被封神的零信任，如何走下神坛？

如今安全业内言必谈零信任。

根据知名咨询机构Gartner发布的2021年企业网络技术成熟度曲线，零信任已走过了低谷期，进入了稳步爬升的光明期。

Gartner曾预测，到2023年，60%企业会逐步淘汰虚拟专用网（V**）方式，采用零信任网络访问来进行远程方案。

目前，美国政府已经正式开启零信任战略。2021年5月，美国总统签署了行政命令，强制要求政府部门全面迈向零信任架构。

在随后的《2022财年预算案》中，美国防部要求拨款6.15亿美元用于与零信任网络安全架构相关的工作。

过去几年，海外已有多家零信任SaaS公司登陆资本市场。

其中的龙头企业Okta，股价四年成长超10 倍，市值从2017年上市首日的21亿美元，达到如今的390亿美元。

在国内，零信任广阔的市场前景，吸引了腾讯、阿里、华为等大厂，深信服、奇安信、绿盟科技等安全厂商纷纷布局。

毋庸置疑，作为无边界化趋势下的新安全理念，零信任正在坐上神坛。

被“封神”的零信任有多神？

1994年4月，Stephen Paul Marsh在斯特林大学的计算的安全性博士论文中创造了“零信任”一词。

Marsh的工作是对信任的彻底研究，他认为零信任是一种有限的东西，可以用数学结构来描述，而不是简单的对抗性或纯粹的人类现象。

Marsh推测，在保护计算系统、应用程序和网络方面，零信任胜过不信任。

到了2010年，另一大神John Kindervag创建了Zero Trust Model of Cybersecurity（网络安全零信任模型）。他认为零信任有几个核心概念：

• 安全设备上不再有可信和不可信的接口
• 不再有可信和不可信的网络
• 不再存在可信和不可信的用户
• 要求信息安全专业人士将所有网络流量视为不可信
• 信任是一个概念，需要构建一种新的信任模型

可以看到，零信任的目的是通过改变信任模型减少内部人员滥用的诱惑，提高网络犯罪在得逞之前被发现的几率。

11年后的今天，John对零信任进行了反思，并强调：不要把零信任称为产品，也不要试图围绕零信任创建一个标准——“零信任”是一种策略。

Fortinet北亚区首席技术顾问谭杰认为，零信任分为狭义概念和广义概念。

其中，狭义概念叫零信任网络访问（ZTNA），解决的是人、用户、物、设备和终端的信任问题。“由一个控制点控制它怎样对 IT 资源进行访问，授予它什么权限”。

广义概念指 NIST 提出的零信任架构（ZTA），它是基于数据的安全，从各方面采集多种数据，包括网络数据、安全数据、终端数据、身份数据等，利用这些数据做信任的计算和决策，真正动态的判断全网安全态势，最终做好决策后，再交给部署在整个数字架构中各种各样的决策执行点，来决定是否允许此次访问以及能访问到何种程度。

简言之，零信任是一种理念或战略框架，它主要聚焦在用户身份与IT资源之间的互动关系、访问权限上。

它通过一种持续的动态评估手段不断分析整个网络访问的安全态势，然后动态的授予访问者权限。

在零信任理念的引导下，安全体系架构由“网络中心化”走向“身份中心化”，其本质诉求是以“人”为中心进行访问控制，在不可信的网络环境中，以身份为核心，基于认证和授权的访问控制管理重构可信的、安全的网络框架，满足异构网络的安全需求，解决因网络环境开放，用户角色复杂引发的各种身份安全风险、设备安全风险和行为安全风险。

因此，与零信任安全架构相关的技术和组件主要包括：设备端安全管理组件（验证设备）、用户的统一身份管理（验证用户）、动态访问控制网关（动态授予最小化权限）、智能安全大脑（持续自适应风险和信任评估），四个功能组件各有分工又互相联动，达到为企业业务安全服务。

