专访奇安信身份安全实验室：零信任安全，新身份边界

时间 2019-11-07

原文原文链接

零信任（或零信任网络、零信任模型等）这个概念最先是由John Kindervag于2010年提出的，他当时是Forrester的分析师。John Kindervag很是敏锐地发现传统的基于边界的网络安全架构存在缺陷，一般被认为“可信”的内部网络充满威胁，“信任”被过分滥用，并指出“信任是安全的致命弱点”。所以，他创造出了零信任（Zero Trust）这个概念。“历来不信任，始终在校验”（Never Trust，Always Verify）是零信任的核心思想。安全

传统的网络安全架构基于网络边界防御。企业构建网络安全体系时，首先把网络划分为外网、内网和DMZ区等不一样的安全区域，而后在网络边界上经过部署防火墙、WAF和IPS等网络安全技术手段进行重重防御，构筑企业业务的数字护城河。这种网络安全架构假设或默认了内网比外网更安全，在某种程度上预设了对内网中的人、设备、系统和应用的信任，从而忽视内网安全措施的增强。网络

美国Verizon公司的《2017年数据泄露调查报告》指出，形成企业数据泄露的缘由主要有两类：一是外部攻击，二是内部威胁。随着网络攻防技术的发展，新型的网络攻击手段层出不穷，攻击者面对层层设防的网络边界，每每会放弃代价高昂的强攻手段，转而针对企业内部网络中的计算机，采用钓鱼邮件、水坑攻击等方法渗透到企业网络内部，轻松绕过网络边界安全防御措施。因为人们每每认为内网是可信任的，所以攻击者一旦突破企业的网络安全边界进入内网，就会如入无人之境。此外，企业员工、外包人员等内部用户一般拥有特定业务和数据的合法访问权限，一旦出现凭证丢失、权限滥用或恶意非受权访问等问题，一样会致使企业的数据泄露。架构

基于这样的认知，零信任针对传统边界安全架构思想从新进行了评估和审视，并对安全架构思路给出了新的建议：默认状况下不该该信任网络内部和外部的任何人、设备、系统和应用，而是应该基于认证和受权重构访问控制的信任基础，而且这种受权和信任不是静态的，它须要基于对访问主体的风险度量进行动态调整。机器学习

客观地说，John Kindervag提出零信任架构的开始几年，这一理念并无得到网络安全行业的广泛关注，只是在一些社区有着小范围的讨论和实践，《零信任网络在不可信网络中构建安全系统》的做者Evan Gilman和Doug Barth就是早期实践者之一。然而，2015年先后，状况发生了明显的变化。层出不穷的高级威胁和内部风险，以及监管机构对企业网络安全的监督力度逐渐增强，使得零信任架构变革的外部驱动力愈来愈强。随着企业数字化转型的逐渐深刻，以云计算、微服务、大数据、移动计算为表明的新一代信息化建设浪潮愈演愈烈，IT基础设施的技术架构发生了剧烈的变革，致使传统的内外网络边界变得模糊，很难找到物理上的网络安全边界，企业天然没法基于传统的边界安全架构理念构筑安全基础设施。安全架构若是不能随需应变，天然会成为木桶最短的那块木板，零信任架构变革的内生驱动力也在持续增强。异步

2017年，Google对外宣布其基于零信任架构实践的新一代企业网络安全架构——BeyondCorp项目成功完成，为零信任在大型、新型企业网络的实践提供了参考架构。这一最佳实践成为零信任理念的助推剂，各大安全厂商、分析机构和大型企业快速跟进，对零信任的推广和宣传也持续升温，在RSAC 2019展会上达到高潮，零信任俨然成为网络安全界的新宠。微服务

固然，任何一种新生事物都不免受到人们的质疑，零信任架构也不例外。在过去一年多时间推广和实践零信任的过程当中，咱们遇到最多的质疑是，零信任听起来并无什么新技术，是否是“新瓶装旧酒”？的确，零信任是一种全新的安全架构，但其核心组件基于身份与访问管理技术、终端设备环境风险评估技术、基于属性的访问控制模型、基于机器学习的身份分析技术等构建，听上去并无太多激动人心的新技术。而且，零信任的最佳实践反却是推荐使用现有的成熟技术，根据具体的应用场景，按照全新的逻辑进行组合，就能起到彻底不一样的安全效果。学习

咱们认为零信任的创新和价值偏偏不在于具体的组件技术自己，而在于架构理念和安全逻辑层面。零信任架构与传统的边界安全架构、传统的安全防御理念最大的不一样之处在于如下几点。第一，在网络安全边界瓦解、攻击面难以穷尽的情形下，与传统的安全理念不一样，零信任架构引导人们更加关注“保护面”而不是“攻击面”。首先识别须要重点保护的资源对象，而后穷举分析该资源对象的访问路径，最后采用恰当的技术手段作好每条路径的访问控制措施。第二，零信任架构认为网络是不可信任的，所以再也不寄但愿于在传统的网络层面加强防御措施，而是把防御措施创建在应用层面，构建从访问主体到客体之间端到端的、最小受权的业务应用动态访问控制机制，极大地收缩了攻击面；采用智能身份分析技术，提高了内外部攻击和身份欺诈的发现和响应能力。第三，零信任架构在实践机制上拥抱灰度哲学，以安全与易用平衡的持续认证改进固化的一次性强认证，以基于风险和信任持续度量的动态受权替代简单的二值断定静态受权，以开放智能的身份治理优化封闭僵化的身份管理。所以，灰度哲学是零信任安全的内生逻辑，也是零信任安全实践的指导原则。大数据

