日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

文 │ 啟明星辰集團首席戰略官 潘柱廷

“問題”是一個多義詞，可以理解為負面的意義，如錯誤（Error）、麻煩和困難（Problem）、副作用（Side-effect），也可以理解為開放性的意義，如提問（Question）、題目和課題（Topic）。本文探討零信任的問題，是從宏觀的視角來分析：沒有特別關注零信任的技術細節，重點是試圖追問零信任根本的原理問題；沒有具體討論零信任的實現方法，但是卻希望解構其需求框架。文章重點不在于闡明或立論“正道”和“正解”，而是盡量提出問題，引發對零信任的關注和探討。

一、零信任的命名問題

零信任這個詞其實有些名不對意。“名可名，非常名”，對于一個復雜而玄妙的事務，任何名字都會是片面、甚至是錯誤的。零信任的“持續驗證，永不信任”的這種極為絕對的說法，不太符合網絡安全“是相對的而不是絕對”的基本安全觀。從零信任的框架內涵和技術實現來看，稱作“零化信任”也許更加符合——盡量趨近于零的信任。真實實現的零信任，還有理論框架上的零信任，都不是“永不信任”，而是給信任盡量小的時間窗、盡量小的空間延展。零信任其實可以理解為顆粒度很小，用趨近于零來比喻的信任方式。

但是，換個角度來看，零信任這個名字也不錯，具有很好的沖擊力和傳播性，有助于零信任的推廣。在理解了零信任的本質后，可以不再糾結零信任的名字問題。

二、零信任的理論和體系程度問題

零信任到底有沒有理論基礎和理論支撐？這個問題成為很多質疑者的提問之處。以筆者對于零信任的接觸和了解，認為零信任在提出之初，更主要是一種可行的工程化框架和實現思路，理論的嚴密性并不是其早期的核心訴求。沒必要苛求零信任的理論深度和完備性，但隨著零信任應用的深入，對于其理論完備性的補充，可以由學術界來完成，理論的順暢能反哺工程框架。

三、零信任究竟在解決什么問題？其究竟是一個什么樣的原生問題？

“云原生安全”已經是業界比較熟悉的一個詞。啟明星辰在 2021 年末也提出了“數據原生安全”的概念。什么是原生？從字面意思來看，原生就是事物原本的、內在的，而不是外掛的、補丁式的。再細致一些，至少應當包括下面三個部分。

延續基本框架。從最表面來看，原生就是延續了所基于對象的基本框架。例如，云現在已經容器化，那么云原生安全就要基于容器、針對容器。

符合本質規律。例如，數據的本質特征就是容易復制，那么，對于數據遺忘權的訴求就是一個“逆數據原生”的要求，很難實現。

滿足根本訴求。例如，云是要實現按需彈性，那么安全訪問服務邊緣（SASE）就是要實現網絡接入的按需彈性。再如，數據是要流通的，那么隱私計算就是要力圖實現流通而不擁有，可算但不可見。

零信任究竟有什么用？究竟在解決什么問題？這是一個關鍵問題。對于這類問題的回答，如果不同，則會走向不同的道路、不同的框架、不同的實現。筆者的回答是“訪問”。零信任歸根結底是在用一種獨特的思路來解決“訪問”的問題，零信任是一個“訪問原生”的技術方法論，應當可以歸結為安全原生的一種類型。

四、零信任的“訪問原生”問題

訪問，就是主體對客體的訪問。簡單來看是一個三元問題——主體（Subject）、 客體（Object）、訪問（Access）。但不能忽視的是，任何主體和客體，都會存在于空間和環境中。同時，因為訪問不是實體，而是一個過程，里面有時間因素。所以，訪問原生至少是五元的，除了上述三個要素，還包括環境（Environment）、 時間窗（Time）。零信任就是在訪問原生的這五元要素出現趨勢性變化的情況下出現的。

五、零信任的主體統一身份問題

在以往的傳統訪問控制體系中，主體（訪問者）都要在被訪問的系統中注冊，訪問者變成了賬號（Account）。不管是在普遍的面向企業（To B）機構環境，還是在互聯網移動終端（App）的環境，仍然都是主流。不過，由于一個人所涉及的系統和應用越來越多，因此就出現了不同程度的統一身份問題。例如，以身份認證和權限管理為主的堡壘機，就是幫助系統管理員應對超大量的系統管理界面。在當前的互聯網環境中，一些強勢平臺的賬號逐漸演變成一種統一賬號平臺。

身份和訪問管理系統（IAM）的一個重要需求驅動因素就是統一身份訴求，而以 IAM 為核心的零信任解決方案也常常是在統一身份管理的前提下，再追求其他零信任能力。

但是，零信任的統一身份訴求可以說是與零信任的“零化”訴求相逆的。因為，統一身份把每個系統單獨需要做的身份訪問控制都合并了，也就是將諸多訪問的信任合并到了一起來管理，訪問確實變得方便了，但如果不能做到更加針對性地授權和控制，其控制顆粒度實際是變粗放了，要意識到這里增加的風險。

