專訪奇安信身份安全實驗室：零信任安全，新身份邊界

零信任（或零信任網絡、零信任模型等）這個概念最先是由John Kindervag於2010年提出的，他當時是Forrester的分析師。John Kindervag很是敏銳地發現傳統的基於邊界的網絡安全架構存在缺陷，一般被認爲「可信」的內部網絡充滿威脅，「信任」被過分濫用，並指出「信任是安全的致命弱點」。所以，他創造出了零信任（Zero Trust）這個概念。「歷來不信任，始終在校驗」（Never Trust，Always Verify）是零信任的核心思想。

傳統的網絡安全架構基於網絡邊界防禦。企業構建網絡安全體系時，首先把網絡劃分爲外網、內網和DMZ區等不一樣的安全區域，而後在網絡邊界上經過部署防火牆、WAF和IPS等網絡安全技術手段進行重重防禦，構築企業業務的數字護城河。這種網絡安全架構假設或默認了內網比外網更安全，在某種程度上預設了對內網中的人、設備、系統和應用的信任，從而忽視內網安全措施的增強。

美國Verizon公司的《2017年數據泄露調查報告》指出，形成企業數據泄露的緣由主要有兩類：一是外部攻擊，二是內部威脅。隨着網絡攻防技術的發展，新型的網絡攻擊手段層出不窮，攻擊者面對層層設防的網絡邊界，每每會放棄代價高昂的強攻手段，轉而針對企業內部網絡中的計算機，採用釣魚郵件、水坑攻擊等方法滲透到企業網絡內部，輕鬆繞過網絡邊界安全防禦措施。因爲人們每每認爲內網是可信任的，所以攻擊者一旦突破企業的網絡安全邊界進入內網，就會如入無人之境。此外，企業員工、外包人員等內部用戶一般擁有特定業務和數據的合法訪問權限，一旦出現憑證丟失、權限濫用或惡意非受權訪問等問題，一樣會致使企業的數據泄露。

基於這樣的認知，零信任針對傳統邊界安全架構思想從新進行了評估和審視，並對安全架構思路給出了新的建議：默認狀況下不該該信任網絡內部和外部的任何人、設備、系統和應用，而是應該基於認證和受權重構訪問控制的信任基礎，而且這種受權和信任不是靜態的，它須要基於對訪問主體的風險度量進行動態調整。

客觀地說，John Kindervag提出零信任架構的開始幾年，這一理念並無得到網絡安全行業的廣泛關注，只是在一些社區有着小範圍的討論和實踐，《零信任網絡 在不可信網絡中構建安全系統》的做者Evan Gilman和Doug Barth就是早期實踐者之一。然而，2015年先後，狀況發生了明顯的變化。層出不窮的高級威脅和內部風險，以及監管機構對企業網絡安全的監督力度逐漸增強，使得零信任架構變革的外部驅動力愈來愈強。隨着企業數字化轉型的逐漸深刻，以雲計算、微服務、大數據、移動計算爲表明的新一代信息化建設浪潮愈演愈烈，IT基礎設施的技術架構發生了劇烈的變革，致使傳統的內外網絡邊界變得模糊，很難找到物理上的網絡安全邊界，企業天然沒法基於傳統的邊界安全架構理念構築安全基礎設施。安全架構若是不能隨需應變，天然會成爲木桶最短的那塊木板，零信任架構變革的內生驅動力也在持續增強。

2017年，Google對外宣佈其基於零信任架構實踐的新一代企業網絡安全架構——BeyondCorp項目成功完成，爲零信任在大型、新型企業網絡的實踐提供了參考架構。這一最佳實踐成爲零信任理念的助推劑，各大安全廠商、分析機構和大型企業快速跟進，對零信任的推廣和宣傳也持續升溫，在RSAC 2019展會上達到高潮，零信任儼然成爲網絡安全界的新寵。

