零信任起源於2004年耶利哥論壇，於2010年被正式提出，隨著谷歌的BeyondCorp專案及其陸續釋出的6篇相關論文而進入大眾視野，並於2018年起在國內引發熱議。當傳統安全體系建設遭遇瓶頸的時候，零信任的出現為安全從業者打開了新思路，隨著零信任相關的團體標準、行業標準陸續出現，“零信任”彷佛一夜之間便成為業界焦點。那麼，零信任到底是不是一個產品？該如何權衡其與傳統安全體系的利弊？如何在落地過程中實現細粒度動態授權管控？帶著諸多疑問，網禦星雲專訪CZTP專家，為您一一解惑，奉上零信任落地“乾貨”！

Q：零信任到底是不是一個產品？

CZTP專家：我們常說的“零信任”，準確的說應該是“零信任安全體系”。從“體系”兩個字就能看出來，零信任不是一個產品、系統或平臺，而是一個完整的體系架構。進一步講，零信任是需要一個生態來共同完成的，至少要包含安全專業和應用專業兩個方面。

之所以有這樣的疑問，是因為每當聊到“零信任”話題，都無法避開其最小落地方式：SDP。目前，市面上的SDP大多都是產品，或者說是在VPN基礎上加了SPA技術的產品。SDP的相關產品在解決遠端運維和辦公的接入安全問題時能起到重要作用，但涉及細粒度許可權管控、資料安全管控等零信任體系中其他維度問題時，單一產品就可能力不從心。

因此，只有知道零信任體系架構的全貌，我們才能在落地零信任的過程中選擇出適合企業自身情況的建設方案。

Q：過去的安全體系真的需要推倒重來嗎？

CZTP專家：多年來，許多企業已經建立了以縱深防禦為主的安全防護體系，有的甚至已完成了立體跨區域、多層級安全防護體系。在這些使用者的安全管理者看來，零信任理念在這樣的體系中落地，往往要面對“顛覆”性安全架構和“重建”安全體系的考量，主要的安全防護體系甚至要面臨“推倒重來”的困擾，以至於落地零信任成為一件“傷筋動骨”的事情。

其實，零信任不是萬能的，它主要從身份管理、許可權控制、動態認證等方面去考慮業務的安全和資料安全。從網路層面來看，零信任主要從微隔離或者網路隱藏的角度去進行網路安全防護，但這明顯只是對傳統網路安全縱深防禦體系的能力補充，並不具備替代關係。

所以，零信任與傳統網路安全縱深防禦體系是互補關係，甚至是共生的關係。一方面，零信任體系可以融合原有的主機安全、EDR、態勢感知等為其進行安全感知能力；可以融合原有的堡壘機、統一門戶（含SSO）安全准入、VPN以及安全閘道器（FW、UTM等）作為其安全動作執行能力；可以結合原有的安全閉環機制，進行全網的零信任架構落地。另一方面，縱深防禦體系可以藉助零信任實現多層級細粒度許可權控制；可以藉助零信任的動態信任評估系統實現實時響應；可以藉助零信任的身份管理實現多裝置管理。

Q：如何落地細粒度動態授權管控？

CZTP專家：根據我們瞭解到的情況來看，要在零信任中實現動態許可權管控有一定難度，目前大多數的解決方案可能會透過終端類風險感知來實現管控，但實操的效果如何難以考量。舉個例子，在永恆之藍沒有爆發之前，打補丁、關閉445埠、開啟防火牆等操作是耳熟能詳的安全防護步驟，但從永恆之藍中招的數量來看，仍然有很多使用者沒有執行過上述操作。對此，我們可以依據永恆之藍的危害，要求沒有關閉445埠的終端不允許訪問敏感資料。但設想一下，如果終端存在另一個沒有被利用的漏洞，如何判斷其是否可以訪問業務？僅僅依靠一個終端安全評分，而非驗證可造成真傷的弱點，就能做到安全無憂？此外，即使是面對已知威脅，如果入網前的基線檢查僅停留在核查終端是否在規定網路、是否安裝防毒軟體、是否開啟防火牆等基礎環節，這些准入性質的動態許可權控制似乎離零信任中“細粒度動態管控”相差甚遠。

所以，我們在做諮詢時，一般會採用異常行為分析來落地動態許可權。透過對使用者行為資料的分析，如果確定一個人正在偷資料，那就可以名正言順地降低違規者的資料訪問許可權，這才是真正可落地的細粒度動態許可權調整。當然有條件的話，能結合終端基線和使用者異常行為分析，將兩者都作為動態因子的計算依據，就更棒了。

Q：對於企業該如何落地零信任，您還有什麼建議？

CZTP專家：在企業落地零信任之前，要認清零信任體系全貌，按需選擇適合自身環境的元件，分階段有步驟的規劃，想好關鍵環節的落地性，才能讓網路安全真正做到“零信任”。

零信任的創新性安全思維契合數字基建新技術特點，秉承“持續驗證，永不信任”原則，將成為網路安全保障體系升級的中流砥柱。今天的“大咖御談”就到這裡，感謝CZTP專家的乾貨分享。

CZTP（CertifiedZeroTrustProfessional）零信任專家認證是零信任領域首個面向從業人員的安全認證，涵蓋最新的國際零信任架構技術與實踐知識，為網路資訊保安從業人員在數字化時代下提供零信任全面的安全知識，傳播與踐行零信任理念。