翻譯：趙茹萱

校對(duì)：王洪菠

那么，什么是零信任呢？
“零信任是一種網(wǎng)絡(luò)安全策略，用于驗(yàn)證每個(gè)用戶、設(shè)備、應(yīng)用程序和交易。零信任意味著，任何用戶或流程都不應(yīng)該被信任?！边@一定義來自于NSTAC的報(bào)告，這是一份由美國(guó)國(guó)家安全電信咨詢委員會(huì)于2021年編制的共56頁的零信任文件，該委員會(huì)由AT&T前首席執(zhí)行官領(lǐng)導(dǎo)的數(shù)十名安全專家組成。
在一次采訪中，創(chuàng)建該術(shù)語的Forrester Research前分析師John Kindervag指出，他在他的零信任詞典中定義：零信任的最初戰(zhàn)略意義是通過消除數(shù)字信任來防止數(shù)據(jù)泄露，零信任應(yīng)該可以通過現(xiàn)有的技術(shù)手段進(jìn)行部署并在未來不斷地迭代提升。
零信任的基本原則是什么？
Kindervag在他 2010年的報(bào)告中提出零信任的三項(xiàng)基本原則。所有的網(wǎng)絡(luò)流量都不該被信任，所以用戶必須：“驗(yàn)證和加密所有資源，限制并嚴(yán)格執(zhí)行訪問控制，監(jiān)測(cè)并記錄所有網(wǎng)絡(luò)流量。”這就是為什么零信任有時(shí)被稱為“永不信任，始終驗(yàn)證”。
如何實(shí)現(xiàn)零信任？
正如定義所暗示的那樣，零信任不是一種單一的技術(shù)或產(chǎn)品，而是一套現(xiàn)代安全策略原則。美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院 （NIST） 在其開創(chuàng)性的 2020 年報(bào)告中詳細(xì)介紹了實(shí)施零信任的指南。
NIST的零信任架構(gòu)

上圖描述了它的一般方法，即使用安全信息和事件管理（SIEM）系統(tǒng)來收集數(shù)據(jù)，并使用持續(xù)診斷和緩解（CDM）對(duì)其進(jìn)行分析，從而對(duì)其發(fā)現(xiàn)的信息和事件做出響應(yīng)。

這是一個(gè)安全計(jì)劃的示例，也被稱為零信任架構(gòu) （ZTA），它創(chuàng)建了一個(gè)更安全的網(wǎng)絡(luò)，稱為零信任環(huán)境。

但一種方法不能完全解決零信任問題。NIST的報(bào)告稱，“ZTA沒有單一的部署計(jì)劃，因?yàn)槊總€(gè)企業(yè)都有獨(dú)特的用例和數(shù)據(jù)資產(chǎn)”?！?/span>
零信任的五個(gè)步驟
部署零信任的工作可以歸納為五個(gè)主要步驟。首先，定義一個(gè)所謂的保護(hù)層，即用戶想要保護(hù)的東西。保護(hù)層可以跨越公司辦公室內(nèi)部的系統(tǒng)、云和邊緣。從那里，用戶創(chuàng)建一個(gè)通常在其網(wǎng)絡(luò)中流動(dòng)的交易地圖和零信任架構(gòu)來保護(hù)它們。接著，為網(wǎng)絡(luò)建立安全策略。最后，監(jiān)控網(wǎng)絡(luò)流量以確保交易保持在策略范圍內(nèi)。零信任的五個(gè)步驟

NSTAC 報(bào)告（上圖）和 Kindervag 都建議采取相同的步驟來創(chuàng)建零信任環(huán)境。值得注意的是，零信任就像是一段旅程，而不是旅程的目的地。顧問和政府機(jī)構(gòu)建議用戶采用零信任成熟度模型來記錄組織隨時(shí)間推移的安全改進(jìn)。網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施安全局隸屬于美國(guó)國(guó)土安全部，它在2021年的一份文件中描述了這樣的一種模式（見下圖）。

