什么是零信任？你的倾向决定了你的理解

这些年来，“零信任”作为下一代安全模型，在网络安全行业广为流传，流行到连以拖拉而闻名的美国联邦机构也宣称要”all in“零信任。然而，阻碍它被广泛采用的关键障碍是：对于什么是”零信任“，存在广泛的认知偏差。随着网络钓鱼、勒索软件等安全事件愈演愈烈，情况必须得到改变，并且改变很快就会发生。

零信任的核心关乎组织对其网络和IT基础设施的理解。在旧有模式下，办公环境中的所有计算机、服务器和其他物理设备都位于同一网络中，并且彼此信任。员工可以使用办公电脑连接到所在楼层的打印机，或者在共享服务器上查找团队文档。防火墙和防病毒软件等工具被设置为将组织之外的任何东西都视为坏东西；而内部网络中的一切都不需要仔细检查。

然而，移动设备、云服务和远程办公的爆炸式发展从根本上挑战了这些假设。组织无法在对员工使用的每一台设备进行物理控制（即使他们能做到，旧模式也并不是那么好）。一旦攻击者穿越了防御边界，通过远程或从物理上渗透进入一个组织，连接到内部网络，他们将立即获得信任和操作自由。事实上，安全从来都不是”外部坏、内部好“那么简单的。

谷歌公司信息安全高级总监Heather Adkins提到：“大约11年前，谷歌遭遇了一次复杂的网络攻击，这次攻击意义深远。”具有国家背景的黑客在谷歌公司的网络中横冲直撞，他们在盗取数据和代码的同时建立后门程序，以便在被发现后以其他方式重新进入谷歌的网络。”我们意识到之前学到的构建网络安全的方法毫无用处。因此，我们开始重新设计。如今，当你走进任何一座谷歌的办公大楼，你就好像是走进了一间星巴克。就算你能访问到一台谷歌的计算机，也不会因此得到信任。对于攻击者来说，情况已经变得困难了许多，因为我们改变了战场。“

零信任要求人们证明自己应该被授予访问权限，而不是信任来自特定位置的特定设备或者是特定连接。通常，这意味着多因素身份认证，与传统的单因素身份认证相比，这使得攻击者更难假冒用户身份。即使有人成功冒用身份，授权也基于“按需”的原则进行。如果你在公司的身份不是财务人员，你的账户就不应该具备开发票的权限。

如果你接触过的零信任倡导者足够多，你就会发现这整件事情听起来更像是玄学。这些人一贯强调的是，零信任不是一个可以安装的软件或设备，而是一种理念、一套概念、一项原则、一种思维模式。安全厂商的营销宣传把零信任描绘成一枚银弹，而这些零信任倡导者想要让人们更现实一点。

”厂商听到这种热词后的第一反应就是找到一款已有的产品，按照新概念对它进行包装，然后开始宣传，比如说：‘现在我们的零信任达成度已经增加了10%！’“，独立安全研究员Ken Westin说道，在其职业生涯中他一直与安全销售和营销团队合作。“这是有问题的，因为零信任是一个概念，而不是一个动作。你仍然需要进行诸如列举设备和软件清单、网络分段和访问控制等具体的动作。作为安全产业的从业人员，我们需要更完整的传递信息，尤其是在组织正面临大量攻击和威胁的当下，不应该去跟他们扯这些废话。”

既然对零信任的真正意义和目的的理解存在混淆，人们也就更难在实践中实现这些想法。零信任的拥护者们在很大程度上接受的是这个名字背后的总体目标和目的，但是忙碌的高管们或是IT管理员很容易被引入歧途，最终得到实施的只是被强化的旧方法，而非引入新方法。

“过去20年中，安全行业一直在同一个方法中加上一些华丽的点缀，诸如人工智能或机器学习之类的。”基于零信任的反钓鱼公司MetaCert的创始人兼首席执行官Paul Walsh表示。“如果它不是零信任，那它就只是传统安全，不管你往里面添加什么技术。”

尽管云提供商特别能够将零信任概念融入到他们的平台中，帮助客户在他们自己的组织中应用这些概念。但谷歌云首席信息安全官Phil Venables指出，他和他的团队还是花费了大量的时间与客户讨论零信任的真正含义，以及他们如何将这些原则应用于谷歌云自己的环境以及其他方面。

“对零信任的模糊理解广泛存在，”他说。“客户们说，‘以前我以为自己知道什么是零信任，但现在人人都在说零信任，什么都被算成零信任，我开始怀疑自己的理解了。’”

除了被模糊理解之外，零信任应用的最大障碍是：现存的大多数网络基础设施都是基于旧的边界防御模型设计的。新旧方法的本质不同，导致根本不存在简单的方法来改造这类系统以实现零信任。因此，在组织中全面实施零信任可能需要巨大的投资，重构旧系统也会带来很多不便。而这些正是那些可能永远无法完成的项目的显著特点。

基于上面的原因，在联邦政府实施零信任这件事的难度尤其巨大。尽管拜登政府有计划这么做，但联邦政府使用的是一个由供应商和遗留系统组成的大杂烩，对其彻底改造需要花费大量的时间和金钱。前CISA网络安全助理总监Jeanette Manfra于2019年底加入谷歌，她亲身体验了从政府IT部门到科技巨头自己的零信任内部基础设施的差异。

她说道：“在我之前所处的环境中，我们在保护敏感的个人数据和任务数据方面投入了大量纳税人的资金，我作为一名用户体验到这项工作的困难。而在谷歌，我感受到作为一名用户可以在拥有更高安全性的同时，拥有更好的体验，这让我非常吃惊。”

这并不是说零信任就是解决安全问题的灵丹妙药。受雇对组织进行攻击并发现其数字弱点的安全专业人员（俗称红队）已经开始研究如何进入零信任网络。在大多数情况下，只要将受害者网络中尚未按照零信任概念升级的部分作为攻击目标，红队仍然可以很容易达成攻击。

“如果公司将其基础设施向符合零信任原则的云端迁移，这将关闭一些传统的攻击路径，”资深红队成员Cedric Owens表示。“但老实说，我还从来没有遇到过完全符合零信任原则的环境。”Owens同时还强调，尽管零信任概念可以用于加强组织的防御，但它也不是无懈可击的，他举了个例子：公司在过渡到零信任时，可能在云环境中存在错误配置。这可能就会无意中引入一个可以被攻击的弱点。

Manfra说，组织很难在短期内理解零信任方法带来的好处。不过她同时也补充说，零信任的抽象本质也有其好处。相对于特定的产品来说，从概念和原则出发的设计拥有更好的灵活性，也可能会更加持久有效。

“从哲学角度来讲，我认为零信任方案更加持久，”她说。“了解谁在访问你系统中的什么内容，这对理解和防御总是有帮助的。”

声明：本文来自安全读写，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。