零信任-發展曆程及概念(1)

零信任發展曆程

2010

• Forrester約翰·金德維格正式提出零信任概念

2013

• CSA成立軟體定義邊界SDP工作組,次年釋出SDP标準規範1.0

2017

• Gartner正式提出“CARTA”零信任模型

2018

• Forrester發表零信任擴充模型ZTX

2019

• Gartner釋出零信任網絡（ZTNA）
• 雲安全聯盟CSA（大中華區）成立SDP工作組
• 工信部《關于促進網絡安全産業發展的指導意見》政策導引
• 中國資訊通信研究院釋出《中國網絡安全産業白皮書(2019年)》，首次将零信任安全技術和5G、雲安全等并列列為我國網絡安全重點細分領域技術

2020

• NIST釋出《零信任安全架構标準》正式版。我國國家标準正式立項

2021

• CSA大中華區正式釋出了《2021零信任落地案例集》
• 工信部《網絡安全産業高品質發展三年行動計劃（2021-2023年）》提出要發展創新安全技術，加快開展零信任架構等安全體系研發。
• Gartner釋出《零信任網絡通路（ZTNA）最佳實踐》給出五大建議

NIST SP800-207白皮書上的ZT/ZTA定義：

零信任(Zero trust，ZT)

• 一系列概念和觀念，被設計用于降低執行中的不确定性；
• 資訊系統和服務所在的網絡被視為已經淪陷；
• 精确的通路決策，且對每個請求都單獨進行。

零信任架構(Zero trust architecture,ZTA)

• 企業的網絡安全計劃；

• 利用零信任概念，包括元件關系、工作流規劃和通路政策；

  是以，零信任企業是指企業部署的網絡基礎設施 (實體的和虛拟的)和運作政策都由零信任架構計劃而成。

  零信任是一個聚焦于資源保護的網絡安全範式，将信任從不被隐式授予而必須持續評估作為前提。

  零信任架構是一個實作企業資源和資料安全的端到端路徑，涵蓋身份 (自然人或非自然人實體) 、憑據、通路管理、操作、終端、托管環境和互聯基礎設施。

基本假設/現狀：

• 攻擊者已經存在于網絡中；
• 企業自有網絡并不比外部網絡安全；

新範式：

• 聚焦資源保護，不允許隐式信任，必須持續評估

關注點：

• 阻止對資料和服務的未授權通路；
• 通路控制的執行粒度盡可能細；
• 隻有經過準許和授權，才能獲得通路權限; 針對各種資源，不局限于資料

降低不确定性：

• 使用者認證及授權；
• 收縮隐式信任的範圍 (無法徹底消除)；
• 盡可能減小認證機制中的時滞
• 授權規則保證落實最小權限，并盡可能細化

NSTAC報告定義概念：

“零信任是一種網絡安全政策，用于驗證每個使用者、裝置、應用程式和交易。零信任意味着，任何使用者或流程都不應該被信任。”這一定義來自于NSTAC的報告，這是一份由美國國家安全電信咨詢委員會于2021年編制的共56頁的零信任檔案，該委員會由AT&T前首席執行官上司的數十名安全專家組成。

百度百科概念：

零信任代表了新一代的網絡安全防護理念，它的關鍵在于打破預設的“信任”，用一句通俗的話來概括，就是“持續驗證，永不信任”。預設不信任企業網絡内外的任何人、裝置和系統，基于身份認證和授權重新建構通路控制的信任基礎，進而確定身份可信、裝置可信、應用可信和鍊路可信。基于零信任原則，可以保障辦公系統的三個“安全”：終端安全、鍊路安全和通路控制安全。

維基百科概念：

零信任安全模型（英語：Zero trust security model），也稱零信任架構、零信任網絡架構、ZTA 、ZTNA等，還有時稱為無邊界安全（perimeterless security），此概念描述了一種IT系統設計與實施的方法。零信任安全模型的主要概念是“從不信任，總是驗證” ，即不應預設信任裝置，即使裝置已經連接配接到經許可的網絡（例如公司區域網路）并且之前已認證驗證。大多數現代企業網絡結構複雜，包含衆多互相連接配接的區域、雲服務以及基礎設施，以及與遠端和移動環境的連接配接、非正常IT連接配接（例如物聯網裝置）。零信任原則是因傳統的方法（如在名義上的“企業邊界”内信任裝置，或者裝置通過VPN進行連接配接）不切合企業網絡的環境複雜性。零信任提倡互相認證（英語：mutual authentication），包括在不考慮位置的前提下檢查裝置身份和完整性，以及基于裝置身份和裝置狀況的置信度來結合使用者身份驗證，提供對應用程式和服務的通路許可。