六、零信任的客體層次上移問題和數據訪問控制問題

在過去的傳統訪問控制體系中，主要集中于相對靜態的系統對象，可能是網絡設備、操作系統、數據系統、管理系統、應用系統等。不管系統對象的層次是網絡層、系統層、應用層，在新的層次視角中，都是“網絡和系統層”?，F在的 IT 環境，已經變成了下表中的四層結構。過去僅在網絡和系統層的訪問控制客體，已經上移到了軟件定義（SD）網絡層（或者稱為云計算層、云算力層），還有數據層。

表1 IT環境的四層結構

數據的訪問控制問題，過去依靠的是數據所在系統的訪問控制來解決，那是數據安全 1.0（數據對象安全）的層次。而在數據安全 2.0（數據匯聚安全）和數據安全 3.0（數據流通安全）的層次，必須有直接把數據作為客體的技術框架和技術手段。換句話說，就是要把數據、數據塊、數據的結構、數據的操作等數據本身對象化、客體化。數據只有變成了被訪問的客體對象，才能用訪問控制的機制加以管理和保護。例如，數據庫的列訪問控制，就是將數據庫的列對象化的效果。這種方法將是數據原生安全的突破口之一。

七、零信任訪問環境的網絡結構性變化問題

在上文闡述零信任的訪問原生結構時，談到了“環境”是五元之一。環境至少可分為四類環境（或稱空間）：主體所在環境、客體所在環境、主體訪問客體的時候所途經的環境、訪問控制的管理環境。

過去由零散系統所組成的客體群，已經走向了一個明顯的趨勢——云化。而且未來最需要訪問控制的被訪問客體將是應用和數據，這確實不同于過去以網絡訪問控制為主的安全格局。大型 To B 機構的應用整合梳理、To C 互聯網環境的應用互通，都讓客體所在環境及其結構發生了變化。

當然，這種客體結構性變化，并沒有完全磨滅網絡訪問控制的價值。雖然網絡邊界不在以前熟悉的位置，但是邊界依然會客觀存在。邊界的價值在于，在邊界進行安全控制的成本，要大大低于在邊界后面的每一個節點進行安全控制的成本。在一定防御效能訴求下，邊界安全仍是優良費效比的控制手段。

過去的訪問主體環境，在統一身份管理系統的推動下，已經進行了重組，更加聚焦在“人、角色”身上。而能夠代表人的最方便載體，就是移動終端或者其他與角色緊密關聯的端。代表人參與訪問和訪問控制的經常是端上的代理（Agent）。這對終端安全提出了非常高的要求。訪問主體一側的安全，至少要包含端本身的系統安全、人登錄到端上的安全、端訪問到端外資源的安全。零信任讓端安全技術的地位得到了提升。

另外，對于主體的管理，也可以繼續引入安全域和域間控制。例如，將一個分支機構作為一個訪問主體聚集的網絡域，將域邊界控制設備作為主體防護的一環。

八、零信任的 SDP 顆粒度問題和微隔離顆粒度問題

擅長網絡訪問控制的廠商和用戶，最容易引入零信任能力的方式就是軟件定義邊界（SDP）。

在客戶端 SDP、服務側 SDP、中央策略管理中心（PDP）這三者之間，常?？梢韵热趸醒牍芾鞵DP，降低與應用適配的耦合度，確保系統執行可行性。而客戶端 SDP 和服務側 SDP 都有網絡邊界的相似性，只是主要體現為應用的邊界。如果要加強 SDP 的零化程度，提高訪問控制顆粒度，可以逐步迭代客戶端和服務側兩端的 SDP。

業界公認的一個零信任分支就是“微隔離”?？梢詫⑵淅斫鉃閷Ψ諅鹊?、“東西向”的更細顆粒度分割。另外，作為被訪問客體的顆粒度，不僅僅從系統細化到應用，而且已經從應用細化到了應用程序編程接口（API）層面。

九、零信任和 SASE 關系的問題

訪問環境，除了主體所在的環境、客體所在的環境，還有第三種環境，即主體主場和客體主場之外的中間環境。

基于 SASE 模式的邊緣接入網絡可以算作這一類。在邊緣接入網的入網節點（PoP）中，常常會提供安全資源池的訪問控制和調度服務以及其他安全資源池服務。這種安全機制，可以稱之為“從邊界安全到邊緣安全”。

十、零信任的強中心模式問題

零信任的訪問控制環境中的第四個環境就是管理環境。因為零信任的體系中總是繞不開集中式的IAM，這讓身份和授權等關鍵管理活動都集中在一個中心，是典型的強中心模式。強中心模式意味著存在單點故障就會導致大面積癱瘓的風險，可能一個漏洞或者一個內鬼就會造成管理系統的破壞甚至被占領。在構建以 IAM 為核心的零信任體系時，必須意識到這種潛在風險。

