隨著雲端計算、大資料、物聯網等新興技術的不斷興起，傳統邊界逐漸消失。而當前新基建的不斷推進，更是加速了“無邊界”的進化過程，傳統的安全防護理念應對安全風險暴露出越來越多的問題，零信任的出現為我們提供了新的安全思路，深度契合當下的網路安全環境。“零信任”已經成為網路安全的最新流行語之一。

什麼是零信任？

零信任既不是技術也不是產品，而是一種安全理念。根據NIST《零信任架構標準》中的定義：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網路環境已經被攻陷的前提下，當執行資訊系統和服務中的每次訪問請求時，降低其決策準確度的不確定性，顧名思義，零信任在預設情況下不信任企業邊界內外的所有實體。

零信任的核心思想

嚴格來說，“零信任”並不能算是一種全新的安全理念，早在2004年，國外就已經有了零信任的雛形；在國內，同時期江民在KV系列產品中也已經應用了契合零信任雛形的身份驗證與訪問授權監管體系。

零信任的核心是“從來不信任，始終在驗證”，其本質訴求是以身份為中心進行訪問控制，基於認證和授權重構訪問控制的信任基礎，在事前准入、事中控制、事後審計三個環節都進行嚴格管控，如網路中的賬號、IP地址、物理位置等均不能作為可信的憑證。信任問題是網路安全的核心問題，零信任對訪問控制進行了方式上的顛覆，升級為基於可信身份和可信行為的動態信任邊界。

零信任發展史

眾所周知，零信任並不是一個全新的事物，來看看零信任的前世今生。

2004年

零信任的最早雛形源於2004年成立的耶利哥論壇，提出要限制基於網路位置的隱式信任，並且不能依賴靜態防禦。

2010年

“零信任之父”John Kindervag正式提出了零信任這個術語，明確了零信任架構的理念。

2013年

國際雲安全聯盟成立軟體定義邊界（SDP）工作組。利用基於身份的訪問控制，來對終端安全進行實時監控，以保護企業資料安全。

2017年

Gartner在安全與風險管理峰會上釋出持續自適應風險與信任評估（Continuous Adaptive Risk and Trust Assessment，CARTA）模型，並提出零信任是實現CARTA宏圖的初始步驟，後續兩年又釋出了ZTNA市場指南（注：SDP被Gartner稱為ZTNA）。

2019年

工信部公開徵求對《關於促進網路安全產業發展的指導意見(徵求意見稿)》中，將零信任列入網路安全需要突破的關鍵技術。

2020年

NIST釋出的《SP800-207:Zero Trust Architecture》標準對零信任架構ZTA進行定義，該標準強調零信任架構中的眾多元件並不是新的技術或產品，而是按照零信任理念形成的一個面向使用者、裝置和應用的完整安全解決方案。

零信任架構

零信任架構是具備以身份為中心、最小許可權原則、持續信任評估和動態訪問控制等關鍵能力的新型網路安全體系，基於業務場景的主體、環境、訪問上下文等多維因素，對信任進行持續評估，並透過風險判定調整信任等級，形成具備較強風險應對能力的動態自適應的安全閉環。

以身份為中心

基於身份構建訪問控制體系，預設在任何網路環境中以身份資訊作為信任依據，經過多重驗證與授權才能獲得訪問系統的單次通道。

最小許可權原則

最小許可權原則是構建零信任架構所不可或缺的安全策略之一，對使用者授權最小限度開放，能夠應對憑證竊取、越權訪問等威脅。

持續信任評估

持續信任評估是零信任架構從零開始構建信任的關鍵手段，使用者需要透過持續的信任評估和演算法，結合上下文環境進行風險判定，實時調整動態信任。

動態訪問控制

動態訪問控制是零信任架構的安全閉環能力的重要體現。基於信任等級實現主體與客體的分級的業務訪問，實時獲取信任等級，當出現信任風險時，對訪問許可權進行實時干預並評估是否需要對主體進行降級。

江民科技積極擁抱零信任，旗下的“赤豹網路智慧防護系統”透過對裝置進行持續的信任校驗，結合信任評估提供的豐富上下文資訊，實現全天候不間斷安全防護，結合智慧幻影攻擊欺騙誘捕技術，快速進行攻擊檢測與響應，從脆弱性、異常行為、威脅行為多維度對裝置進行安全評價，有效發現未知威脅，準確發現內部失陷終端，為企業的安全運營提供強有力的決策及安全支撐，保障企業架構更加安全。

今天的分享就到這裡啦

下期我們來聊聊“釣魚網站”