今天咱们有幸邀请到了《零信任网络：在不可信网络中构建安全系统》译者奇安信身份安全实验室，来看看他们的所思所想:优化

异步社区：能够简单介绍一下我们翻译团队吗？为何想要翻译这本书？

奇安信身份安全实验室：云计算

咱们是奇安信身份安全实验室，是专一“零信任身份安全架构”研究的专业实验室。做为奇安信集团下属的创新业务实验室之一，实验室以“零信任安全，新身份边界”为技术思想，对零信任保持着持续关注，并积极地在国内进行零信任理念推广和落地实践，也推出了相关产品与解决方案。

但在此过程当中，咱们发现国内的安全界同仁对零信任的概念比较陌生，理解不够深刻，为了加快国内对零信任这种先进的安全架构的采用，咱们决定对《零信任网络：在不可信网络中构建安全系统》这本书进行翻译。

异步社区：最想将《零信任网络：在不可信网络中构建安全系统》这本书推荐给谁看？

奇安信身份安全实验室：

网络工程师、安全工程师、软件工程师、CTO、CISO等，每一个人均可以从零信任模型的学习中受益。即使没有相关的专业背景知识，也能够很容易地理解本书描述的许多原则。

本书也可以帮助领导者理解零信任模型的基本概念，在零信任模型的实践中作出正确的决策，从而逐步改善组织的总体安全情况。

异步社区：零信任网络做为这两年安全领域的热门话题，能够简单介绍一下零信任的发展历史吗？

奇安信身份安全实验室：

零信任的早期雏形在2004年的耶利哥论坛就有所体现了，随后在2010年Forrester的分析师约翰·金德维格正式提出零信任的概念，金德维格先生基于对网络安全的深刻洞察，提出默认不该该信任任何网络流量，而是须要基于强认证和细粒度受权来重建信任。

但在零信任概念推出的前几年，业界并未对其普遍关注，2017年是个分水岭，由于2017年，Google基于零信任的全新安全实践BeyondCorp项目取得成功，验证了零信任在大型网络场景下的可行性，业界受到Google BeyondCorp项目的鼓舞，开始大力跟进和开展零信任实践。

这两年，Forrester也对零信任的理念作了进一步的扩展，提出了零信任扩展ZTX的概念，将零信任从保护范围和安全能力两个维度进行了扩展。

异步社区：做为译者，请对《零信任网络：在不可信网络中构建安全系统》这本书的内容进行简单介绍。

奇安信身份安全实验室：

《零信任网络：在不可信网络中构建安全系统》是业界截至目前惟一的一本体系化讲解零信任的书籍。对零信任的背景、核心概念、关键技术要点都作了深刻的讲解，特别是对零信任架构的两个核心术语网络代理和信任引擎作了大篇幅的介绍，全书还围绕用户、设备、应用、网络四个维度深刻讲解了信任的创建方法。做者基于本身的零信任实践和对一些业界厂商的调研写做了此书，内容由浅入深，干货多多，咱们在翻译此书的过程当中，其实也是对零信任深刻学习的过程，受益不浅。

异步社区：根据大家的理解，零信任这种安全架构的核心能力应该包括哪些方面？

奇安信身份安全实验室：

结合业界的零信任模型和奇安信在国内大型部委、央企的零信任实践，咱们认为零信任的核心能力包括以身份为基石、业务安全访问、持续信任评估和动态访问控制四个方面的核心能力。

以身份为基石：须要为网络中的人和设备赋予数字身份，将身份化的人和设备进行运行时组合构建访问主体，并为访问主体设定其所需的最小权限。

业务安全访问：零信任架构关注业务保护面的构建，要求全部业务默认隐藏，根据受权结果进行最小限度的开放，全部的业务访问请求都应该进行全流量加密和强制受权。

持续信任评估：经过信任评估引擎，实现基于身份的信任评估能力，同时须要对访问的上下文环境进行风险断定，对访问请求进行异常行为识别并对信任评估结果进行调整。

动态访问控制：动态访问控制是零信任架构的安全闭环能力的重要体现。设置灵活的访问控制基线，基于信任等级实现分级的业务访问，当访问上下文和环境存在风险时，须要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。

异步社区：最近的北京网络安全大会的主题是“聚合应变，内生安全”，大家认为零信任安全是不是一种内生安全？

奇安信身份安全实验室：

零信任架构是安全思惟和安全架构进化的必然，聚焦身份、业务、信任和动态访问控制等维度的安全能力，而这些能力和客户的业务密不可分，因此零信任天生就应该是一种内生安全。