固然，任何一種新生事物都不免受到人們的質疑，零信任架構也不例外。在過去一年多時間推廣和實踐零信任的過程當中，咱們遇到最多的質疑是，零信任聽起來並無什麼新技術，是否是「新瓶裝舊酒」？的確，零信任是一種全新的安全架構，但其核心組件基於身份與訪問管理技術、終端設備環境風險評估技術、基於屬性的訪問控制模型、基於機器學習的身份分析技術等構建，聽上去並無太多激動人心的新技術。而且，零信任的最佳實踐反卻是推薦使用現有的成熟技術，根據具體的應用場景，按照全新的邏輯進行組合，就能起到徹底不一樣的安全效果。

咱們認爲零信任的創新和價值偏偏不在於具體的組件技術自己，而在於架構理念和安全邏輯層面。零信任架構與傳統的邊界安全架構、傳統的安全防禦理念最大的不一樣之處在於如下幾點。第一，在網絡安全邊界瓦解、攻擊面難以窮盡的情形下，與傳統的安全理念不一樣，零信任架構引導人們更加關注「保護面」而不是「攻擊面」。首先識別須要重點保護的資源對象，而後窮舉分析該資源對象的訪問路徑，最後採用恰當的技術手段作好每條路徑的訪問控制措施。第二，零信任架構認爲網絡是不可信任的，所以再也不寄但願於在傳統的網絡層面加強防禦措施，而是把防禦措施創建在應用層面，構建從訪問主體到客體之間端到端的、最小受權的業務應用動態訪問控制機制，極大地收縮了攻擊面；採用智能身份分析技術，提高了內外部攻擊和身份欺詐的發現和響應能力。第三，零信任架構在實踐機制上擁抱灰度哲學，以安全與易用平衡的持續認證改進固化的一次性強認證，以基於風險和信任持續度量的動態受權替代簡單的二值斷定靜態受權，以開放智能的身份治理優化封閉僵化的身份管理。所以，灰度哲學是零信任安全的內生邏輯，也是零信任安全實踐的指導原則。

今天咱們有幸邀請到了《零信任網絡：在不可信網絡中構建安全系統》譯者奇安信身份安全實驗室，來看看他們的所思所想:

異步社區：能夠簡單介紹一下我們翻譯團隊嗎？爲何想要翻譯這本書？

奇安信身份安全實驗室：

咱們是奇安信身份安全實驗室，是專一「零信任身份安全架構」研究的專業實驗室。做爲奇安信集團下屬的創新業務實驗室之一，實驗室以「零信任安全，新身份邊界」爲技術思想，對零信任保持着持續關注，並積極地在國內進行零信任理念推廣和落地實踐，也推出了相關產品與解決方案。

但在此過程當中，咱們發現國內的安全界同仁對零信任的概念比較陌生，理解不夠深刻，爲了加快國內對零信任這種先進的安全架構的採用，咱們決定對《零信任網絡：在不可信網絡中構建安全系統》這本書進行翻譯。

異步社區：最想將《零信任網絡：在不可信網絡中構建安全系統》這本書推薦給誰看？

奇安信身份安全實驗室：

網絡工程師、安全工程師、軟件工程師、CTO、CISO等，每一個人均可以從零信任模型的學習中受益。即使沒有相關的專業背景知識，也能夠很容易地理解本書描述的許多原則。

本書也可以幫助領導者理解零信任模型的基本概念，在零信任模型的實踐中作出正確的決策，從而逐步改善組織的總體安全情況。

異步社區：零信任網絡做爲這兩年安全領域的熱門話題，能夠簡單介紹一下零信任的發展歷史嗎？

奇安信身份安全實驗室：

零信任的早期雛形在2004年的耶利哥論壇就有所體現了，隨後在2010年Forrester的分析師約翰·金德維格正式提出零信任的概念，金德維格先生基於對網絡安全的深刻洞察，提出默認不該該信任任何網絡流量，而是須要基於強認證和細粒度受權來重建信任。

