用過windows Server操作系統的人肯定熟悉以下頁面，系統自帶的IE瀏覽器默認開啟了增強的安全配置，打開所有鏈接都會被阻止。尤其是新裝的操作系統需要裝一些軟件的時候，需要添加一大堆信任站點，所以遇到這種情況我都是認證繁瑣的操作去下一個Chrome瀏覽器。

那默認的瀏覽器設置是不是處于一種誰都不信任的"零信任"狀態呢？

零信任網絡

第一次聽到"零信任網絡"，是在前段時間新華三舉辦的領航者峰會上，當時還以為是個新概念，直到去百度了一下，才發現人家已經有10年的歷史了！只不過最近突然間火了起來。

零信任網絡模型在2010年由John Kindervag提出，零信任是一個安全概念，中心思想是企業不應自動信任內部或外部的任何人/事/物，應在授權前對任何試圖接入企業系統的人/事/物進行驗證。

零信任架構意味著每個用戶、設備、服務或應用程序都是不可信任的，必須經歷身份和訪問管理過程才能獲得最低級別的信任和關聯訪問特權。

如果放開驗證不看，是不是和NGFW、網閘等安全設備有點相似？以新華三NGFW為例，對所有互訪流量默認都是全阻斷狀態，沒有放通策略，當有流量需要互訪時就需要一條一條地去添加規則；而網閘更甚，只能通過一對一地添加端口映射關系來實現互訪。

從不信任，總是驗證

零信任網絡認為，IP網絡上的所有網絡流量都是不可信的。有調查數據顯示，60％到80％的網絡濫用事件來自內部網絡，因為傳統的防火墻和入侵檢測系統（IDS）主要是針對網絡外部發起的攻擊，而對來自內部的網絡攻擊是無效的。如果內網一個數據庫服務器受到攻擊，黑客可以對該區域內的其他數據庫服務器發起攻擊，而不會受到防火墻的干擾或檢測。所以新華三NGFW設備對于同域間互訪都要單獨進行配置（系統視圖下：security-zone intra-zone default permit），在確保南北向流量安全的同時，也要保證東西向互訪流量安全。

所有網絡資源的安全訪問，無論在什么位置或設備上，都采取最小特權的網絡訪問策略，以嚴格執行訪問控制。用戶、設備或應用程序創建的每個會話在允許通信之前必須經過身份驗證、授權和帳戶認證，這也是零信任原則的體現"Trust no-one. Verify everything"。

如果再和設備結合一下，可以考慮到設備的AAA認證，比如新華三的RBAC（Role Based Access Control，基于角色的訪問控制）。RBAC的基本思想就是給用戶指定角色，這些角色中定義了允許用戶操作哪些系統功能以及資源對象。通過建立"權限"和"角色"的關聯來實現將權限賦予給角色，并通過建立兩者之間的關聯來實現為用戶指定角色，從而使用戶獲得相應角色所具有的權限。比如最小用戶查看權限、最小配置權限、超級密碼提升用戶權限等等，從操作員層面降低網絡被篡改的幾率。

如果對接入終端實行嚴格的準入認證機制，那么零信任網絡通過在網絡邊緣強制實施安全策略，即可實現在源頭遏制惡意流量。

網上有一個google平等對待位于外部公共網絡和本地網絡設備的BeyondCorp方案，即在默認情況下所有設備都不會被授予任何特權。用戶必須：

1）使用由公司提供且持續管理的設備（終端設備資產管理等）

2）通過身份認證（AAA認證授權、證書檢查等）

3）符合訪問控制引擎中的策略要求（終端安全檢查等）

4）通過專門的訪問代理（VPN網絡、代理網絡等）

5）才能訪問特定的公司內部資源（精細化授權、DMZ區域等）

相應的，為了保證用戶獲得流暢的資源訪問體驗，Google主要完成了：

1）準確識別設備；

2）準確識別用戶；

3）移除對網絡的信任；

4）通過面向互聯網的訪問代理提供內部應用和工作流；

5）實現基于已知設備和用戶的訪問控制，并動態更新設備和用戶信息。

對比一下，貴公司的SSL VPN等接入方案是不是也和上面的流程一致呢？

零信任網絡架構

在零信任網絡中，整個網絡架構也可以類比SDN，可分為控制平面和數據平面。控制平面主要負責協調和配置，支撐整個系統。其他的內容都可以看作是數據平面。

在控制平面中，對受保護資源的訪問請求首先要通過控制平面的同意，設備和用戶都必須經過身份驗證和授權。細粒度策略可以應用于這一層，策略可以是基于組織中的角色、時間或設備類型。訪問更敏感的資源還可以強制進行更強大的身份驗證。

一旦控制平面同意了請求，它將動態配置數據平面以接受來自該客戶機的流量。此外，它還可以在請求者和資源之間對隧道進行加密。加密的方式包括臨時憑據、密鑰和臨時端口號等。

所以，堡壘機（運維審計系統）這一產品應用而生，通過"統一入口"加"集中管理"，解決了錯綜復雜的對應關系帶來的運維挑戰，能同時實現身份認證、訪問控制、權限控制和操作審計等功能，有效控制運維風險。

對于傳統網絡中的管理網，一旦管理區域受到威脅，那就相當于給攻擊者在網絡中開了"后門"。如果管理網也能統一運維、集中管理，那么傳統網絡中非對稱規則帶來的風險將會大大降低。

雖受眾人追捧，但道阻且長

這是知乎上"軟件定義網絡"認為"零信任網絡"存在的挑戰。在2020領航者峰會上我也看到有人提問，"零信任網絡"推廣的最大障礙是什么？我想應該是人們日常應用中稍微復雜一點的操作，不再唾手可得的資源和訪問權限，和使用過程中莫名的隔閡感吧。

其實通過這次疫情，大家應該深有體會，本來很熟悉的物業、保安等一次次地卡住你，要求量體溫、出示身份證、出入證、健康綠碼、軌跡信息等等，不厭其煩；但也正是這種細致入微的繁瑣，才保證了今天的全員復工復產。

不過，我相信網絡中的技術實現要比防疫檢查這種"零信任"來的簡單得多，終端上的信息采集工具運行越來越無感知、安全軟件的防護越來越到位、無感知認證技術也越來越成熟等等，可能你早已身處"零信任網絡"中而沒有感知，又怎么能說"零信任網絡"沒有到來呢？你說對不？

參考信息：

知乎：如何看待所謂的"零信任網絡"？

https://www.zhihu.com/question/324481184/answer/684128454

新華三官網