5 个方面实现零信任的落地

■本刊编辑部

如今，企业员工期望能拥有灵活的工作方式；各种应用正在迁移到云上；公司的IT 设备和应用越来越多样化……所有这些因素正在打破企业的安全边界，这使得传统的安全防护手段变得过时，但同时也为零信任的发展铺平了道路。

传统的安全防护方式将企业网络中的所有内容（用户、设备和应用）大致归类为可信任的。这些模型通过利用诸如VPN 和网络访问控制（NAC）之类的传统安全技术，在授予访问权限之前验证外部用户的凭证。因此，其防护重点就是加强网络边界，然后在成功验证凭证之后授予访问者对企业内部数据的访问权限。有时也将其形容为“城堡与护城河”（Castle and Moat）模型，其中，城堡指的是拥有重要数据和应用的企业，而护城河则是指阻止潜在威胁的防护体系。

但是，在当今复杂的IT世界中，用户可以从各类型的设备（移动设备、台式机、物联网等）来访问各种类型的应用程序（SaaS、On-Prem、本地应用、虚拟应用等）。无论是在企业网络内部还是外部，都需要拥有动态、灵活和简单的安全模型。而近年来新兴安全模型中最著名的也许就是零信任（Zero Trust）。

“零信任”是Forrester公司首席分析师John Kindervag 在2010 年首次提出的一个概念，用于描述使安全人员摆脱传统以边界为中心的无效方式，并指导他们建立基于对每台设备与用户之间的信任来进行连续验证的模型。它通过从“信任并认证”转向“永不信任且始终认证”的方法来做到这一点。实际上，该模型将所有资源视为外部资源，并在仅授予所需访问权限之前不断进行安全认证。

当然，从理论上讲，这些都是有意义的。但是在落地实践中，该如何实现零信任呢？在与客户讨论如何建立零信任安全架构时，我们将重点介绍五个主要方面：设备信任（Device Trust）；用户信任（User Trust）；传输/ 会话信任（Transport/Session Trust）；应用信任（Application Trust）和数据信任（Data Trust）。

接下来将分别深入探讨这些方面，以及建立对这几个方面的信任所需的基础技术。

设备信任

对于零信任而言，IT 管理员首先需要了解设备，然后才能信任它们。您必须有一个清单，该清单包括了组织里已经部署并控制的设备。IT 人员必须具有监视、管理和控制这些设备的解决方案。通过检测设备的状态，可以基于预定的安全策略来确定该设备是否可信任，以及该设备是否可控。统一端点管理（UEM）解决方案能够使IT 团队通过一个控制台就可以做到对跨平台的管理、监视和控制所有设备，包括移动设备、台式设备、便携式设备以及IoT 等。并且，通过集成端点检测和响应（EDR）技术，可以对可能的恶意端点活动的检测来进一步改善设备安全状况。

用户信任

事实一再证明，基于密码的用户身份认证效率低下。因此，作为零信任的一部分，组织必须使用更安全的用户身份认证的方法。例如，强大的条件接收引擎（Conditional Access Engine）可以使用动态和上下文数据进行决策。通过构建blocks，可以使条件访问引擎技术实现包括无密码身份认证（例如生物识别）、多因素身份认证（MFA）、条件接收策略和动态风险评分等功能。

传输/会话信任

零信任的另一个关键要素是最小权限原则。即用户或系统应当具有完成任务所必需的最小权限集合——不多也不少。最小权限原则授予了用户执行其工作所需的最小权限，并限制了用户的越权访问行为。实现最低权限访问的技术包括微分段、传输加密和会话保护。作为一个特定示例，Per-app 通道可以对某些单个应用程序进行控制来访问内部资源。这种限制意味着可以允许某些应用程序访问内部资源，而阻止其他应用程序与后端系统通信。

应用信任

使员工能够从任何设备安全无缝地访问应用程序，包括传统的Windows 应用，这对于创建数字工作区（Digital Workspace）和实施零信任至关重要。随着用户身份认证的不断改善，实现对应用的单点登录（SSO）不仅能够获得良好的安全性，而且还改善了用户体验。而对于那些非零信任的传统应用，我们可以以隔离的形式来实现安全防护。为了对传统应用程序实现隔离，可以利用虚拟桌面或应用环境作为实现从传统架构向未来零信任架构转变的桥梁。

数据信任

归根结底，最重要的是数据，这也是我们需要进行安全防护工作的原因。我们必须防止数据泄露，并确保与用户交互数据是正确的且未经篡改的。数据泄露防护（DLP）等技术可有效防止敏感数据的外泄或被破坏。尽管数据分类和完整性在很大程度上是由应用程序来处理的，但在构建零信任架构时，我们应尽可能提高信任级别。

一旦建立了以上五个方面的信任，就可以做出准确的安全策略来进行授权或拒绝访问。在做出授予访问权限的决定后，不断进行再次认证是至关重要的。一旦信任级别发生变化，则组织必须能够立即采取措施。此外，通过在五个方面之间建立信任关系，我们可以获得可见性，并且可以跨数字工作区环境来收集分析数据。借助可见性和分析功能，我们可以构建自动化和编排。