值得注意的是，建立零信任环境不仅仅是实现这些单个技术，而是应用这些技术来施行“无法证明可被信任即无法获得权限”的理念。

企业需要从战略上确定哪些技术有助实现这一理念，然后再去买入这些技术。

零信任如何走下神坛？

事实上，当前零信任的市场教育已经告一段落，企业用户最关注的其实是零信任如何落地的问题。

对于大多数企业来说，零信任架构的“落地”时机和方法依然存在诸多疑虑和争议。

与敏捷开发类似，零信任也是“条条大道通罗马”，有多种框架和实现路径。

对于不同行业、规模和需求的企业来说，如何理解零信任概念方法，如何选择适合自己的零信任道路，如何提高安全技术和投资的有效性，这正是眼下企业用户最关切的话题。

大家普遍认知上觉得零信任落地太难了，需要有很强的规划驱动和投入决心，这让很多企业用户不免产生疑问：是不是只有像谷歌这样的超大企业才能入局？零信任到底“跟还是不跟”？

总结业界普遍认为零信任落地的难点，主要集中在这样几个方面：

第一，难以找准落地场景。

零信任面向的场景主要可以分为两大类，一是用户通过设备对业务资源的访问，用户包括员工、外包、第三方等，接入多样的终端（PC、移动端、IOT等）、应用（Web、客户端）、业务（研发设计、呼叫中心、运维等）等，组合出复杂的场景；二是业务资源之间的调用和交换。

这个过程中会涉及到企业各个业务、客户的身份认证系统的对接，不仅认证接口和协议非常繁杂，用户很难厘清零信任与内部已有的多种安全能力以及大量业务的关系，同时对终端与数据的安全防护也带来了极大挑战。

第二，难以改造现有安全体系。

这是零信任落地当前面临的最大的挑战，也是许多用户始终无法下决心落地零信任的最大原因。

在用户的概念里，零信任是一次对传统网络安全框架的推翻和颠覆，想要实现零信任，必须要从零开始。

第三，成本高、投入大，难以持续管理。

既然业界普遍认为零信任是对传统网络安全框架的重构，那就难免会将零信任建设当做是一项非常巨大的工程。

涉及业务杂，管理节点多，运维周期长，需要投入巨大的经济和精力成本进行建设和持续管理，将会给企业造成巨大的负担。

第四，难以评估实施效果和价值。

就像安全至今还在想尽办法证明自己的价值一样，零信任也需要面对这样的拷问。

但零信任是一种理念而非技术，难以在落地之前用具体成果来进行评估。

这样一来，作为安全人员，难以证明价值来获取项目资源；作为企业经营者，也无法获得评估来增强自己对零信任的信心，陷入了“跟不跟”的两难境地。

第五，用户的使用习惯要改变。

对企业用户来说，实行零信任后，原有的一些工作流程会发生改变，也需要企业花时间去适应这一新模式。

以上这些问题是否真的无法解决呢？

其实对于企业来说，零信任是安全理念战略的终极目标，不能一蹴而就。

首先，零信任的落地不是一次对传统网络安全框架的颠覆，不能刚开始就有大投入，也不是一次性规划，而是从解决自身最重要的问题场景切入，通过踩坑积累经验，后续延展覆盖更多场景。

“与原有安全建设的兼容和匹配”才是评估零信任解决方案优劣的重要指标。

其次，零信任落地并没有想象中那么难，也并不是超大企业的专属，难的其实是企业找准场景、定好目标，让零信任与业务充分结合；基于业务场景和现有安全能力进行改造、升级和能力联动。

再次，对于零信任价值的评估，尽管不同的用户对安全价值和业务价值的衡量标准有所差异，但只要遵循“安全价值+业务价值>所需投入”这一基本原则，就能够从两者的差值中评估场景收益，从而证明零信任的价值。

最后，从成本上看，如果将数据泄露的成本考虑在内，企业所需要付出的成本也不会比当前采取的措施代价更加高昂。

除此之外，零信任想要更加顺利地实现落地，不仅需要用户侧对于业务和场景的理解，还需要零信任的解决方案和产品真正逾越过“技术”的大山。

不仅要能够具有先进的技术优势，领先的产品理念，对于用户的场景有更好的理解，对传统的网络安全框架有更便捷的适配，还需要在零信任落地和后续管理的过程中，智能权限、极简运维。

用轻量化的方式降低用户的建设和维护成本，用更成熟的能力帮助用户完成新一代网络安全框架的转型。

归根结底，零信任成功落地的前提是“找准落地场景”，“厘清零信任与安全、业务的关系”。

换句话说，零信任的落地必须是以对业务运行产生正向的作用和价值，切实解决问题为目标，零信任的应用需要基于当前的业务场景来实践，找准落地场景是零信任落地的关键，也是出发点。