初探零信任建设的破局之路

零信任以“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型，能够有效帮助企业在数字化转型中解决曾经难以解决的难题，而现在越来越多的政府和企业都在用零信任框架模式来实施网络安全措施，一时之间，各路英雄齐聚零信任江湖，争相探索破局之路。

实现零信任的7 Right原则

那么，应如何实现零信任呢？中国企业网络在考虑建立零信任体系时的合理思路是什么？笔者认为围绕以下几点原则开展相关建设工作是非常重要且必要的：

• 长期规划而非短时部署的产品或方案：零信任是一个适时而生的安全概念，它既不是一个新出现的局部安全需求，也不会是一项全新的具体技术，它是企业信息安全发展到一定阶段，针对新的安全需求和已存在的安全技术进行一次质变的重新整合，从一个崭新的角度看待企业IT安全进而提出的发展概念，这就决定了零信任体系的建设是一个企业高层参与的宏观工程(当然执行时需要拆解成不同的具体落地项目)，而不是日常企业网络安全运维的局部项目。
• 虽然零信任体系本身是一个很庞大的系统，不可能一蹴而就，但这并不意味着我们就不需要有清晰的终极目标，那么零信任体系到底可以给企业网络安全一个什么样的终极目标才更为合理呢?仁者见仁智者见智，笔者在这里抛砖引玉给一个“7Right原则” 定义：在完全没有信任的前提下，实现Right(1)的人在Right(2)的时间和Right(3)的地方，利用Right(4)的设备，通过Right(5)的账号访问Right(6)的应用系统和操作Right(7)的数据。

• 企业建设一个完整的零信任体系是个长期工程，从IT安全运维的角度可以大致分为基础、整合、自适应三阶段，每一阶段都可以清晰地设定相应的子目标和任务。实际上，现在每一个企业的网络安全都可以说已经处在零信任体系的某一个阶段(大多数企业处在基础阶段，少数企业已经触及整合阶段)，而且有些企业在局部做得非常不错，譬如银行业务网络大多已实施的最小权限化管理原则，运营商内部网络成熟的4A认证管理体系等等。

零信任体系各阶段的主要任务归纳如下：

(1) 基础阶段

阶段任务就是当前大多数企业网络安全运维面临的主要工作，譬如访问权限的定义、基于策略的管理等等。

(2) 整合阶段

在基础阶段的前提下引入生命周期管理、动态授权和需要关联几个维度后的管理机制(基础阶段一般都是一个维度下的管理)。

(3) 自适应阶段

强调自动，因此人工智能/机器学习的应用是这个阶段的显著特点，同时对企业网络的全面梳理，和对业务的深度融合都是该阶段的重要挑战，成功晋级该阶段将意味着企业网络安全的巅峰到来，意味着7R原则在企业网络安全运维的高效运转。

最重要的，建立零信任体系一定是一个甲方全程主导的长期工程，绝不可能是一个安全厂商提供的交钥匙的产品或方案，也不是甲方一个安全运维部门能够独立完成的项目，且不论其涉及的广度和与业务的紧密关系，整个工程周期中有很多关键节点是需要甲方决策层的深度参与，这就决定了零信任体系建设是一个甲方的“生产”业务，第三方仅是起到协助和支撑的角色。

当然，每个企业都应该结合企业现在和未来的需求，考虑自身网络安全的现状和能力，制定一个能够逐步实现的零信任体系的长期项目计划。

零信任不等于从零开始

因为在零信任扩展生态系统框架模型里有7个类别，提供了完整的安全方法：1)员工安全、2)设备安全、3)工作负载、4)网络、5)数据安全、6)可见性和分析、以及7)自动化和编排，但每个公司或多或少都已有一些零信任的元素。比如说，零信任安全的一个关键值是身份认证。现在企业一般都会有身份认证，而有的企业身份认证安全机制却又不完全满足零信任对身份认证要求，但这些并不影响对企业认证系统的改善。

比如，企业缺乏多因素身份验证(MFA)，但却可以通过独立类别的凭据进行额外的实时身份验证，以证实登录或其他交易的数字用户身份。多因素身份验证结合了两个或多个凭据，诸如用户知道什么(密码)、用户拥有什么(安全令牌)或是用户是谁(生物识别验证)等，所以企业并不一定要用一个全新的认证系统来取代现存的认证系统。

无心插柳柳成荫，这两年肆虐全球的疫情却成就了零信任意料之外的壮大发展。在停工/隔离期间，许多公司被迫进入远程工作模式。科学故障迫使许多组织采用软件定义的外围和WAN，以及安全访问服务边缘。结果造就的是许多人在还未意识到零信任概念的情形下却已不由自主地走上零信任的康庄大道。

因此，迈入零信任，并非每家公司都从零开始的，实际上有许多企业零信任框架搭建完成度早已起步10%、25%，甚至起步更高，走得更远。在走向零信任的网络安全大道上，公司并非需要重新购买所有的新技术才能达到零信任状态，而是可以结合已部署技术以及其他各种新手段，将安全效益最大化。

对于企业来说，零信任并不是全新的技术 ，可以根据自身情况来判断身处零信任安全大道上的位置。至于判定方法，那就是企业需要对自身的网络活动进行摸底、审计以及全面监控，这样才能找出短板，扬长避短，为数据资产和用户量身定制一个真实意义的零信任系统。