零信任起源于2004年耶利哥论坛，于2010年被正式提出，随着谷歌的BeyondCorp项目及其陆续发布的6篇相关论文而进入大众视野，并于2018年起在国内引发热议。当传统安全体系建设遭遇瓶颈的时候，零信任的出现为安全从业者打开了新思路，随着零信任相关的团体标准、行业标准陆续出现，“零信任”彷佛一夜之间便成为业界焦点。那么，零信任到底是不是一个产品？该如何权衡其与传统安全体系的利弊？如何在落地过程中实现细粒度动态授权管控？带着诸多疑问，网御星云专访CZTP专家，为您一一解惑，奉上零信任落地“干货”！

Q：零信任到底是不是一个产品？

CZTP专家：我们常说的“零信任”，准确的说应该是“零信任安全体系”。从“体系”两个字就能看出来，零信任不是一个产品、系统或平台，而是一个完整的体系架构。进一步讲，零信任是需要一个生态来共同完成的，至少要包含安全专业和应用专业两个方面。

之所以有这样的疑问，是因为每当聊到“零信任”话题，都无法避开其最小落地方式：SDP。目前，市面上的SDP大多都是产品，或者说是在VPN基础上加了SPA技术的产品。SDP的相关产品在解决远程运维和办公的接入安全问题时能起到重要作用，但涉及细粒度权限管控、数据安全管控等零信任体系中其他维度问题时，单一产品就可能力不从心。

因此，只有知道零信任体系架构的全貌，我们才能在落地零信任的过程中选择出适合企业自身情况的建设方案。

Q：过去的安全体系真的需要推倒重来吗？

CZTP专家：多年来，许多企业已经建立了以纵深防御为主的安全防护体系，有的甚至已完成了立体跨区域、多层级安全防护体系。在这些用户的安全管理者看来，零信任理念在这样的体系中落地，往往要面对“颠覆”性安全架构和“重建”安全体系的考量，主要的安全防护体系甚至要面临“推倒重来”的困扰，以至于落地零信任成为一件“伤筋动骨”的事情。

其实，零信任不是万能的，它主要从身份管理、权限控制、动态认证等方面去考虑业务的安全和数据安全。从网络层面来看，零信任主要从微隔离或者网络隐藏的角度去进行网络安全防护，但这明显只是对传统网络安全纵深防御体系的能力补充，并不具备替代关系。

所以，零信任与传统网络安全纵深防御体系是互补关系，甚至是共生的关系。一方面，零信任体系可以融合原有的主机安全、EDR、态势感知等为其进行安全感知能力；可以融合原有的堡垒机、统一门户（含SSO）安全准入、VPN以及安全网关（FW、UTM等）作为其安全动作执行能力；可以结合原有的安全闭环机制，进行全网的零信任架构落地。另一方面，纵深防御体系可以借助零信任实现多层级细粒度权限控制；可以借助零信任的动态信任评估系统实现实时响应；可以借助零信任的身份管理实现多设备管理。

Q：如何落地细粒度动态授权管控？

CZTP专家：根据我们了解到的情况来看，要在零信任中实现动态权限管控有一定难度，目前大多数的解决方案可能会通过终端类风险感知来实现管控，但实操的效果如何难以考量。举个例子，在永恒之蓝没有爆发之前，打补丁、关闭445端口、开启防火墙等操作是耳熟能详的安全防护步骤，但从永恒之蓝中招的数量来看，仍然有很多用户没有执行过上述操作。对此，我们可以依据永恒之蓝的危害，要求没有关闭445端口的终端不允许访问敏感数据。但设想一下，如果终端存在另一个没有被利用的漏洞，如何判断其是否可以访问业务？仅仅依靠一个终端安全评分，而非验证可造成真伤的弱点，就能做到安全无忧？此外，即使是面对已知威胁，如果入网前的基线检查仅停留在核查终端是否在规定网络、是否安装杀毒软件、是否打开防火墙等基础环节，这些准入性质的动态权限控制似乎离零信任中“细粒度动态管控”相差甚远。

所以，我们在做咨询时，一般会采用异常行为分析来落地动态权限。通过对用户行为数据的分析，如果确定一个人正在偷数据，那就可以名正言顺地降低违规者的数据访问权限，这才是真正可落地的细粒度动态权限调整。当然有条件的话，能结合终端基线和用户异常行为分析，将两者都作为动态因子的计算依据，就更棒了。

Q：对于企业该如何落地零信任，您还有什么建议？

CZTP专家：在企业落地零信任之前，要认清零信任体系全貌，按需选择适合自身环境的组件，分阶段有步骤的规划，想好关键环节的落地性，才能让网络安全真正做到“零信任”。

零信任的创新性安全思维契合数字基建新技术特点，秉承“持续验证，永不信任”原则，将成为网络安全保障体系升级的中流砥柱。今天的“大咖御谈”就到这里，感谢CZTP专家的干货分享。

CZTP（CertifiedZeroTrustProfessional）零信任专家认证是零信任领域首个面向从业人员的安全认证，涵盖最新的国际零信任架构技术与实践知识，为网络信息安全从业人员在数字化时代下提供零信任全面的安全知识，传播与践行零信任理念。