零信任不是不信任,而是要缩小默认的信任边界
零信任是为了建立更好的网络安全秩序
零信任概念
所谓零信任,英文叫做“Zero Trust”。为什么要叫做零信任,人和人之间不能真诚点儿吗?可是在网络世界我们真的很难真诚。有幅漫画“在互联网上,没人知道你是一条狗”。所以在网络世界,我们一直在寻求能够去验证的方法。比如,登录微信需要注册、使用手机验证码等。在企业网中我们也会采用边界管理(如:防火墙、准入控制等)阻挡不可信的人员或者设备接入我们的网络。
可是随着技术的发展,威胁的增加,通过了用户验证,通过了防火墙、准入控制管理从而接入网络的用户就是可信的吗?使用过程中会不会发生问题?比如:一个人登录了QQ,可是中间拿快递去了,结果一只狗狗接着在屏幕前开始和你聊天,那肿么办呢?
零信任的概念就此诞生。我们不再相信一次性的信任,比如:认证一次后,如果不断线就一直认为是这个用户。我们希望能够对用户一直验证,对终端安全状态一直监控,对可以访问的资源一直控制,当发现异常时能够快速做出控制反应。从而实现更加安全的访问。
发展历史
零信任的历史最早可以追溯到1994年。但是Google是最早的实践者。据说这个业界老大遭受了“极光”行动的攻击。一名雇员不小心点击了一封恶意邮件,从而导致重要信息泄露。为了血洗这个奇耻大辱,Google 在2011年前后开展了BeyondCorp项目。
之后CSA和NIST出版了一系列的标准,大力推动零信任概念落地。
2020年在RSAC大会上,随处可见的零信任理念和产品,最终将此概念推向了实用化。
| 时间 | 说明 |
|---|---|
| 1994 | Jericho Forum 探讨无界化下的网络安全架构与方案,提出要限制基于网络位置的隐式信任 |
| 2007之前 | 美国国防部和国防信息局建设BlackCore项目,将基于边界的安全模型转换为基于单个事物安全性的模型 |
| 2010 | Forrester 分析师 约翰.金德维格正式提出零信任概念 |
| 2011~2017 | Google Beyond Corp 实施落地,2014年陆续发表6篇相关论文介绍其零信任落地实施情况,从此众多公司纷纷效仿 |
| 2013 | CSA成立软件定义边界SDP工作组,次年发布SDP标准规范1.0 |
| 2017 | Gatner在安全与风险管理峰会上发布CARTA模型,并提出零信任是实现CARTA宏图的初始步骤,后续两年又发布了ZTNA市场指南(注:SDP被Gatner称为ZTNA,即零信任网络访问) |
| 2018 | Forrester提出ZTX(Zero Trust Expand)架构,将视角从网络扩展到用户、设备和工作负载,将能力从微隔离扩展到可视化、分析、自动化编排 |
| 2019年9月 | 美国国家标准与技术研究院发布SP800-207:Zero Trust Architecture 草案第一版本 |
| 2020年2月 | 美国国家标准与技术研究院发布SP800-207:Zero Trust Architecture 草案第二版本 |
总结
传统的网络安全是基于边界的,而零信任不再相信有安全的边界,认为网络的任何部分都充满了威胁。零信任就是在以下假设中实现安全的手段:
不再以一个清晰的边界,来划分信任或不信任的设备。(强调无边界);
不再有信任或不信任的网络(不分内外网);
不再有信任或不信任的用户(一次认证、静态认证或只靠认证是不可靠的);
同时要注意到:
1.零信任不是一种具体的技术,是一个安全理念安全方法;
2.实现零信任需要一段较长的时间和旅程;
3.零信任产品是一种实现零信任的必不可少的工具;
193
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
