读懂零信任：起源、发展与架构

传统的网络安全架构理念是基于边界的安全架构，企业构建网络安全体系时，首先寻找安全边界，把网络划分为外网、内网、DMZ 区等不同的区域，然后在边界上部署防火墙、入侵检测、WAF 等产品。

这种网络安全架构假设或默认了内网比外网更安全，在某种程度上预设了对内网中的人、设备和系统的信任，忽视加强内网安全措施。不法分子一旦突破企业的边界安全防护进入内网，会像进入无人之境，将带来严重的后果。

随着云计算、大数据、物联网、移动办公等新技术与业务的深度融合，网络安全边界也逐渐变得更加模糊，传统边界安全防护理念面临巨大挑战。在这样的背景下，零信任架构（Zero Trust Architecture, ZTA）应运而生。它打破传统的认证，即信任、边界防护、静态访问控制、以网络为中心等防护思路，建立起一套以身份为中心，以识别、持续认证、动态访问控制、授权、审计以及监测为链条，以最小化实时授权为核心，以多维信任算法为基础，认证达末端的动态安全架构。

一览零信任发展史

2004 年

零信任的最早雏形源于 2004 年成立的耶利哥论坛，其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案，提出要限制基于网络位置的隐式信任，并且不能依赖静态防御。

美国国防信息系统局（Defense Information Systems Agency, DISA）为了解决全球信息栅格（Global Information Grid, GIG）中如何实时、动态地对网络进行规划和重构的问题，发起了 BlackCore 项目，将基于边界的安全模型转换为基于单个事物安全性的模型，并提出了软件定义边界（Software Defined Perimeter, SDP）的概念，该概念后来被云安全联盟（Cloud Security Alliance, CSA）采纳。

2010 年

著名研究机构 Forrester 的首席分析师 John 正式提出了零信任这个术语，明确了零信任架构的理念，该模型改进了耶利哥论坛上讨论的去边界化的概念，并提出三个核心的观点：

1. 不再以一个清晰的边界来划分信任或不信任的设备；

2. 不再有信任或不信任的网络；

3. 不再有信任或不信任的用户。

2013 年

国际云安全联盟成立软件定义边界（SDP）工作组。SDP 作为新一代网络安全解决理念，其整个中心思想是通过软件的方式，在移动和云化的时代，构建一个虚拟的企业边界，利用基于身份的访问控制，来应对边界模糊化带来的粗粒度控制问题，以此达到保护企业数据安全的目的。

2014 年

谷歌基于其内部项目 BeyondCorp 的研究成果并陆续发布 6 篇相关论文，介绍零信任落地实践。Beyond Corp 安全访问方法作为一种完全不信任网络，采用了零信任模型安全机构，设计理念如下：

1. 所有网络都不可信；

2. 以合法用户、受控设备访问为主；

3. 所有服务访问都要进行身份验证、授权加密处理。

2017 年

Gartner 在安全与风险管理峰会上发布持续自适应风险与信任评估（Continuous Adaptive Risk and Trust Assessment, CARTA）模型，并提出零信任是实现 CARTA 宏图的初始步骤，后续两年又发布了零信任网络访问（Zero-Trust Network Access, ZTNA）市场指南（注：SDP 被 Gartner 称为 ZTNA）。

CARTA 是自适应安全架构的 3.0 版本，将零信任和攻击防护相结合，强调通过持续风险和信任评估来判断安全状况，没有绝对的安全和 100%的信任，寻求一种 0 和 1 之间的风险与信任的平衡。

2018 年

Forrester 提出零信任拓展生态系统（Zero Trust eXtended, ZTX）研究报告，将视角从网络扩展到用户、设备和工作负载，将能力从微隔离扩展到可视化、分析、自动化编排，并提出身份不仅仅针对用户，还包括 IP 地址、MAC 地址、操作系统等。

简言之，具有身份的任何实体包括用户、设备、云资产、网络分段都必须在零信任架构下进行识别、认证和管理。

2020 年

NIST 发布的《SP800-207:Zero Trust Architecture》标准对零信任架构 ZTA 的定义如下：利用零信任的企业网络安全规划，包括概念、思路和组件关系的集合，旨在消除在信息系统和服务中实施精准访问策略的不确定性。该标准强调零信任架构中的众多组件并不是新的技术或产品，而是按照零信任理念形成的一个面向用户、设备和应用的完整安全解决方案。

