转载

让零让零信任回归本质信任回归本质

自从2010年Forrester资深分析师John Kindervag第一次提出，并经过Google BeyondCorp项目落地之后，零信任概念在业界已经得到广泛传播，并且有深厚基础。

而近几年在零信任基础上发展起来的微分域（Micro-segmentation）、软件定义边界（SDP）等技术也已经走向成熟。

到2019 RSAC，零信任成为最热门的主题，再到NIST提交《NIST800-207 零信任架构》草案将零信任推向顶峰。

从概念提出到技术落地，以及相关新技术的蓬勃发展，我们可以看到，人们对于零信任的推崇从最开始踏踏实实向“最少特权”这个方向努力。

虽然在实现上遇到很多困难，但其总体架构直观、易懂，与其它安全产品和业务系统的界线清晰。

在BeyondCorp项目落地后，身份认证厂商的跟进也丰富了零信任的维度。

然而，在各个厂家的市场营销推动下，慢慢的零信任就变味了。零信任不再是“最少特权”，而是按自己口味，将零信任与现有产品拼接组合，可谓鱼龙混杂。

有些厂家口中宣传着零信任，但在产品里却是“毫无保留的信任”。

比方业界大厂Symantec把零信任一锅烩成了满汉全席：零信任数据、零信任网络、零信任人、零信任工作负载、零信任设备、零信任可见与分析、零信任自动化与编排……甚至可以在其官方文档中看到“呼叫中心”这样超出业界人员想象的内容。

1.身份认证以及用户和用户信息管理

2.设备管理目录

3.策略/权限评估服务

4.策略集中管理以及访问代理

5.异常检测

6.ML和响应（ps：ML和响应虽不是必须的，但这应该算是ZTA下，可以使ZTA大放异彩的一个方向。）

另外一方面，这并不意味着零信任就是一个刻板的、固定范围的概念。只要零信任的实现遵循一些原则，零信任的技术领地还是可以不断扩展的：

随着数据分析技术和大数据技术的发展，以及硬件性能的提升，网络安全领域的研究已经进入高速发展的时代。

而零信任安全的本质是以身份为中心进行动态访问控制，基于全面身份化，为零信任网络的人、设备、应用、系统等物理实体建立统一的数字身份标识和治理流程。

纵观RSAC 2020的各个分会或相关主题，鲜少有看到零信任相关内容，一方面是参展商不乐意重炒去年的过夜菜，另外一方面笔者更愿意相信很多企业正在埋头苦干，基于零信任架构研发出更优秀的安全产品，零信任正在回归本质的路途上。

原文 http://www.youxia.org/2020/03/50375.html

正文到此结束

所属分类：软件架构编程技术

本站定位：个人技术类博客

本站作用：写博客、记日志、闲聊扯淡鼓捣技术。