身份和授權管理的對立模式是“去中心化的”類區塊鏈模式。未來，依托區塊鏈“算力本位”的訪問控制模式，是會補充零信任模式，還是顛覆零信任和其他中心化模式，還有待觀望。

十一、零信任的時間軸顆粒度問題和用戶及實體行為分析（UEBA）問題

零信任的“零化”，有一個重要的方向是在時間軸上越來越小的時間窗。傳統的訪問控制，常常會在一個訪問周期內、一個登錄周期內、一個擁有周期內，保持已經被認證和授權的信任關系。而“持續驗證，永不信任”文字所表達的不保持信任過于極端，應當理解為零化取向，即盡量縮短信任的保持期。

這種信任保持期的結束，可以隨著短期活動的結束而結束，也可在一個確定性的閾值上強硬截斷長期活動的信任保持，或在出現風險變化和波動的時候結束信任保持，進入再驗證狀態。

十二、零信任的事后審計問題和UEBA 問題

網絡安全領域理解的審計，經常是在事件發生之后進行的。而 UEBA 用戶行為分析要在一個較長期的活動周期內，將對用戶行為的風險評判介入到訪問控制的事中干預。訪問控制的事中干預有較高的性能要求，其反應敏捷度要求大大高于審計類的深度分析、挖掘式分析。這就要求在零信任的分析體系中，要平衡地融合快控制和慢分析，這兩者之間不同的平衡模式，將是 UEBA 關鍵技術和關鍵能力的一部分。

十三、零信任的 6A 問題

信任中經常提到的 4A，即賬號（Account）、授權（Authorization）、認證（Authentication）和審計（Audit），是安全管理平臺 SOC、身份管理系統、特權賬號管理系統、運維管理系統等多種系統逐步融合發展的產物。就像零信任改變了 IAM、SDP、微隔離等技術的受關注度一樣，4A 也得到了新的認識和提升。從信任原生的視角，對 4A 的認識已經擴展為了 6A，即 Account——賬號和其他主體、以及它們的標識問題，Application——應用和其他客體，以及它們的標識問題，Authentication——認證，Authorization——授權（事前，常常在 PDP 策略決策點來管理），Access Control——訪問控制（事中，由 PEP 策略強制點來執行），Auditing——審計（事中記錄，事后分析）。

十四、零信任的特權賬號管理問題

絕對不能認為零信任中沒有特權賬號管理。

對特殊類型的主體、特殊類型的客體、特殊的環境等，設計針對性的訪問控制模式，非常重要。特權賬號管理（PAM）就是一個典型，可以集中解決最具風險性的一些問題。在一個較大的復雜體系中，一定會有重點和特例，絕對不能追求所謂的體系的純粹簡潔，這在真實工程中是非常要不得的。

十五、零信任的信任延展問題和信任承載問題

“永不信任”這樣的說法作為宣傳噱頭可以，實際落地的時候則不能這樣。信任總要從一個時空點，延展和保持到其他時空空間。

從空間上看，在 SDP 的體系中，客戶端 SDP 和服務 SDP 之間就必須有一個由密碼類技術支撐的通道。這個通道可以是類似虛擬專用網絡（VPN）的加密信道，也可以是由標簽簽名技術保證的防抵賴防篡改傳輸。這些都可以認為是信任的空間傳輸。

從時間上看，一個主體通過擁有口令、非對稱私鑰、證書、區塊鏈的算力證明等，以維持對于主體的信任。這都是信任的承載。

另外，在現實生活空間中，對于一個對象的信任常常由這個對象的親身到場來獲得。對此，可以抽象為一種“抵押物信任”。因為如果這個對象做了不該做的，自己在場就要承擔責任接受懲罰。在網絡空間中，是否能夠通過訪問者的某種抵押物來作為信任的承載？可否在技術上實現？這是未來可行的一個小分支。

在未來更多的新密碼技術應用場景下，也許還能夠實現更多類似隱私計算這類在雙方只有低互信度下的協同計算。

十六、零信任為什么能火的根本問題

零信任能夠火起來，是因為信任原生的各個要素都發生了很大的變化。

信任的空間結構變化，更多的連接，信任變成了全局信任問題；信任的時間結構變化了，信任需要在時間軸上有所控制；信任的多樣性變化了；信任的等級不是只有兩級（信任或不信任），而是一個有梯度可以度量的區間；海量的主客體構成了新的全局性結構；對客體，從對實體系統的擁有，變為短期的運行訪問，從實體變為服務；訪問控制的顆粒度要求越來越細等。還有很多新的分支方向值得去挖掘研究。

十七、結束語

還有哪些問題是不適合用零信任來解決的？零信任會帶來哪些負面問題？常見的副作用有哪些？零信任成本太高的問題怎么解決？一個較大的復雜系統向零信任轉換，有哪些較好的切入路徑？除了這些問題，零信任肯定還有一些尚待發現的新問題，需要業界更開放地去探討、去解決。

（本文刊登于《中國信息安全》雜志2022年第2期）