解锁零信任安全的关键技术及挑战

你知道零信任技术吗？
近两年来，零信任（Zero Trust）和ATT&CK在安全圈着实火热，特别是前者，大厂摇旗呐喊，小厂也擂鼓助威，都说自己是零信任理念的先行者。
IAM相关厂商说零信任架构里面，身份是新边界；
NAC和防火墙厂商说策略检查点是零信任的关键部件；
VPN厂商说他们除了加密也支持多因素认证，符合零信任的特征；
数据安全公司说他们保护的就是敏感数据，和零信任的目标完全一致。
总之，不扯上点关系都不好意思。
“零信任网络”模型自2010年被John Kindervag创建后，发展至今已有10年时间，随着零信任的支撑技术逐渐成为主流，随着防护企业系统及数据安全的压力越来越大，随着网络攻击演变得更加复杂高端，零信任模型也在CIO（首席信息官）和CISO（首席信息安全官）中间愈加流行了。
那么有关“零信任网络”中的技术您是否有所了解呢，今天安仔就借分享文章的机会，带大家简单了解一下“零信任网络”中的关键技术和技术难点。
零信任理论所需技术
在各种各样的现有技术和监管过程支撑之下，零信任方法才得以完成保护企业IT环境的使命。它需要企业根据用户、用户所处位置、上下文信息和其他数据等条件，利用微隔离和细粒度边界规则，来确定是否信任请求企业特定范围访问权的用户/主机/应用。

首先，要弄清楚用户身份，确保用户真的是他/她所声称的那个人；
其次，要保证用户所用终端是安全终端，或者该终端处在安全状态；
最后，还要有个信任策略，指定哪些人能访问哪些东西。

零信任依靠多因子身份认证、身份与访问管理(IAM)、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。
最小权限原则也是零信任倚赖的监管策略之一，也就是只赋予用户完成特定工作所需的最小访问权限。
基本上，零信任就是公司企业收回安全战场控制权，在各部门应用网络分隔和下一代防火墙，控制网络接入的身份、对象、地点和时间，是从内而外地施行控制，而不是由外而内。
现今的大部分IT场景中，零信任不仅仅是技术，还有关思维和过程。
零信任落地所需技术
目前市场上， “零信任”产品的技术实现方法不同，但是他们提供的价值主观是相同的，例如：
国内某零信任安全能力平台认为“零信任“落地至少需要具备以下几种技术：
1、最小权限访问
基于可信的终端、应用、身份、流量、上下文信息，进行细粒度的风险度量和授权，实现动态访问控制。
2、终端数据隔离
防护边界延伸到终端，企业应用运行在终端沙盒中，有效防止数据泄露。
3、应用资产隐藏
所有的访问需要通过分布式代理网关接入，应用资产不直接暴露在互联网上，大大减少被攻击面。

本文插图

零信任网络的技术难点
按目前零信任网络的发展来看，零信任网络还有很多不足。比如BGP、身份和访问管理（IAM）服务等路由协议之间缺乏集成。
路由如果足够智能，可以将具有子IP地址的源设备存储在一个子IP网络中，并通过IP地址和应用程序将数据包发送到目标子IP网络。
此外，虽然现在IAM可以用于网络，但它并不用于确定数据包是如何路由的。
下图说明了零信任网络正在将路由器的路由表与目录的AAA策略结合起来，以允许或拒绝一个包从源到目的地的转发。
与目前的二进制规则相比，更精细的规则可以应用到路由中，后者可以提高网络性能和安全控制。