零信任从实践到落地应用的观察与思考

作为一种新兴安全理念和技术，零信任经过近十年的发展，正在从实践迈向落地应用。随着零信任从理念架构到落地实践的不断突破，如何加速构建零信任安全体系，用零信任解决方案保障千行百业的数字化转型成为目前行业普遍关注的焦点，在安全牛近期的研究中，我们也就此进行了观察与思考。

图1 零信任技术的应用发展

从零信任国际发展历程中看到，2017年前零信任还是历经了一段长时间的慢跑;2017年后陆续提出了一系列的技术标准和架构，其节奏逐渐变快;从2021年开始，零信任相关技术的成熟度明显提升。

1. 零信任的实践与应用

Google BeyondCorp是零信任的一个早期实践，其是基于理念从零开始设计和构建零信任模型，历经了数年的探索和实践。其实践的基本思想是将访问主体、客体、及访问权限进行了细粒度关联和控制，核心组件包括设备、用户、应用和工作流、网络。其中，将网络划分了特权网络和非特权网络，在非特权网络主要通过访问代理(GFE)提供集中化的粗粒度的策略强制执行机制，陆续对GFE能力进行扩展，包括认证、授权、审计等。

相比BeyondCorp，DISA(美国国防信息系统局)零信任战略实践的环境更复杂，其目标是从分散的各部门独立的安全建设向统一安全防护架构改造。根据最新消息，DISA战略于2022年1月份开始启动，启动前用一年多的时间进行方案评估和架构规划。其过程从时间轴上如图2所示：

图2 DISA零信任战略推进的路线

2020年10月，零信任参考框架在DISA的JITC(联合互操作性测试指令)实验室进行构建并测试，其目标是开发出一个不受供应商限制的解决方案。这一验证也为后续的战略计划和方案建设奠定了信心和基础。该验证之前， NIST下属的 NCCoE(国家网络安全卓越中心)在2020年03月发布过《实现零信任架构》项目说明书(草案),也是旨在通过商用产品构建零信任架构。

在架构设计中，定义了零信任架构的7个支柱性性元素，分别是：用户、设备、网络/环境、应用/工作负载、数据、可视化/分析、自动化与编排，并对这些元素匹配了具体的能力和关键技术。2021年10月份基于零信任架构进一步提出了构建方案—Thunderdome，确定通过SASE重构来实施零信任战略。最后，根据确定的方案制定出项目具体的实施计划。

图3 美国零信任实践到应用发展的五个阶段

Thunderdome方案实施的同时，美国管理和预算办公室(OMB)也发布了《联邦政府零信任战略》正式版，明确了美国“民用机构”零信任架构的五个核心支柱，进一步从管理、技术、架构、基础设施选用维度提出了具体要求。OMB与DISA零信任战略规划的过程看上去非常相似，但OMB的建设速度相对DISA又加快了很多。而DISA从互操作验证到项目落地实施每个阶段都保留了一段过渡时间，整个过程看上去更谨慎些。

总结美国从实践到DISA重构转型的过程，其中经历了技术实践、互操作性验证、架构规划、技术方案、实施计划5个阶段。如果说早期BeyondCorp是实践，那么今天DISA和OMB的零信任战略则承载了重要安全任务并且有技术标准、有架构验证、有全局规划及妥善计划的落地应用。这在一定程度上标志着零信任从实践走向了应用。

2. 我国零信任应用的观察

在国内，“替代VPN”一度被认为是零信任的重要使命之一。但VPN最初的使命是为远程访问建立专用网络，而零信任的初衷是数据保护的一种安全范式，旨在防止数据泄露和限制内部横向移动。用VPN应对云时代海量远程接入的安全访问需求原本也很牵强，但VPN持续暴露的安全风险，确实是助力零信任发展的重要力量之一，并且推动SDP网关成为替代企业远程办公的重要解决方案。

我们看到，保障零信任行业应用的相关配套标准已经开始出现。中国电子标准化协会主导的《零信任技术规范》、中国城市轨道交通协会主导的《城市轨道交通云平台网络安全技术规范》，均给出了采用零信任理念时强访问控制的技术要求及可参考的逻辑架构，强调不管是人、设备、应用还是数据都要进行身份标识、访问认证和动态授权。同时，商密行业为进一步增强了证书体系的安全性也在践行零信任，在重要的访问控制环节结合零信任理念对传统数字证书的分发、授权进行改造。

零信任理念对传统安全产品的赋能也再进一步加强：

(1)在用户识别能力方面，零信任赋能了IAM为代表的身份与访问安全技术，对用户认证的需求又驱动了权限管理和特权管理成为更加重要的能力单元。

(2)在网络与通信安全方面，以SDP为中心的访问控制方案已成为网络远程接入安全的重要组成，但目前企业方面还是处于尝试状态，如何更好地进行持续风险评估，以及是否可以完全无特权访问还待验证。

(3)在终端安全方面，除了网络接入侧强验证，零信任也进一步推进了安全引擎、沙盒、虚拟空间等技术在终端安全上的应用，扩展了终端基线检测、入侵检测/防护、审计等安全管理能力。这不仅对大量的、分散部署的终端风险管理的助力很大，也将帮助XDR提高快速检测-响应能力。

(4)在数据安全方面，零信任理念整合了传统数据安全的访问和管控能力，能很好应对云平台上大数据的碎片化管理问题;对移动和远程终端上的数据泄露问题，通过终端的虚拟空间技术也得到了很好的扩展;另外，对数据中心的数据安全问题，在网络侧进行数据管控会更适合，但从访问控制和部署角度看，其方案与远程办公的零信任方案又有异途同归之处。

(5)在零信任理念的影响下，应用交付、WEB VPN类设备相比传统的应用交付也做了很多改进：部署方案上访问控制和策略管理在逐渐分离，产品设计上在增强多因素认证以改进权限管理策略，特别是在应对API访问泛在化的安全风险中涌现了一波专业API安全防护能力，提升了运行时应用自我防护能力。

零信任理念让用户、终端、网络、数据、应用五个方面安全能力都有了诸多改变，但是从系统化的建设角度看，国内目前的应用还很有限：

(1)零信任架构是一种集成了诸多安全能力的综合性解决方案，对组件的依赖性大。但需求侧，企业在零信任方案采购中更愿意选择不受供应商限制的解决方案。

(2)从供给侧来看，目前阶段零信任方案还多由厂商主导，多以其擅长领域的能力提供为主，支撑企业进行零信任全局战略规划的难度较大。

(3)目前行业缺乏零信任方案组合的互操作性评估。同时对行业现有的零信任构建框架，需要更多的实践去验证。