新网络安全规划方法——零信任架构（ZTA）

随着“云、大、物、移”等新兴技术的兴起，网络现状变得愈加复杂，基于边界的传统网络安全规划方法已无法满足政企客户的网络安全需求。于是，通过将零信任概念同政企客户网络及其业务现状相结合，诞生了新的网络安全规划方法——零信任架构（ZTA）。

零信任架构作为一种企业网络安全规划，利用了零信任概念，囊括其组件关系、工作流规划与访问策略，聚焦数据保护，横向扩展到所有政企网络中的资产。它不是单一的网络架构，而是一套网络基础设施设计和运行的指导原则，可以用来改善敏感级别的安全态势。

与边界模型的“信任但验证”不同，零信任的核心原则是“从不信任、始终验证”。传统网络安全都专注于边界防御，授权主体可广泛访问内网资源，而根据 Evan Gilman《Zero Trust Networks》书中所述，零信任网络建立在五个假设前提之下：

1. 应该始终假设网络充满威胁；

2. 外部和内部威胁每时每刻都充斥着网络；

3. 不能仅仅依靠网络位置来确认信任关系；

4. 所有设备、用户、网络流量都应该被认证和授权；

5. 访问控制策略应该动态地基于尽量多的数据源进行计算和评估。

零信任架构的三大技术“SIM”

NIST 标准的发布，首次提出了零信任的官方标准定义以及实践技术架构，强调零信任是个安全理念而非技术，并指出目前实现零信任架构的三大技术“SIM”，即软件定义边界（SDP）、身份识别与访问管理（IAM）、微隔离（MSG）。

软件定义边界（SDP）

SDP 旨在使应用程序所有者能在需要时部署安全边界，以便将服务与不安全的网络隔离开。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件，仅在设备验证和身份验证后才允许访问企业应用基础架构。

从架构上讲，基于 SDP 的系统通常会实施控制层与数据层的分离，即控制流阶段，用户及其设备进行预认证来获取丰富的属性凭据作为身份主体，以此结合基于属性的预授权策略，映射得到仅供目标访问的特定设备和服务，从而可以直接建立相应安全连接。

身份识别与访问管理（IAM）

零信任强调基于身份的信任链条，即该身份在可信终端，该身份拥有权限才可对资源进行请求。传统的 IAM 系统可以协助解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。

通过 IAM 将身份信息（身份吊销离职、身份过期、身份异常等）传递给零信任系统后，零信任系统可以通过 IAM 系统的身份信息来分配相应权限，而通过 IAM 系统对身份的唯一标识，可有利于零信任系统确认用户可信，通过唯一标识对用户身份建立起终端、资源的信任关系，并在发现风险时实施针对关键用户相关的访问连接进行阻断等控制。

微隔离（MSG）

微隔离本质上是一种网络安全隔离技术，能够在逻辑上将数据中心划分为不同的安全段，一直到各个工作负载级别，然后为每个独立的安全段定义访问控制策略。

它主要聚焦在云平台东西向流量的隔离，一是区别传统物理防火墙的隔离作用，二是更加贴近云计算环境中的真实需求。微隔离将网络边界安全理念发挥到极致，将网络边界分割到尽可能的小，能够很好的缓解传统边界安全理念下的边界过度信任带来的安全风险。

写在最后：

零信任安全模型之所以一直受到行业广泛关注，是因为在传统安全架构设计中，边界防护无法确保内部系统的安全性能。尤其是随着 5G、云计算等新兴技术的融入，加剧了边界模糊化、访问路径多样化，造成传统边界防护无从入手。

面对日益复杂的网络环境，风险持续预测、动态授权、最小化原则的“零信任”创新性安全思维契合数字基建新技术特点，借助云、网络、安全、AI、大数据的技术发展，着力提升信息化系统和网络的整体安全性，成为网络安全保障体系升级的中流砥柱，推动了零信任安全架构时代的到来。