網(wǎng)絡(luò)安全是個常談常新的話題,關(guān)于零信任理念與網(wǎng)絡(luò)安全技術(shù),比如:微隔離等的關(guān)系,不少人也沒有充分的認(rèn)知,認(rèn)為當(dāng)下技術(shù)是對昨天技術(shù)的繼承與延續(xù),進而登上了新的高峰。但是,零信任不是這樣,微隔離也不是這樣。
網(wǎng)絡(luò)安全技術(shù)的一些現(xiàn)狀與困局
目前公認(rèn)的零信任技術(shù)包括SDP,微隔離和IAM這三個。這三個技術(shù)分別發(fā)展了過去的VPN技術(shù),防火墻技術(shù)和4A技術(shù)。但是,我們必須認(rèn)識到一件事情,這些技術(shù)并不是過去很多年里網(wǎng)絡(luò)安全技術(shù)發(fā)展的主流,事實上VPN,防火墻,4A都是老到不能再老的技術(shù),而零信任技術(shù)從控制與識別能力自身來說也并沒有比這些傳統(tǒng)技術(shù)有什么變化,它更多是以軟件定義安全的形式,把過去的數(shù)據(jù)平面和控制平面給分開了,從而達成更靈活更大規(guī)模的管理能力。在零信任之前,真正在安全技術(shù)創(chuàng)新領(lǐng)域里唱主角的是特征識別、攻防對抗、APT分析、態(tài)勢感知、大數(shù)據(jù)、AI、沙箱蜜罐等等這些有著更純正“安全”味道的東西。那么問題來了,零信任與這些技術(shù)之間究竟是個什么關(guān)系?
薔薇靈動-零信任
一直以來,人們印象中的真正意義上的網(wǎng)絡(luò)安全技術(shù)都圍繞著兩件事展開,一件是修補自己的漏洞,一件是發(fā)現(xiàn)別人的攻擊。所有我們前面提到的安全技術(shù)基本都是圍繞著這兩件事展開的。然而事情的進展似乎并不樂觀,我們總有挖不完的漏洞,即使你修復(fù)了99%的漏洞,攻擊者只需要一個0day漏洞,仍然可以突破你的防御。而我們從靜態(tài)代碼特征識別到行為識別,再到大數(shù)據(jù)識別、人工智能識別、欺騙誘捕等等手段,都是為了抓住壞人,但是攻擊者的反偵察能力也在同步進化,在這場貓鼠游戲中,防御者總是處于落后的一方,總是在做著亡羊補牢的工作,而且從理論上就看不到在這場攻防對抗的競爭中有勝出的可能。這種悲觀情緒一度籠罩著整個網(wǎng)絡(luò)安全產(chǎn)業(yè)界,這也就呼喚我們對整個網(wǎng)安防御思路做出根本性的變革。
零信任:不僅僅是一種攻防對抗技術(shù)
就是在這樣的背景下,零信任技術(shù)歷史性地成為了安全行業(yè)的新希望。零信任技術(shù)絕不是又一種攻防對抗技術(shù),相反它不再熱衷于發(fā)現(xiàn)壞人是誰,也不再把時間花在永無休止的挖漏洞上,它是直接否定了所有人,系統(tǒng)和業(yè)務(wù)流量。
零信任,簡單,粗暴,有效。攻擊者總是在想盡辦法的躲避防御者,他們本質(zhì)上就是目標(biāo)矛盾的雙方,他們掌握的技術(shù)就是為了與對方對抗而生的,他們不可能形成一個穩(wěn)定的和諧關(guān)系。而防御者與業(yè)務(wù)訪問者卻是天生的同盟軍,他們完全可以緊密配合,充分協(xié)作,在理論上,他們雖然也要經(jīng)歷一些苦難,但最后一定有機會可以永遠幸福地生活在一起。在零信任的體系里,取代攻防對抗技術(shù)的是身份識別技術(shù)與訪問控制技術(shù),而在多因子識別技術(shù)的幫助下,在密碼技術(shù)的加持下,理論上,身份是可以唯一確認(rèn)的,也就是說,只要建立起完整準(zhǔn)確細致的身份管理與訪問授權(quán)體系,只要我們充分地理解我們自身業(yè)務(wù)的構(gòu)成,我們在理論上就將擁有一個絕對安全的網(wǎng)絡(luò)。雖然這同樣是非常復(fù)雜艱巨的系統(tǒng)工程,但至少從理論上講,我們已經(jīng)將主動權(quán)重新拿回到自己的手上,防御者不再被攻擊者前者鼻子走,他可以通過對業(yè)務(wù)系統(tǒng)最細粒度最精細的白名單訪問控制體系,做到我的地盤我做主,從而第一次將網(wǎng)絡(luò)安全的主動權(quán)握在了自己手上。
所以,零信任技術(shù)是對瀕臨破產(chǎn)的攻防對抗路線的一次絕地反擊,它沒有繼承也沒有發(fā)展,它是一次顛覆,是一次安全防御思路的徹底變革。
