什么是零信任？

零信任是一种设计安全防护架构的方法，它的核心思路是：默认情况下，所有交互都是不可信的。这与传统的架构相反，后者可能会根据通信是否始于防火墙内部来判断是否可信。具体而言，零信任力求弥合依赖隐式信任模型和一次性身份验证的安全防护架构之间的缺口。

零信任之所以得到广泛普及，是因为随着全球威胁格局的改变，传统的网络边界安全防护理念面临巨大挑战。组织严密的网络犯罪分子可能会利用内部涉密人员，增大内部威胁的机会，同时继续寻找新的方法来突破传统安全防护架构的外壳。制作精良的黑客工具和商业化勒索软件即服务平台越来越容易获得，使得新一类经济犯罪分子和网络恐怖分子能更加轻易地得逞。所有这些威胁都有可能泄露珍贵数据，扰乱业务和商业，并对人们生活造成影响。

鉴于这一新的威胁局势，美国联邦政府开始以行政命令来推进零信任架构，许多企业也开始权衡采用这种方法的成本和收益。

在著名的 Forrester Research 2010 年零信任报告中，分析师 John Kindervag 呼吁将网络安全防护中常见的“信任但验证”方法调整为“验证而永不信任”策略。Kindervag 针对当年盛行业界的座右铭：“我们希望我们的网络就像 M&M 巧克力豆一样，外面爽脆，中间软糯”提出了质疑。几十年来，企业的网络安全都是这样设计的：一个内部或受信任的网络（中间软糯）由防火墙及其他安全防护措施（外面爽脆）与外部世界隔绝开。这个边界内的（或通过远程方法连接的）人或端点，要比边界外的人或端点获得更高级别的信任。

这种“硬壳软心”的安全防护设计可以说从来都不是理想的方法，但今天却仍在广泛使用。这些架构使得进入内部网络的人可以轻松地遍历内部网络，相应的用户、设备、数据和其他资源几乎完全不设防。网络攻击正是利用了这种设计，即首先获得对一个或多个内部端点或其他资产的访问权限，然后再沿网络横向移动、利用存在的弱点、泄露受控的信息并发起进一步的攻击。

除了易受精心策划的网络攻击外，随着网络扩展涵盖了大量端点，用户需要从更多的位置进行远程访问，并且需要通过更细粒度的服务访问更多资产，这种功能不足的架构就变得愈发压力重重。自新冠肺炎（COVID-19）疫情以来，由于工作人员纷纷开始远程办公，而云环境中的工作负载也日益增加，信任问题引起了更多关注。

为了管理这种环境的漏洞，企业正在从允许安全访问整个网络的虚拟专用网络（VPN）过渡到更精细的零信任网络访问（ZTNA），后者将会进行访问分段并限制用户对特定应用和服务的权限。这种微分段方法可以帮助限制攻击者的横向移动、减少攻击面并控制数据泄露的影响，但采用零信任模型需要企业在其安全架构的各个方面应用“验证而永不信任”的理念。

零信任安全防护的基础是去边界化和最小权限访问，它可以保护敏感数据、资产和服务免受网络边界和隐式信任架构中自有漏洞的影响。

去边界化：不再按地理边界定义企业。用户会从各种位置和端点执行运维，并从一个或多个操作环境访问资源，包括云和软件即服务（SaaS）解决方案（通常不由企业 IT 部门拥有或控制）。去边界化就是要解决这种信任与位置分离的问题。

最小权限：如果交互不能基于名称或位置可信，那每个交互都是可疑的。于是，决定是否允许交互，便成为一项必须要权衡利弊的业务决策。最小权限是指仅允许访问绝对必要的资源的做法，即一项活动所需的“最低”权限。每个资源访问请求都需要使用身份管理和基于风险的上下文感知访问控制进行动态验证。

实施零信任架构不需要全面更换现有网络或大量收购新技术。相反，该框架应该是对其他现有安全实践和工具的强化。许多企业已经拥有零信任架构所需的基础，而且在日常运维中也遵循着相应的实践。

