初识“零信任安全网络架构”

初识“零信任安全网络架构”

一、前言：

“零信任网络”（亦称零信任架构）自2010年被当时还是研究机构Forrester的首席分析师JohnKindervag提出时起，便一直处于安全圈的“风口浪尖”处，成为众人不断争议与讨论的对象，有人说这是未来安全发展的必然产物、也有人说其太过超前而无法落地，但无论“零信任”如何饱受争议，不可否认的是随着“零信任”的支撑技术逐渐发展，这个从前只存在于理论上的“安全最优解”正逐步成为现实。

在2019年9月份，工信部公开征求对《关于促进网络安全产业发展的指导意见（征求意见稿）》的意见中，《意见》指出到2025年，要培育形成一批年营收超过20亿的网络安全企业，形成若干具有国际竞争力的网络安全骨干企业，网络安全产业规模要超过2000亿。除了提出对市场规模和网安企业的要求，该《意见》还将“零信任安全”列入网络安全需要重点突破的关键技术。

那么究竟什么是“零信任安全架构”，他与传统的边界模型又有什么区别。美创安全实验室从本周起将分三期带大家详细了解“零信任”的成长始末。

二、什么是零信任网络？

“零信任”是一个安全术语也是一个安全概念，它将网络防御的边界缩小到单个或更小的资源组，其中心思想是企业不应自动信任内部或外部的任何人/事/物、不应该根据物理或网络位置对系统授予完全可信的权限，应在授权前对任何试图接入企业系统的人/事/物进行验证、对数据资源的访问只有当资源需要的时候才授予。

简单来说，**“零信任”的策略就是不相信任何人。除非网络明确知道接入者的身份，否则任谁都无法接入到网络。**现有传统的访问验证模型只需知道IP地址或者主机信息等即可，但在“零信任”模型中需要更加明确的信息才可以，不知道用户身份或者不清楚授权途径的请求一律拒绝。用户的访问权限将不再受到地理位置的影响，但不同用户将因自身不同的权限级别拥有不同的访问资源，而过去从外网登陆内网所需的VPN也将被一道废弃。零信任对访问控制进行了范式上的颠覆，引导安全体系架构从“网络中心化”走向“身份中心化”，其本质诉求是以身份为中心进行访问控制。

这与无边界网络概念有点类似。在无边界网络概念中，最终用户并不是所有都位于办公室以及防火墙后，而是在远程工作，使用他们的iPad或者其他移动设备。网络需要了解他们角色的更多信息，并明确哪些用户被允许连接网络来工作。

零信任架构是对企业级网络发展趋势的回应，企业级网络开始包含远程用户和位于企业网络边界的基于云的资产。零信任架构关注于保护资源、而非网络分段，因为网络位置不再被视为资源安全态势的主要组成部分。

三、为什么选择零信任网络？

1. 网络安全形式日趋严峻，急需一种有效的解决方案
美国网络安全公司 CybersecurityVentures 发布