來自CISA的零信任成熟度模型
在實(shí)踐中，零信任環(huán)境中的用戶獨(dú)立地請(qǐng)求訪問每個(gè)受保護(hù)資源。他們通常使用多因素身份驗(yàn)證（MFA），比如在計(jì)算機(jī)上提供密碼，然后將驗(yàn)證碼發(fā)送到智能手機(jī)上。
NIST報(bào)告列出了決定用戶是否可以訪問資源的算法（如下圖）流程。

零信任訪問的NIST算法

“理想情況下，信任算法應(yīng)該是上下文相關(guān)的，但情況可能并不總是這樣，”

考慮到公司的資源，一些人認(rèn)為，尋求一種衡量可信度的算法與零信任的理念背道而馳。其他人注意到，機(jī)器學(xué)習(xí)在這里可以提供思路，它可以捕獲網(wǎng)絡(luò)上許多事件的上下文，以幫助做出正確的訪問決策。

零信任的大爆炸

2021 年 5 月，喬·拜登總統(tǒng)發(fā)布了一項(xiàng)行政命令，要求對(duì)政府的計(jì)算系統(tǒng)施行零信任。該命令給了聯(lián)邦機(jī)構(gòu)60天的時(shí)間來根據(jù) NIST的建議采用零信任架構(gòu)。他還呼吁制定一個(gè)處理安全漏洞的手冊(cè)，一個(gè)審查重大事件的安全委員會(huì)——甚至是為某些消費(fèi)品建立網(wǎng)絡(luò)安全警告標(biāo)簽的程序。這是零信任的大爆炸時(shí)刻，至今仍在全球范圍內(nèi)回響。NSTAC 報(bào)告稱：“這對(duì)推進(jìn)董事會(huì)內(nèi)部和信息安全團(tuán)隊(duì)之間的零信任對(duì)話可能產(chǎn)生的影響，怎么強(qiáng)調(diào)都不為過?！?/span>

零信任的歷史是什么？

2003年前后，零信任的想法開始在美國(guó)國(guó)防部?jī)?nèi)部涌現(xiàn)，并在 2007年生成一份報(bào)告。大約在同一時(shí)間，一個(gè)名為杰里科論壇(Jericho Forum)的行業(yè)安全專家非正式小組創(chuàng)造了“去邊界化”(de-perimeterisation)這個(gè)術(shù)語。在2010年9月的報(bào)告中，Kindervag將這一概念具體化，并給它起了個(gè)名字。他認(rèn)為，該行業(yè)專注于在擁有防火墻和入侵檢測(cè)系統(tǒng)的組織周圍修建護(hù)城河是錯(cuò)誤的。不良行為者和不可思議的數(shù)據(jù)包已經(jīng)存在于組織內(nèi)部了，破解這些威脅需要一種全新的方法。

安全超越防火墻

從他早期安裝防火墻開始，“我就意識(shí)到我們的信任模型存在問題，”他在接受采訪時(shí)說。“我們將人類的概念帶入了數(shù)字世界，這很愚蠢。”

在 Forrester，他的任務(wù)是找出網(wǎng)絡(luò)安全不起作用的原因。2008 年，他開始使用零信任這個(gè)術(shù)語來描述他的研究。經(jīng)過一些早期的阻力，用戶開始接受這個(gè)概念。

“有人曾經(jīng)告訴我，零信任將成為我的全部工作。我不相信他，但他是對(duì)的，”Kindervag曾擔(dān)任過各種行業(yè)角色，并幫助數(shù)百家組織建立了零信任環(huán)境。

不斷擴(kuò)大的零信任生態(tài)系統(tǒng)

事實(shí)上，Gartner 預(yù)測(cè)，到 2025 年，至少 70% 的新遠(yuǎn)程訪問部署將使用零信任網(wǎng)絡(luò)訪問 (ZTNA)，而在2021年底，這一比例還不到 10%。（Gartner，《新興技術(shù)：零信任網(wǎng)絡(luò)接入的采用增長(zhǎng)洞察》G00764424，2022 年 4 月）

