零信任的历史与演进

译者 | 布加迪

审校 | 孙淑娟

零信任网络访问（TNA）是John Kindervag首创的零信任模型的演进版。

零信任是知名调研公司Forrester的Kindervag在2010年杜撰的术语。2017年左右，Gartner分析师们在捣鼓一个相关但不同的概念：持续自适应风险和信任评估（CARTA）。CARTA与Kindervag的零信任有着同样的用途：将隐式接受信任换成要求显式证明信任。

Steve Riley是Gartner研究这个概念的分析师之一。当时还出现了云安全联盟（CSA）的“软件定义边界”和谷歌的BeyondCorp（最初是在2009年更早时候为响应Operation Aurora而创建的）。这些与Gartner研究的“持续自适应信任”有相似之处，“零”只是个起点。

到2019年，Riley准备撰写一份关于CARTA的Gartner市场报告，但说服了同事，让他们相信零信任网络访问（ZTNA）是一个更具辨识度的主题名称。他在2019年的市场报告可谓是开山鼻祖，是Kindervag首创的零信任概念，成为如今在网络安全界最广泛的应用之一。

1.什么是零信任？  

“‘零信任’这个词现在被用滥了，以至于它几乎失去了意义，”Riley告诉SecurityWeek网站。

2017年，Gartner谈到了一个名为“持续自适应风险和信任评估”的概念。Riley将这个概念应用于零信任，在2019年杜撰了零信任网络访问（ZTNA）一词。回想起来，Riley希望自己使用零信任应用程序访问（ZTAA）一词，但现在认为改名称为时已晚。相对零信任要求而言，底层网络几乎是次要的：要访问网络上运行的各个应用程序，需要满足这个要求——这是ZTNA的真正目的。

零信任一词现在是个集体形容词。如果没有伴随的名词或名词性短语，它本身没有意义。全世界已从Kindervag革命性和有价值的什么都不信任概念（也许它本身源自最小特权这个安全原则）向前发展：现在是“如果没有充分、持续的授权，什么都不信任”。

虽然零信任可以应用于其他方面，比如零信任电子邮件访问（ZTEA）或零信任数据访问（ZTDA），但这可能是未来的事情。在这里，我们侧重于ZTNA/ZTAA。按照Riley的定义，它包括持续自适应风险和信任评估，作为一种实用的折衷方案，在不影响可用性的情况下提供最大的安全性。

2.信任代理扮演的角色  

ZTNA的一个关键概念是信任代理（trust broker）角色。信任代理位于网络外部，为经过身份验证的用户提供合适的信任级别，以访问特定的应用程序。这种方法有众多用途。

首先，它可以阻止来自经过身份验证的可信赖用户以外的任何人的所有入站通信。应用程序告诉代理谁可以通过身份验证访问哪些应用程序。Riley表示，如果没有这个外部代理，“攻击者可以连接，不必费心提交身份验证序列。他们可以随心所欲地向服务发送任何请求，看看是否可以以不可预测但对攻击者有利的方式让其行为出现异常。”代理将模式从“连接（到网络），然后验证身份”变成了“验证身份，然后连接（到某个指定的应用程序）”。

代理可以检查设备的健康状况、地理位置和用户的其他行为生物特征。它生成信任分数。如果信任分数对于指定的应用程序来说够高，就通过代理向用户授予权限。

这一点很关键——用户只被允许访问指定的应用程序。任何用户想要访问不同应用程序，都需要重新验证身份才能访问该应用程序，身份验证要求可能有所不同。这防止了网络内的横向移动，无论实施者是员工还是攻击者。

3.您能拥有真正的零信任吗？  

理解零信任概念的困难之一是每个人都知道零信任和可用性水火不容。保证零信任的唯一方法是拔掉计算机电源，将其包裹在六英尺厚的铅衬混凝土中，然后将其放入深海中。但这阻碍了可用性。

零信任是运用最小的信任，仍然确保实用的可用性。一方面增强，另一方面势必会削弱。

在目前的方法中，访问是基于信任分数授予的。从理论上讲，分数可以被操纵——只需要适当的操纵，就可以将结果即分数从“允许”以下提高到“拒绝”以上。

第二个潜在的弱点是代理。如果代理受到威胁，那么攻击者就能访问所选择的应用程序。这是Riley在他还在Gartner开始研究ZTNA概念时担心的问题。他的结论是，代理仍然是外部访问的最佳选择。替代方案是依靠公司网络和互联网之间的防火墙（我们知道这不起作用），或者使用VPN。

Riley说：“VPN一头在互联网上，另一头在公司网络中。大多数VPN集中器都潜伏在地下室的一角，永远不会更新。没法更新它，因为每个人都在不断使用它。”

信托代理方法的优势在于，它由一家全职的专业安全公司运营，其网络安全技能远超普通商业客户。他补充道：“但由于您依赖第三方服务来实现这种方法，因此确保服务本身能够证明它是可以信任的至关重要。”

4.零信任何去何从？  

请记住，零信任只是一个形容词。没有它描述的名词是没有意义的。我们在本文中分析了应用程序访问的零信任。这可能是零信任概念中最重要和最紧迫的方面。

但这不是唯一的潜在方面。零信任应该有可能应用于当前遭受访问滥用的任何方面。

现在，网络安全的当前方向之一是增加细粒度。一个很好的例子是当前向“以数据为中心的安全”迈进的趋势。所有安全的主要目的是保护公司数据——所以问题是我们是否应该期待未来会朝着零信任数据访问（ZTDA）方向发展？

基本框架已经存在。Riley说：“不妨以云端数据库表为例。不是在Microsoft Azure中建立虚拟机，并在那里运行数据库服务器，您只需使用SQL Azure，并将云端数据库表配置成URL。有一些机制可以让您针对单个字段或者整个表的行或列进行访问控制。”

无论需要何种细粒度，访问控制都可以成为有意设计的策略的一部分，旨在消除无处不在的隐式信任，始终要求对任何实体的任何形式的访问进行身份验证和授权。

Riley说：“我喜欢把这些东西抽象化。我想消除每一层的隐式信任：网络、应用程序、虚拟机和数据对象。相反，我希望看到这种情形，即每次交互都得到调控，对该交互的信心水平由上下文和周围的信号来衡量。”

简而言之，他补充道：“我认为，最终，零信任将包括零信任数据访问。”

原文链接：https://www.securityweek.com/history-and-evolution-zero-trust