2020年，在安全方面，零信任的火熱有目共睹。

在如今企業(yè)攻防演練，遠程辦公、移動辦公等的實際需求日益增多，VPN在訪問控制、數(shù)據(jù)保護上已無法滿足企業(yè)的安全需求，零信任網(wǎng)絡訪問在遠程辦公和多云訪問等場景中發(fā)揮了更安全高效的作用。

2010年，約翰·金德維格提出零信任網(wǎng)絡訪問（Zero-Trust Network Access，簡稱“ZTNA”），認為傳統(tǒng)基于邊界的網(wǎng)絡安全架構(gòu)存在風險，可信的內(nèi)部網(wǎng)絡充滿威脅，信任是致命的風險。

在業(yè)界廠商大力跟進零信任領(lǐng)域，如微軟、亞馬遜、Cyxtera、國內(nèi)各安全廠商等，零信任解決的是什么？有人說它是新的邊界，是保護數(shù)據(jù)，身份認證的新技術(shù)階段發(fā)展，亦或是替代VPN的安全新工具......美國國家標準與技術(shù)研究院NIST于2020年8月發(fā)布零信任架構(gòu)ZTA的正式標準，ZTA標準的出臺迅速得到了業(yè)內(nèi)的高度認可，成為零信任領(lǐng)域的權(quán)威標準。

標準對零信任架構(gòu)ZTA的定義如下：利用零信任的企業(yè)網(wǎng)絡安全規(guī)劃，包括概念、思路和組件關(guān)系的集合、旨在消除在信息系統(tǒng)和服務中實施精準訪問策略的不確定性。該標準強調(diào)安全防護應該圍繞著資源（數(shù)據(jù)、負載、應用等），零信任適用于一個組織內(nèi)部或與合作伙伴協(xié)助完成的工作環(huán)境，并非常詳細地描述了零信任架構(gòu)的邏輯組件。

可以看出，零信任架構(gòu)中的眾多組件并不是新的技術(shù)或產(chǎn)品，而是按照零信任理念形成的一個面向用戶、設備和應用的完整端對端安全解決方案。

零信任架構(gòu)圖

而從上面的架構(gòu)圖得出，零信任安全架構(gòu)體系它解決的是訪問主體到客體的安全問題，主要是跟訪問控制、邊界隔離的問題相關(guān)。在移動和云化的時代，零信任幫助企業(yè)構(gòu)建一個虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應對邊界模糊化帶來的粗粒度控制問題。

●訪問主體包括設備和用戶，不再是以前單純只看用戶。在如今流動的世界中，數(shù)據(jù)、身份訪問和管理、安全分析等也必須和用戶等綁在一起。

●訪問客體包括企業(yè)資源，業(yè)務服務器等。訪問主體與客體是邊界隔離的，用戶不可直接訪問這些資源，這也就涉及到訪問授權(quán)的問題。

在零信任的訪問過程中，隨著安全技術(shù)的發(fā)展，網(wǎng)絡中存在的設備、數(shù)據(jù)和應用程序等逐漸增多，成為了進入到網(wǎng)絡中的各個端點，零信任及其預防為主的方法會先擴展到對于企業(yè)端點安全能力的加強。

在2020年9月16日舉行的“TechNet網(wǎng)絡研討會”上顯示了美國國防部網(wǎng)絡架構(gòu)和網(wǎng)絡安全架構(gòu)的演變過程，在2020年代中展現(xiàn)為云優(yōu)先，用戶/端點無處不在的場景，圖中的SDP環(huán)是對國防部計劃實施零信任的解釋，同時也說明了，對于端點的管理是零信任計劃的重要一步。

另外一個例子我們以谷歌BeyondCorp項目為例。2009年“極光行動”席卷全球使得Google意識到并開啟了全新的“零信任”概念，從而誕生了BeyondCorp項目。在這個方案中，Google做的第一件事就是了解公司的人員與設備情況。據(jù)了解，Google的零信任安全架構(gòu)涉及復雜的庫存管理，記錄具體誰擁有網(wǎng)絡里的哪臺設備。設備庫存服務來從多個系統(tǒng)管理渠道搜集每個設備的各種實時信息，比如活動目錄(Active Directory)或Puppet。

強有力的端點安全防護對企業(yè)零信任架構(gòu)的整體規(guī)劃會起到很好的指導和借鑒，對搭建零信任的主要組件會有一個更穩(wěn)固的基礎，同時我們要明白零信任并不是對傳統(tǒng)技術(shù)的拋棄，而是一種新的替換或者組合，對于企業(yè)現(xiàn)有的NAC、EPP、EDR、DLP、IAM等安全建設，零信任可無縫替換或者接入新的架構(gòu)，實現(xiàn)傳統(tǒng)安全建設與零信任的無縫融合。在Gartner 2020 ZTNA市場指南中指出，企業(yè)在考慮零信任時，需要充分評估零信任廠商對異構(gòu)終端的統(tǒng)一管理能力，如下圖所示。

圖 Gartner 2020 ZTNA市場指南

在網(wǎng)絡體系中，端點安全保護和收集有關(guān)端點上發(fā)生的活動的數(shù)據(jù)，為了有效應對高級威脅，端點安全必須加強。而網(wǎng)絡安全各個系統(tǒng)的集成同樣也是保障企業(yè)整體安全，并會成為整個安全體系結(jié)構(gòu)中實現(xiàn)零信任模型的重要一步。零信任架構(gòu)是從一個整體入手，以統(tǒng)一的視角來幫助企業(yè)看待和建設網(wǎng)絡安全體系建設。零信任架構(gòu)的搭建需從設備、身份、信譽、行為等多維度展開，結(jié)合到文中表達的主要思想，怎么樣的端點安全對于構(gòu)建企業(yè)零信任架構(gòu)才是成功的？

下篇詳解，未完待續(xù)~