但在零信任概念推出的前幾年，業界並未對其普遍關注，2017年是個分水嶺，由於2017年，Google基於零信任的全新安全實踐BeyondCorp項目取得成功，驗證了零信任在大型網絡場景下的可行性，業界受到Google BeyondCorp項目的鼓舞，開始大力跟進和開展零信任實踐。

這兩年，Forrester也對零信任的理念作了進一步的擴展，提出了零信任擴展ZTX的概念，將零信任從保護範圍和安全能力兩個維度進行了擴展。

異步社區：做爲譯者，請對《零信任網絡：在不可信網絡中構建安全系統》這本書的內容進行簡單介紹。

奇安信身份安全實驗室：

《零信任網絡：在不可信網絡中構建安全系統》是業界截至目前惟一的一本體系化講解零信任的書籍。對零信任的背景、核心概念、關鍵技術要點都作了深刻的講解，特別是對零信任架構的兩個核心術語網絡代理和信任引擎作了大篇幅的介紹，全書還圍繞用戶、設備、應用、網絡四個維度深刻講解了信任的創建方法。做者基於本身的零信任實踐和對一些業界廠商的調研寫做了此書，內容由淺入深，乾貨多多，咱們在翻譯此書的過程當中，其實也是對零信任深刻學習的過程，受益不淺。

異步社區：根據大家的理解，零信任這種安全架構的核心能力應該包括哪些方面？

奇安信身份安全實驗室：

結合業界的零信任模型和奇安信在國內大型部委、央企的零信任實踐，咱們認爲零信任的核心能力包括以身份爲基石、業務安全訪問、持續信任評估和動態訪問控制四個方面的核心能力。

以身份爲基石：須要爲網絡中的人和設備賦予數字身份，將身份化的人和設備進行運行時組合構建訪問主體，併爲訪問主體設定其所需的最小權限。

業務安全訪問：零信任架構關注業務保護面的構建，要求全部業務默認隱藏，根據受權結果進行最小限度的開放，全部的業務訪問請求都應該進行全流量加密和強制受權。

持續信任評估：經過信任評估引擎，實現基於身份的信任評估能力，同時須要對訪問的上下文環境進行風險斷定，對訪問請求進行異常行爲識別並對信任評估結果進行調整。

動態訪問控制：動態訪問控制是零信任架構的安全閉環能力的重要體現。設置靈活的訪問控制基線，基於信任等級實現分級的業務訪問，當訪問上下文和環境存在風險時，須要對訪問權限進行實時干預並評估是否對訪問主體的信任進行降級。

異步社區：最近的北京網絡安全大會的主題是「聚合應變，內生安全」，大家認爲零信任安全是不是一種內生安全？

奇安信身份安全實驗室：

零信任架構是安全思惟和安全架構進化的必然，聚焦身份、業務、信任和動態訪問控制等維度的安全能力，而這些能力和客戶的業務密不可分，因此零信任天生就應該是一種內生安全。

基於業務場景的人、流程、訪問、環境等多維的因素，對信任進行評估，並經過信任等級對權限進行動態調整，這是一種動態自適應的安全閉環體系。

零信任的落地須要結合現狀和需求，將零信任的核心能力和組件內嵌入業務體系，構建自適應內生安全機制，建議在業務建設之初進行同步規劃，進行安全和業務的深刻聚合。

異步社區：授「計算機」以魚不如授「計算機」以漁。大家如何看？

奇安信身份安全實驗室：

這個問題頗有意思，咱們仍是圍繞零信任來回答吧。在安全這個語境下，若是說傳統的安全思惟或靜態的、邊界化的安全產品和方案是安全的「魚」，那麼零信任無疑是安全的「漁」。做爲一種內生安全，零信任具有自適應的能力，和客戶的業務場景結合，零信任能對訪問者的信任程度進行動態度量並實時調整訪問策略，對未知威脅的緩解具備很強的自適應性。

零信任提供的自適應的身份安全、業務安全、信任評估、動態訪問控制等能力是開放的、平臺化的，一個組織能夠將業務逐步遷移到零信任，遷入的業務都將具有這種自適應的安全能力，這樣零信任就變成了組織業務流程的內生能力，持續爲組織的安全賦能。

