自从2010年Forrester资深分析师John Kindervag第一次提出,并经过Google BeyondCorp项目落地之后,零信任概念在业界已经得到广泛传播,并且有深厚基础。
而近几年在零信任基础上发展起来的微分域(Micro-segmentation)、软件定义边界(SDP)等技术也已经走向成熟。
到2019 RSAC,零信任成为最热门的主题,再到NIST提交《NIST800-207 零信任架构》草案将零信任推向顶峰。
从概念提出到技术落地,以及相关新技术的蓬勃发展,我们可以看到,人们对于零信任的推崇从最开始踏踏实实向“最少特权”这个方向努力。
虽然在实现上遇到很多困难,但其总体架构直观、易懂,与其它安全产品和业务系统的界线清晰。
在BeyondCorp项目落地后,身份认证厂商的跟进也丰富了零信任的维度。
然而,在各个厂家的市场营销推动下,慢慢的零信任就变味了。零信任不再是“最少特权”,而是按自己口味,将零信任与现有产品拼接组合,可谓鱼龙混杂。
有些厂家口中宣传着零信任,但在产品里却是“毫无保留的信任”。
比方业界大厂Symantec把零信任一锅烩成了满汉全席:零信任数据、零信任网络、零信任人、零信任工作负载、零信任设备、零信任可见与分析、零信任自动化与编排……甚至可以在其官方文档中看到“呼叫中心”这样超出业界人员想象的内容。
1.身份认证以及用户和用户信息管理
2.设备管理目录
3.策略/权限评估服务
4.策略集中管理以及访问代理
5.异常检测
6.ML和响应(ps:ML和响应虽不是必须的,但这应该算是ZTA下,可以使ZTA大放异彩的一个方向。)
另外一方面,这并不意味着零信任就是一个刻板的、固定范围的概念。只要零信任的实现遵循一些原则,零信任的技术领地还是可以不断扩展的:
随着数据分析技术和大数据技术的发展,以及硬件性能的提升,网络安全领域的研究已经进入高速发展的时代。
而零信任安全的本质是以身份为中心进行动态访问控制,基于全面身份化,为零信任网络的人、设备、应用、系统等物理实体建立统一的数字身份标识和治理流程。
纵观RSAC 2020的各个分会或相关主题,鲜少有看到零信任相关内容,一方面是参展商不乐意重炒去年的过夜菜,另外一方面笔者更愿意相信很多企业正在埋头苦干,基于零信任架构研发出更优秀的安全产品,零信任正在回归本质的路途上。