影响力大到一定程度时，我们往往需要采用另一种形式来处理。比如：价值连城的古董，虽然你花钱购买了它，但是你并没有权利随意将它打碎；山林绿化，虽然山和林都是你的，但是你并没有自由砍伐权。可见，当涉及到大宗利益和公共利益的时候，往往是另一种机制在发挥作用：零信任机制。比如战略情报、重大选举、法律规章制订、多重鉴权（权限审批）等，都是基于零信任体系的运行机制，其前提假设就是没有人可以被天然信任。

02传统IT系统中的可信任验证体系

传统IT系统（如操作系统、数据库以及其他各类信息化系统）几乎都严格遵循了类似生活中可信任验证的安全设计理念：每个人对于自己所拥有的一切具有任意处置权。比如：在Oracle数据库中，Schema账户对于存储在Schema下的所有对象拥有任意处置权，可以任意查询、更新、删除和清除。DBA账户作为整个数据库的拥有者，对数据库的所有对象具有任意处置权。

这种处置理论看似正确，细思极恐，你会发现这种处置方式非常“荒唐”，在很大程度上依赖于人性，即遵纪守法的自觉性等。DBA只是一个管理数据库的人，而不是处置数据的人。正如一个仓库管理员，仅仅只是负责仓库的清洁、温湿度、安全等事宜，而对于仓库中的谷物、物资等并不具有处置权。而Schema账户则类似于一个仓库，数据和代码只是需要一个仓库存放而已，仓库管理员不应该对放置在仓库中的物资具有任意处置权。

虽然这套基于传统账户的安全体系在相对可信任的内网环境具有很好的生存空间，但是在本质上存在着概念混淆。这套体系很容易混淆了账户和身份的区别，账户只是信息系统的一个登录凭证和引用凭证，而身份则是现实生活中的人，两者之间基本上是割裂的。在真实的数据库实践中，账户更多的仅仅是作为数据库对象存储的容器，而不是作为身份。这种混淆最终使生活中可信任验证体系中的核心身份模糊化。现代网络环境中的身份安全性越来越差，这种模糊性最终导致了传统网络安全体系的不可延续。

03走向零信任安全体系

走向零信任安全体系主要受到两个方面的推动：

（1）互联网、移动互联网和社交网络已经把世界上的每一个人都联系在一起，突破了时间和空间的限制，网络边界变得越来越模糊，实际上已经不存在安全的网络。因此，以账户为基础的安全体系无以为继，需要把账户转变为身份才可以在这种网络中安全生存。

（2）现实生活中涉及巨大价值或巨大公共利益时，往往通过零信任体系而不是通过可信任体系来解决。数据的价值今非昔比，近几年其价值在不断放大，数据的托管性和多面性总会涉及众多的公共利益。参照现实模型，零信任安全体系可以作为最恰当的数据安全体系架构。

三、“零信任”安全体系的基本原则

当数据构成我们的财富和核心竞争力时，传统的可信任体系面临巨大挑战，无法满足用户数据安全的需求。我们需要构建零信任体系，以管理战略情报的思维来管理数据。

零信任安全（或零信任网络、零信任架构、零信任）最早由约翰·金德维格（John Kindervag）在2010年提出。我们也在2010年并行地提出了零信任安全体系并加以实践，是全球最早的零信任安全体系架构构建者和实践者，在多年的零信任实践中形成了系列的零信任安全体系的基本原则和实践原则。

在零信任安全体系构建中，我们遵循四个基本原则：

灯下黑

不会被发现就意味着不会被攻击，纵然我们的业务和系统充满着各种各样的安全漏洞。比如隐形战机的速度慢、防御差，但是受到攻击的几率不高。灯下黑放弃了传统的对抗思路，让我们在黑客扫荡式的互联网攻击中免疫。

与狼共舞、带毒生存

在网络边界模糊的今天，假定我们的网络总是被攻破，网络内部总是会存在“坏人”，我们需要在一个充满“坏人”的网络环境中确保关键资产不会受到破坏和泄露，确保关键业务不会受到影响。

不阻断、无安全

入侵者或破坏者往往只需几秒到几分钟就可以对关键资产和关键业务造成破坏和影响。除了极个别专业机构之外，绝大部分机构都无法对入侵做出快速响应。即使机构具有这个快速响应能力，其巨大的快速响应成本也是绝大部分机构所无法承受的。我们需要在事件发生之前阻断事件的发生，在无须部署快速响应能力之下做到最大安全。

知白守黑

如何识别“坏人”一直是传统网络安全的核心命题，我们通过日积月累的“坏人库”来勾画各种“坏人”的特征。遗憾的是海量的“坏人”特征依然无法更好地帮助我们识别出可能的“坏人”。知白守黑从另一个角度去看待“坏人”，我们不去勾画“坏人”的特征，而是去勾画“好人”的特征，不符合“好人”特征的就是“坏人”。从业务的角度来看，“坏人”的特征是无法穷尽的，而“好人”的特征在特定场景下是可以穷尽的，知白守黑可以更好地保障数据安全和业务安全。

四、“零信任”安全体系的实践原则

01从保护目标开始，知道保护什么才谈得上安全

很难想象，在连保护目标都不知道的情况下如何保证安全性。当你不知道保护目标的时候或者保护目标虽然知道但是不可描述的时候，你只能竭力去识别可能的“坏人”，你只能进行面面俱到的通用防护，或者对于臆想中的攻击进行场景式防御。

数据安全不同于网络安全，它定义了一个明确的保护目标：数据。每一份数据都有其固有的特征和行为，我们可以围绕着这些固有的特征和行为来构建保护和防御体系。

02保护要由内而外，不是由外而内

当我们明确定义了数据是保护目标时，由内而外的保护就成为我们自然的选择。越靠近数据的地方，保护措施就越健壮，这是一个常识性认知。由内而外的层层保护都本着相同的目的——更加有效地保护数据安全。

03以身份为基础而不是以账户为基础

定义数据本身访问的时候，并非以账户为基础。账户仅仅是一个信息化符号，是访问数据库、业务、操作系统等的一个凭证，但并非是访问数据的凭证。我们总是尽可能以接近于人的真实身份来定义数据的访问，定义某个人或者某个身份可以访问特定的数据。或者定义特定的数据可以被特定的代表身份的规则所访问。

04知白守黑，从正常行为和特征来推断安全

当我们明确了保护目标的数据时，发现访问数据的正常行为是可以被定义和穷尽的。因此，所有在穷尽的访问定义列表之外的访问都是不合规、不安全的。而且，通过对于历史访问行为的学习，可以刻画出正常访问的特征，不符合正常访问特征的访问行为都是不合规的、不安全的。

05消除特权账户

消除特权账户是零信任安全体系建设的前提条件。引进多方联动监督制约机制，是零信任安全的基础实践。

*本文作者：杭州美创科技，转载请注明来自FreeBuf.COM