零信任的现状与未来：从成熟度模型看安全架构的持续演进，从零基础到精通，收藏这篇就够了！

导言

本文将带你深入探讨零信任架构的成熟度模型，像剥洋葱一样，一层层剖析当前网络安全实施的现状、痛点和未来趋势。让你明白，零信任不是一蹴而就的终点，而是一场永不停歇的安全进化之旅！

开篇语：别再自我安慰了！你的“零信任”可能只是个假把式

还记得2022年吗？那会儿零信任简直火得不像话！各种网络安全展会、研讨会，甚至是官方报告，都在疯狂安利零信任。但现在呢？AI安全后来居上，零信任却好像原地踏步。

扪心自问，我们真的把零信任用起来了吗？还是仅仅在原有系统上加了个身份验证插件，就敢拍着胸脯说“搞定了”？

这么长时间过去了，我们连零信任的定义都没完全搞清楚，更别提如何落地实施了。如果你也踏上了零信任的征程，不妨停下来想想：你走了多远？距离终点还有多远？

什么是零信任架构？——打破“信任”的幻觉

简单来说，零信任架构就是一种“怀疑一切”的安全模型。它要求每个用户、每个设备，每次访问都要证明自己的可信度。说白了，就是把每次访问都当成潜在的威胁，直到确认安全为止。

传统的网络架构就像一个城堡，内部人员被认为是“自己人”，可以随意进出；外部人员则被挡在城墙之外。但零信任打破了这个设定，不再以网络边界来区分信任与否。无论你身处何处，都要经过严格的身份验证才能访问资源。

Google的BeyondCorp是零信任架构的鼻祖，它在2014年的一篇论文中首次提出，并逐渐演化成更广泛的零信任原则。

零信任三要素：用户、设备、访问

零信任架构的核心在于控制用户如何访问企业资源。比如，新来的销售经理想用Macbook访问内部Wiki，系统会同时考虑用户身份、设备安全和访问权限，三者缺一不可：

• 用户：你是谁？
  确认用户的身份是第一步。你需要搞清楚用户是谁，用什么方式验证身份，以及如何管理用户组。
• 设备：你从哪里来？
  你需要明确哪些设备可以访问你的资源（公司电脑、个人手机等），并设定最低安全标准（设备管理、补丁版本等）。记住，用户凭证的安全性取决于设备的安全性。
• 访问：你有什么权限？
  这是最复杂的部分。访问内部网站可能只需要简单的SSO验证；但要SSH访问生产环境，就需要更严格的控制。

请注意，这里我们刻意忽略了网络环境。因为在零信任架构中，网络位置不再是判断信任的标准，访问决策完全基于用户和设备的安全状态。

零信任成熟度模型：看看你在哪个段位？

为了更好地评估你的零信任实践水平，我们提出了一个成熟度模型。这不是一份操作指南，而是一个评估工具，帮你了解现状，明确目标：

从左到右，代表着你保护用户、设备和应用访问的能力不断提升：

• 级别1：摸清家底。
  把VPN当成访问控制的唯一手段。你能列出用户和设备清单，但基本靠手动操作。
• 级别2：精细化管理。
  对每个服务进行授权管理，实现应用访问分段。你能衡量大部分安全指标，并执行一些安全控制。这是大多数重视安全的企业所处的阶段。
• 级别3：初窥门径。
  基本符合零信任架构的定义，甚至可能购买了所谓的“零信任解决方案”！你能根据用户和设备的特征，进行分层访问控制。
• 级别4：长期主义。
  根据风险动态调整访问控制。但由于各种复杂因素（如SaaS应用），这个目标很难完全实现。

接下来，我们深入剖析每个级别的具体特征。

级别1：摸清家底——还在用“石器时代”的安全工具？

这个阶段，你主要做的是盘点用户和设备。

你已经有了一个用户清单，通常通过集中式身份提供者和SSO实现。这个系统可能与人力资源系统打通，方便管理员工入职、离职和团队变动。但很多SaaS工具对SSO授权收费很高，甚至对强制执行SSO也要额外收费。

你还有一个设备清单（很可能只是IT部门维护的Excel表格），进行一些最基本的设备管理，比如网络凭证管理。如果允许员工使用个人设备访问资源，或者需要支持多种操作系统和移动设备，情况会变得非常复杂。

你还在使用传统的平面网络，连接到网络就意味着被信任。你能控制哪些用户和设备可以访问网络，但无法在网络内部进行分段。

如果你的公司只使用公司设备和自托管应用，那么VPN+SSO是一个不错的入门方案。

级别2：精细化管理——从“粗放”到“集约”

在这个阶段，你不再满足于简单的清单，而是开始加强安全控制。

你的用户拥有更安全的身份验证方式，比如硬件安全令牌和WebAuthn（强烈建议使用安全密钥！）。你可以根据用户属性（通常是用户组）进行区分，实现基于角色的访问控制。这个系统与HR系统关联，可以获取最新的用户角色信息，并根据组织结构创建用户组。

