本文來自安全牛。

　　隨著美國國防部和聯(lián)邦政府將零信任技術(shù)列為關(guān)鍵性的新一代安全體系計劃，其作為無邊界化趨勢下的新安全理念，已經(jīng)成為各行業(yè)普遍關(guān)注并寄予厚望的焦點技術(shù)。但是，由于企業(yè)組織長期圍繞傳統(tǒng)的安全技術(shù)和方法制定并實施網(wǎng)絡(luò)安全計劃，因此在轉(zhuǎn)向采用零信任安全的過程中，將面臨很多挑戰(zhàn)和困難。

　　零信任建設(shè)充滿挑戰(zhàn)

　　如果我們將現(xiàn)代的零信任方法與傳統(tǒng)的傳統(tǒng)安全方法進行對比，就可以理解為什么美國國家安全局（NSA）、國防部（DoD）、國防工業(yè)基地（DIB）和拜登政府的《網(wǎng)絡(luò)安全行政令》都急于要求采用零信任架構(gòu)（ZTA）。傳統(tǒng)安全策略圍繞較傳統(tǒng)的“內(nèi)部信任”方法而構(gòu)建，一旦進入可信區(qū)域，應(yīng)用程序和系統(tǒng)就可以隨意通信，這讓攻擊者比較容易下手。

　　零信任安全架構(gòu)旨在解決以上這些問題。在零信任環(huán)境中，每個連接和所有訪問都有明確的定義、授權(quán)和約束。當服務(wù)（如系統(tǒng)、應(yīng)用程序、容器等）需要與另一個服務(wù)連接時，該連接必須使用有效的身份驗證方法，通過某種授權(quán)級別。在訪問者證明自己可信任之前，“零信任”將是一種默認的安全狀態(tài)。

　　作為一種方法和架構(gòu)概念，零信任的作用和價值不難理解。但零信任能否成為加強組織安全防護能力的最佳實踐，還有待進一步的觀察和驗證。零信任不是一種單一的技術(shù)或產(chǎn)品，而是一套現(xiàn)代安全策略原則。對企業(yè)來說，零信任是安全理念戰(zhàn)略的終極目標，不可能一蹴而就。零信任環(huán)境建設(shè)將是一個充滿挑戰(zhàn)的持續(xù)過程。

　　企業(yè)在開展零信任安全建設(shè)時，不能把一切推倒重來，這樣成本會很高，用戶體驗也會有問題。很多零信任解決方案需要用戶對應(yīng)用環(huán)節(jié)進行改造，但是一些老舊應(yīng)用改造空間小，因此系統(tǒng)能否順利完成升級并不確定。

　　零信任安全建設(shè)還會改變用戶的使用習(xí)慣。對企業(yè)來說，建設(shè)零信任安全環(huán)境后，原有的一些工作流程會發(fā)生改變。

　　此外，很多企業(yè)現(xiàn)有的安全環(huán)境并不是圍繞零信任原則而設(shè)計、構(gòu)建和部署的，開發(fā)團隊常常以“完全信任”模式構(gòu)建應(yīng)用程序和服務(wù)環(huán)境，幾乎沒有實施訪問限制或安全控制。只在構(gòu)建應(yīng)用程序和云環(huán)境之后，安全和DevOps團隊才竭力對IT系統(tǒng)環(huán)境實施安全控制和訪問限制。隨著云計算應(yīng)用越來越復(fù)雜，安全控制和執(zhí)行的復(fù)雜性同樣隨之加大。如果某些控制或配置缺失或不準確，環(huán)境可能很容易受到攻擊。據(jù)Verizon的《2022年數(shù)據(jù)泄露調(diào)查報告》顯示，配置錯誤是數(shù)據(jù)泄露的首要來源。

　　自動化是實現(xiàn)零信任的前提

　　如果云基礎(chǔ)設(shè)施環(huán)境是使用自動化預(yù)構(gòu)建、預(yù)配置和標準化的，那么任何規(guī)模的企業(yè)或組織都可以獲得成本合理的現(xiàn)代零信任架構(gòu)。開發(fā)人員現(xiàn)在可以一開始就在遵循零信任原則的基礎(chǔ)上構(gòu)建云應(yīng)用程序。這意味著訪問權(quán)限成為DevOps流程一個不可或缺的組成部分，也成為自動化配置管理實踐的一個關(guān)鍵部分。新應(yīng)用程序添加到環(huán)境中后，開發(fā)人員與安全從業(yè)人員和DevSecOps團隊更加順暢無阻地合作，共同配置訪問權(quán)限、授權(quán)、日志及關(guān)鍵基礎(chǔ)架構(gòu)的其他組件。

　　在零信任環(huán)境中，由于需要對用戶身份進行多次、持續(xù)的請求和驗證容易造成不好的用戶體驗，因此安全專家將其視為通過機器學(xué)習(xí)實現(xiàn)自動化的機會。例如，Gartner建議采用一種被稱為“持續(xù)適應(yīng)性信任”的分析方法CAT，可以使用上下文數(shù)據(jù)（例如設(shè)備身份、網(wǎng)絡(luò)身份和地理位置）作為一種數(shù)字現(xiàn)實檢查來幫助驗證用戶身份。

　　事實上，網(wǎng)絡(luò)中充滿了數(shù)據(jù)，安全專家的人工分析太困難且無效，其中很多數(shù)據(jù)是可以被人工智能實時篩選,自動化地實現(xiàn)零信任環(huán)境的安全性。零信任廠商需要為企業(yè)組織提供自動化工具，幫助他們構(gòu)建更強大的零信任環(huán)境，保障零信任環(huán)境的防御系統(tǒng)能夠貫穿于IT系統(tǒng)的整個架構(gòu)中。