從一定程度上講，新冠肺炎封鎖加速了公司提高遠(yuǎn)程工作人員安全性的計(jì)劃。許多防火墻供應(yīng)商近期提供的產(chǎn)品中包含了ZTNA功能。市場(chǎng)觀察人士估計(jì)，從 Appgate 到 Zscaler，現(xiàn)在至少有 50 家供應(yīng)商提供符合零信任概念的安全產(chǎn)品。

人工智能自動(dòng)化零信任

一些零信任環(huán)境中的用戶對(duì)多次請(qǐng)求多因素身份驗(yàn)證感到失望。一些專家將其視為通過機(jī)器學(xué)習(xí)實(shí)現(xiàn)自動(dòng)化的機(jī)會(huì)。

例如，Gartner建議采用一種被稱為“持續(xù)適應(yīng)性信任”的分析方法。CAT（見下表）可以使用上下文數(shù)據(jù)（例如設(shè)備身份、網(wǎng)絡(luò)身份和地理位置）作為一種數(shù)字現(xiàn)實(shí)檢查來幫助驗(yàn)證用戶身份。

Gartner列出了零信任的安全步驟。資料來源：Gartner，《將重點(diǎn)從MFA轉(zhuǎn)向持續(xù)自適應(yīng)信任》G00745072,2021年12月。列出了零信任安全步驟。

事實(shí)上，網(wǎng)絡(luò)中充滿了數(shù)據(jù)，其中很多數(shù)據(jù)可以被人工智能實(shí)時(shí)篩選,自動(dòng)地增強(qiáng)數(shù)據(jù)的安全性。

NVIDIA 人工智能基礎(chǔ)設(shè)施和網(wǎng)絡(luò)安全工程高級(jí)經(jīng)理 Bartley Richardson 表示：“我們甚至無法收集、維護(hù)和觀察我們所能收集的一半網(wǎng)絡(luò)數(shù)據(jù)，但這些數(shù)據(jù)中的情報(bào)將形成網(wǎng)絡(luò)安全的整體圖景?！?/span>

運(yùn)營(yíng)商無法跟蹤網(wǎng)絡(luò)產(chǎn)生的所有數(shù)據(jù)或?yàn)樗锌赡艿氖录O(shè)置策略。但他們可以應(yīng)用人工智能來搜索可疑活動(dòng)的數(shù)據(jù)，然后快速響應(yīng)。

“我們希望為企業(yè)提供工具，讓它們構(gòu)建并自動(dòng)化強(qiáng)大的零信任環(huán)境，零信任環(huán)境的防御系統(tǒng)將貫穿于數(shù)據(jù)中心的整個(gè)結(jié)構(gòu)?！盧ichardson說。Richardson的工作是負(fù)責(zé)NVIDIA Morpheus(一個(gè)開放的AI網(wǎng)絡(luò)安全框架)的開發(fā)。

NVIDIA Morpheus 零信任
NVIDIA 為 Morpheus 提供預(yù)訓(xùn)練的 AI 模型，用戶也可以從第三方選擇模型或自行構(gòu)建模型?！昂蠖斯こ毯凸芫€工作很辛苦，但我們有這方面的專業(yè)知識(shí)，我們可以為您設(shè)計(jì)它，”像Kindervag這樣的專家將這種能力視為零信任未來的一部分。
“安全分析師的手動(dòng)響應(yīng)太困難且無效，”他在 2014 年的一份報(bào)告中寫道，“系統(tǒng)的成熟度如此之快，現(xiàn)在可以實(shí)現(xiàn)有價(jià)值和可靠的自動(dòng)化水平。”
要了解更多關(guān)于人工智能和零信任的信息，請(qǐng)閱讀原博客。

原文標(biāo)題：What Is Zero Trust?原文鏈接：https://blogs.nvidia.com/blog/2022/06/07/what-is-zero-trust/