你的设备运行MDM解决方案或类似工具，可以执行远程擦除等基本操作，并衡量操作系统补丁版本等属性。开源工具如osquery可以简化这个过程。设备通过凭证与清单绑定，方便在访问决策时进行验证。

你已经从“非黑即白”的访问决策，转向了基于应用的授权和基于角色的控制。如果这些控制是集中管理的，而不是分散在每个应用中，维护起来会更轻松。通常，这意味着对基于浏览器的流量使用L7代理，对开发人员流量使用跳板机等不同策略。

级别3：初窥门径——“零信任”不再是口号

在这个阶段，你可以根据设备特征来强制执行访问控制。

除了保护用户登录之外，你还会关注派生凭证，如SSH密钥、浏览器cookies和访问令牌。这些凭证通常不如用户登录那样安全。如果用户创建了一个强大的、永不过期的API令牌，并将其上传到Git仓库，那么强制执行SSO和安全密钥就失去了意义。你需要通过短期会话策略来限制潜在的未授权访问，并对OAuth应用进行限制。

除了衡量设备是否符合安全策略之外，你还会根据这些特征强制执行访问。例如，要求设备在访问资源之前更新补丁，或者强制定期重启设备。设备凭证的发放使用基于硬件的身份认证：例如TPM或平台特定的实现，如Android的Strongbox，或者像Apple的管理设备证明等平台API。

最后，你实现了分层或差异化的访问控制。分层访问基于设备状态：个人设备与公司设备、补丁版本以及与安全配置要求的符合性。不符合要求的设备会被“拉黑”，失去访问权限。

恭喜你，你已经真正踏入了零信任的大门！

级别4：长期主义——真正的“零信任”在远方

在这个阶段，你可以根据风险动态地执行对所有应用的访问控制，适用于所有用户和设备。例如，你可以根据风险随时更改访问要求，要求用户重新进行身份验证。

但问题来了，完全实现零信任架构真的太难了！SaaS应用、真正基于风险的访问、设备状态以及各种网络设备，都让这个目标变得遥不可及。总会有一些例外情况，关键在于如何处理这些例外。

SaaS应用的难题

无法通过代理保护的应用很难控制访问权限。你如何把Salesforce放在代理后面？SaaS应用通常只提供SSO作为授权手段。如果幸运的话，可能会有API可以同步用户组进行基于角色的授权。第三方设备认证在行业中几乎不受支持。

一种解决方法是将SaaS应用与你的网络对接，只允许来自企业网络IP范围的流量访问这些应用。这样，员工访问Workday等应用时，必须通过公司网络。

但这种方案不仅速度慢，还违背了零信任的原则，假设你的网络是安全的。

基于风险的访问：理想很丰满，现实很骨感

理想情况下，我们应该根据风险做出细化的授权决策。但过度追求精细化可能会适得其反。如果每个应用都有自己的要求，标准化会变得非常困难，调试权限问题也会变得更加复杂。

更细粒度的要求需要更多的访问基础设施。一个Bug追踪系统需要对每个Bug进行权限控制；一个管理面板可能需要即时授权，允许支持人员调试特定的账户。

此外，随着你越来越依赖具体的安全指标，API的缺失问题会变得更加突出。

设备状态：信任谁？

设备状态对于访问决策很有帮助，但它是由设备自己报告的。一旦设备被攻击，它就开始撒谎。受信启动和设备状态证明旨在帮助你检测这种情况。它们在封闭生态系统（如macOS）中工作得更好，但在多厂商的开放生态系统（如Windows）中，复杂性会更高。

当你需要为第三方公司管理的设备提供访问权限时，设备状态就完全失效了。

网络设备：历史遗留问题

你的公司网络中有很多遗留设备无法满足级别3的安全控制，比如打印机。打印机没有安全启动，你的MDM可能无法管理打印机。最简单的设置方法是使用固定的IP地址。虽然它仍然是网络中的一个设备，但你无法像管理其他设备一样管理对它的访问。

如果你是一家创业公司，可以干脆不用打印机，直接拥抱零信任架构。但对于拥有大量遗留设备的公司来说，这是一个巨大的挑战。

零信任的终极形态：未来已来？

那么，忽略这些长期问题，最终实现零信任会是什么样子？

你拥有一套完善的系统来管理用户及其对SaaS应用的访问，并能关联日志，查看用户访问这些应用的情况。目前只有两种解决方案：要么自己托管一切，要么像Google或Microsoft那样，使用单点登录访问一切。

在设备方面，你的零信任架构涵盖了公司网络中的所有设备。通常，解决遗留问题的最简单方法是将它们从网络中移除。

最后，凭借所有关于用户和设备的信息，你可以做出实时的访问决策。这些决策不仅仅是基于规则，而是根据你所掌握的信息迅速变化，用户甚至不会注意到。

零信任：一场永无止境的旅程

请记住，零信任不是一个可以“完成”的项目，而是一个持续的过程。你需要根据组织面临的风险，不断调整你的安全策略。对你来说，达到最高级别可能并不值得。

专注于零信任架构的核心组件：用户、设备和访问，并不断改进每个领域，无论你身处哪个阶段。

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*********************************