基于业务场景的人、流程、访问、环境等多维的因素，对信任进行评估，并经过信任等级对权限进行动态调整，这是一种动态自适应的安全闭环体系。

零信任的落地须要结合现状和需求，将零信任的核心能力和组件内嵌入业务体系，构建自适应内生安全机制，建议在业务建设之初进行同步规划，进行安全和业务的深刻聚合。

异步社区：授“计算机”以鱼不如授“计算机”以渔。大家如何看？

奇安信身份安全实验室：

这个问题颇有意思，咱们仍是围绕零信任来回答吧。在安全这个语境下，若是说传统的安全思惟或静态的、边界化的安全产品和方案是安全的“鱼”，那么零信任无疑是安全的“渔”。做为一种内生安全，零信任具有自适应的能力，和客户的业务场景结合，零信任能对访问者的信任程度进行动态度量并实时调整访问策略，对未知威胁的缓解具备很强的自适应性。

零信任提供的自适应的身份安全、业务安全、信任评估、动态访问控制等能力是开放的、平台化的，一个组织能够将业务逐步迁移到零信任，迁入的业务都将具有这种自适应的安全能力，这样零信任就变成了组织业务流程的内生能力，持续为组织的安全赋能。

异步社区：大家以为零信任的创新和价值在于什么？创新更可能是须要领域内的必定的学术或设计经验积累，仍是更须要像阿基米德那样的“灵光闪现”？或者说，创新者大多来自于务实派，仍是空想派？

奇安信身份安全实验室：

零信任的创新之处在于对安全范式的颠覆，驱动安全范式从以网络为基础转变到以身份为基础，实现以身份为基石的动态访问控制体系，其安全价值在于助力企业实现全面身份化、风险度量化、受权动态化、管理自动化的新一代网络安全架构，帮助企业更快速更安全的采用新型IT技术，支撑企业数字化转型。

“灵光闪现”是须要大量理论、实践经验来支撑的，若是没有深厚的物理学知识支撑，把阿基米德老先生丢进浴缸100次估计也悟不出浮力原理，创新须要经过脚踏实地的务实派来完成。零信任理念的出现一样不是空想出来时，而是基于对安全架构的深刻理解和对安全发展趋势的深度洞察才发展出来的。一样，零信任的落地实践也不能想固然，纸上得来终觉浅，须要结合客户场景，结合安全现状推出适合国内实际状况的零信任产品和解决方案。

异步社区：如何平衡工做和翻译工做？有什么提升效率的方法或诀窍推荐吗？

奇安信身份安全实验室：

老实说，翻译所需的工做量和难度是超出预期的，翻译团队的伙伴们本着对零信任的高度热情，在工做之余投入了巨大的精力去进行翻译和校对，在翻译过程当中，在搭高铁、坐飞机的碎片时间，都被充分利用起来了，积少成多，最终顺利完成本书翻译。

为了确保翻译质量，对每一章节基本上都经历了逐段翻译、脱稿校对、逐字检查的过程，确保最终成书的信达雅，固然，毕竟经验有限，不免有疏漏之处，还请你们多包涵并给咱们反馈。

异步社区：做为《零信任网络：在不可信网络中构建安全系统》一书的译者，大家对阅读本书的建议是什么？

奇安信身份安全实验室：

零信任毕竟是一个全新的安全理念，自己在持续的发展和完善中，所以，原做者对零信任的理解也不免有不全面的地方。

你们学习本书的过程当中，建议结合其余零信任相关资料进行对比，好比，Google关于BeyondCorp项目一共发表了六篇论文，详细讲解了BeyondCorp项目的理念、架构和迁移方法等，能够做为《零信任网络：在不可信网络中构建安全系统》一书的配套资料一块儿学习。

这六篇论文，奇安信身份安全实验室也作了翻译，你们能够从网络上免费获取。

零信任网络：在不可信网络中构建安全系统

做者：【美】埃文·吉尔曼（Evan Gilman），道格·巴斯（Doug Barth）

译者：奇安信身份安全实验室

推荐理由：

理解零信任模型是如何把安全内嵌入掌握零信任网络中主要组件的基本概念，包括网络代理和信任引擎；
使用现有的技术在网络参与者之间创建信任；
理解零信任模型是如何把安全内嵌入系统的运营管理，而不是创建在系统之上；
学习如何把基于边界安全模型的网络迁移到零信任网络。

保护网络的边界安全防护措施并不如人们想象中那么牢不可破。防火墙保护之下的网络主机自身的安全防御很是弱，一旦“可信”网络中的某个主机被攻陷，那么攻击者很快就能以此为跳板，侵入数据中心。为解决传统边界安全模型固有的缺陷，本书为读者介绍了零信任模型，该模型认为整个网络不管内外都是不安全的，“可信”内网中的主机面临着与互联网上的主机相同的安全威胁。

- END -