異步社區：大家以爲零信任的創新和價值在於什麼？創新更可能是須要領域內的必定的學術或設計經驗積累，仍是更須要像阿基米德那樣的「靈光閃現」？或者說，創新者大多來自於務實派，仍是空想派？

奇安信身份安全實驗室：

零信任的創新之處在於對安全範式的顛覆，驅動安全範式從以網絡爲基礎轉變到以身份爲基礎，實現以身份爲基石的動態訪問控制體系，其安全價值在於助力企業實現全面身份化、風險度量化、受權動態化、管理自動化的新一代網絡安全架構，幫助企業更快速更安全的採用新型IT技術，支撐企業數字化轉型。

「靈光閃現」是須要大量理論、實踐經驗來支撐的，若是沒有深厚的物理學知識支撐，把阿基米德老先生丟進浴缸100次估計也悟不出浮力原理，創新須要經過腳踏實地的務實派來完成。零信任理念的出現一樣不是空想出來時，而是基於對安全架構的深刻理解和對安全發展趨勢的深度洞察才發展出來的。一樣，零信任的落地實踐也不能想固然，紙上得來終覺淺，須要結合客戶場景，結合安全現狀推出適合國內實際狀況的零信任產品和解決方案。

異步社區：如何平衡工做和翻譯工做？有什麼提升效率的方法或訣竅推薦嗎？

奇安信身份安全實驗室：

老實說，翻譯所需的工做量和難度是超出預期的，翻譯團隊的夥伴們本着對零信任的高度熱情，在工做之餘投入了巨大的精力去進行翻譯和校對，在翻譯過程當中，在搭高鐵、坐飛機的碎片時間，都被充分利用起來了，積少成多，最終順利完成本書翻譯。

爲了確保翻譯質量，對每一章節基本上都經歷了逐段翻譯、脫稿校對、逐字檢查的過程，確保最終成書的信達雅，固然，畢竟經驗有限，不免有疏漏之處，還請你們多包涵並給咱們反饋。

異步社區：做爲《零信任網絡：在不可信網絡中構建安全系統》一書的譯者，大家對閱讀本書的建議是什麼？

奇安信身份安全實驗室：

零信任畢竟是一個全新的安全理念，自己在持續的發展和完善中，所以，原做者對零信任的理解也不免有不全面的地方。

你們學習本書的過程當中，建議結合其餘零信任相關資料進行對比，好比，Google關於BeyondCorp項目一共發表了六篇論文，詳細講解了BeyondCorp項目的理念、架構和遷移方法等，能夠做爲《零信任網絡：在不可信網絡中構建安全系統》一書的配套資料一塊兒學習。

這六篇論文，奇安信身份安全實驗室也作了翻譯，你們能夠從網絡上免費獲取。

零信任網絡：在不可信網絡中構建安全系統

做者：【美】埃文·吉爾曼（Evan Gilman），道格·巴斯（Doug Barth）

譯者：奇安信身份安全實驗室

推薦理由：

• 理解零信任模型是如何把安全內嵌入掌握零信任網絡中主要組件的基本概念，包括網絡代理和信任引擎；
• 使用現有的技術在網絡參與者之間創建信任；
• 理解零信任模型是如何把安全內嵌入系統的運營管理，而不是創建在系統之上；
• 學習如何把基於邊界安全模型的網絡遷移到零信任網絡 。

保護網絡的邊界安全防護措施並不如人們想象中那麼牢不可破。防火牆保護之下的網絡主機自身的安全防禦很是弱，一旦「可信」網絡中的某個主機被攻陷，那麼攻擊者很快就能以此爲跳板，侵入數據中心。爲解決傳統邊界安全模型固有的缺陷，本書爲讀者介紹了零信任模型，該模型認爲整個網絡不管內外都是不安全的，「可信」內網中的主機面臨着與互聯網上的主機相同的安全威脅。

- END -