例如，传统安全架构中，可能已经包含了一部分成功采用零信任策略所需的关键组件：

• 身份和访问权限管理

• 授权

• 自动决策

• 确保资源得到修补

• 通过事务记录和分析进行持续监控

• 尽可能自动化易出现人为错误的可重复活动

• 用于提高资产安全防护的行为分析和威胁情报

事实上，零信任如今已经在各种不同的规模以及日益广泛的环境中派上用场。其核心租户主要需要应用现有的安全实践以及组织和流程控制。诸如美国国防部、国土安全局等联邦机构以及情报部门（安全是其核心文化支柱）已经在实施零信任安全模型方面取得了重大进展。

为了满足业务需求并加快数字化转型，许多企业依赖开源组件和第三方工具来开发软件。然而，企图渗透到软件供应链中的不法分子可能会在开发生命周期的早期损害开源组件和依赖项的安全，导致网络攻击和应用发布延迟。为了保证软件供应链的安全并确保在问题修复成本较低时尽早发现问题，采用零信任方法可发挥至关重要的作用。

企业可以通过使用安全的开源代码、在容器镜像中构建安全防护、加强 CI/CD 管道以及在运行时监控应用，将供应链攻击的风险降至最低。

与像 Bell-LaPadula 这样更为正式的受控访问模型不同，零信任安全模型通常是用抽象的术语来描述的。不同的团体或标准机构往往使用不同的组件集。一个典型的组件集可能包括：

• 用户和非个人实体（NPE）身份的强大、单一的来源

• 用户和机器认证

• 其他背景信息，例如策略合规性和设备运行状况

• 用于访问应用或资源的授权策略

• 应用内的访问控制策略

这些组件主要集中在如何使用默认的“全部拒绝”和“例外允许”来实施基于身份的访问策略。

为了遵守零信任原则，信任边界必须尽可能小；按照定义，在边界内主体是受信任的，并且可以省略、绕过或以其他方式限制访问控制。由于授权应仅针对特定的业务功能，因此对于任何允许访问其他功能的边界，都应缩小它的范围。

并非系统架构中的所有安全边界都需要符合正确的零信任边界标准。这些普通边界（例如过滤不需要的 IP 地址、允许某些协议访问网络，或限制社交媒体的使用）可以与零信任重叠，并且仍然能在安全策略中发挥作用。然而，采用零信任的主要区别在于：普通边界并不是信任计算的一部分，而在传统网络架构中却可能是。只有符合零信任原则的边界才能在信任计算中发挥作用。

零信任要求始终保持不同主体之间的区隔：也就是说，任何两个主体之间始终存在信任边界，因此每次交互都需要多重身份验证（MFA）和直接授权。即便是两个主体在同一个网络上（一种非常常见的情景），但它们既不在同一物理位置上，也不属于同一业务线或集成系统的一部分，因此没有隐含的信任。

零信任安全模型会强制执行这些信任边界。通常，这是通过在与所有资源的所有潜在交互之间插入一个执行点来实现的。当这些交互随着时间而变化时，系统的身份、资源状态及其他方面也会发生改变。这种持续的改变需要对身份和资源进行同样持续的评估和监控，并适应性地执行身份验证和授权。

目前，仍有许多领域由于基础受限而无法实施。常见的问题包括：继续沿用传统技术、不成熟的业务流程，或是将安全作为基本业务功能的低优先事项。

零信任通常需要领导层和安全专业人员改变思维方式。领导者需要对维持现有已过时安全架构的风险做出评估。IT 和运营技术（OT）专业人员需要认识到他们可以在哪些方面利用现有投资来降低实施零信任的成本，以及在哪些方面需要优先考虑新的投资。然而，现实情况是：有些协议和设备永远不会是零信任的，在这种情况下，必须要做出是更换还是维持的决定。此外，如果某些系统不能完全采用零信任方法，OT 专业人员必须要思考有哪些缓解性的控制措施，以及是否可以采用替代性的安全控制措施来进一步减少风险。

转向“默认拒绝”或“始终验证”（零信任的基本前提）需要所有团队坚定决心：他们要随着时间推移不断进行实施和维护，同时确保企业或机构内的任何部分都不会试图通过创建“影子 IT”来绕过零信任安全架构。

红帽可以帮助您开启零信任采用之旅。首先，企业必须要了解并下定决心实施零信任。普遍的网络安全意识是一个重要的先决条件，以便让利益相关者着手了解当前威胁环境的性质，以及如果不遵守零信任原则，那么现有的安全实践尽管很重要，但并不完整。通过红帽开放创新实验室或其他专业红帽服务项目所提供的定制体验，红帽可以为此类培训和教育提供多种选择。