2010年,零信任安全的概念最早由 Forrester 的首席分析师约翰.金德维( John Kindervag )提出。这一概念受到了当时的技术支持,然而网络供应商却过分热心地追捧,并将其运用于技术营销。
玩流行词的后果是,每个供应商都说他们的小部件或产品是“零信任”的,组织变得更加怀疑、疲惫和困惑。此外,传统IT和安全领域之外的商业领袖和受众认为,这个概念意味着不信任自己的员工,这引起了很差的共鸣。
实际上,零信任对访问控制进行了范式上的颠覆,引导安全体系架构从「网络中心化」走向「身份中心化」,其本质诉求是以身份为中心进行访问控制。
“零信任”这个总是被误解的概念,究竟是什么,而不是什么呢?你又可以应用“零信任”技术为你的组织做些什么呢?
01
零信任技术
零信任的主要思想——默认企业内、外部的任何人、事均不可信,对任何试图接入网络或访问网络资源的人、事、物进行持续验证,打破了边界化的网络防御思路,是一种更适应新需求的理念。
零信任的兴起不能简单看做某种技术、产品的扩展,而是对固有安全思路改变。在产业端,随着谷歌等公司在零信任上的进展,2019-2020 年,NIST 在 5 个月内连续发布两版《零信任架构》标准草案,意味着零信任正向标准化进展。
从技术视角划分,零信任的主流技术分为三种:即 SIM:S 为 SDP(Software Defined Perimeter, 软件定义边界)、I 为 IAM(Identity and Access Management,身份识别与访问管理系统),M 为 MSG(Micro-Segmentation,微隔离)。
软件定义边界(SDP)
软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。</