“零信任”(Zero Trust)是目前网络安全界很火的名词,各大安全厂商都纷纷推出了相应的产品和解决方案,笔者在粗略了解这些方案后认为:零信任,采用PKI (公钥基础设施)技术,可以更简单!现在的方案太复杂,实施成本太高,也不一定能完全解决信任难题。
先说一说什么是零信任?这个概念是最早于2010年由时任Forrester研究公司的首席分析师约翰·金德维格(John Kindervag)提出来的,所有人和物都是不可信的,需要对其访问任何资源的任何请求进行信任管理和安全控制。现在,随着保护企业业务系统和数据的压力越来越大,并且攻击变得越来越复杂,企业CIO,CISO和其他高管正在越来越多地认同零信任的概念并实施零信任安全解决方案,支持零信任的安全技术已逐渐成为主流。
零信任是一个安全概念,并没有固定的某项技术,其核心思想是组织不应自动信任其边界之内或之外的任何人和物,必须在授予访问权限之前验证试图连接到各种系统的所有人和物。零信任模型从根本上遏制了城堡和护城河的旧思想,因为云计算和移动办公等新技术得到了广泛应用,城堡和护城河保护方法已经行不通了。应该始终假设网络充满威胁,外部和内部威胁每时每刻都充斥着网络,不能仅仅依靠网络位置来建立信任关系,所有设备、用户和网络流量都应该被认证和授权才能访问各种系统。
如何实施零信任?笔者并不评论某个厂家的解决方案的优缺点,只是提出了同传统安全厂商不同的解决思路供广大用户参考,传统安全厂商还是侧重于防护,而笔者的思路是直接保护被防护的最终目的地—数据。笔者认为:PKI技术是解决信任问题和保护数据安全的最有效和最高效的可靠技术。依据《密码法》对密码的定义— “密码是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。” ,采用密码技术实现对用户的安全认