如果加星标,可以及时收到推送
锐安全第246篇原创文章,
本文1525字,阅读时长4分钟
零信任绝对是安全领域最火爆的理论,也是迄今为止最庞大的安全体系,所以咱们得慢慢说。
有人说,零信任不是一种产品,而是一种战略,是一种访问控制的安全新范式,它代表着新一代的网络安全防护理念,所以我把零信任放到了“安全方法论”里。
零信任原始的全称是“网络安全零信任模型(Zero Trust Model of Cybersecurity)”,由著名研究机构Forrester分析师约翰·金德维格(John Kindervag)于2010年提出。这哥们儿于2017年加入派拓网络(Palo Alto Networks)任领域CTO(Field CTO),大家都称他为“零信任之父”。
2010年由Forrester提出的“零信任”,和2013年由NIST提出的“网络安全框架(Cybersecurity Framework, CSF)”、2015年由SANS研究所(SANS Institute)提出的“网络安全滑动标尺模型(Sliding Scale of Cyber Security)”、并称**“三大网络安全架构”**。
当然,也有人认为另外两个安全架构是MITRE公司于2013年提出的“ATT&CK框架(Adversarial Tactics, Techniques, and Common Knowledge, 对抗战术、技术和通用知识库)”,和著名咨询机构Gartner于2014年提出的“自适应安全架构(Adaptive Security Architecture, ASA)”。
NIST的“网络安全框架CSF”和Gartner的“自适应安全架构ASA”类似,都是守方视角,常用于描述**“安全防守能力”**。CSF是IPDRR,即识别(Identify)、保护(Protect)、检测(Detect)、响应(Respond)、恢复(Recover)等五要素,而ASA是预测(Predict)、防御(Prevent)、检测(Dectect)、响应(Respond)等四要素。
SANS的“网络安全滑动标尺模型”是甲方视角,常用于描述**“安全建设阶段”**,即安全建设可以按照:架构安全(Architecture)、被动防御(Passive Defense)、积极防御(Active Defense)、情报(Intelligence)、进攻/反制(Offense)等五个阶段来进行。
MITRE的“ATT&CK框架”是攻击视角,则常用于描述**“网络攻击能力”**,由14项战术组成。
所以零信任、网络空间安全框架CSF、ATT&CK框架、自适应安全架构ASA、网络安全滑动标尺模型可以并称为**“五大网络安全架构”**,而零信任以重要性和复杂性居首。
有人说零信任是基于人的维度来解决身份安全问题的,如果你要这么看,那么零信任就得跟4A、IAM、IDaaS等连在一起看。
有人说零信任是用来解决数据安全问题的,如果你要这么看,那么零信任就得跟文件加解密、安全工作空间、安全浏览器、数据防泄露DLP、数据库防火墙、数据加密隧道VPN等连在一起看。
有人说零信任是用来实现访问控制的,如果你要这么看,那么零信任就得跟用于网络访问控制的防火墙、用于应用访问控制的堡垒机、用于数据库访问控制的数据库运维平台连在一起看。
所以你看,零信任就是一种你一提大家就明白,但是越细讲大家就会越糊涂的东西。
所以一般人就会有一个疑问:零信任到底解决了什么问题呢?你说是发现了更多的0-DAY漏洞,还是拦住了更多的攻击?你说是提升了组织整个安全体系的安全系数,还是更好地保障了业务?从效果来看,好像零信任也是一种越说越难说的存在。
这就是零信任最大的问题,它的理念复杂、决策复杂、实施复杂、运维复杂、效果呈现也复杂。它其实不符合软件产品的正常逻辑:实现复杂、使用简单,比如搜索引擎、大模型、杀毒软件、防火墙等。
它只能是从理论上证明更有效的安全方法论,所以零信任到今天为止,尝试的客户多、落地效果好的客户少。
举个例子,零信任跟IT部门相关、跟运维部门相关、跟数据部门相关、跟业务部门相关、跟风控部门相关,要落地一个零信任,需要横向破壁,决策成本是非常高的。
如果零信任是一个“Call High”的生意,那它的商业复制就会非常难、特别慢。
但是有一点,“零信任+”作为创新课题来立项特别容易,零信任+任何安全环境和安全对象,都会显得先进。
虽然我认为零信任即可以是一种抽象的理论、理念、思想或范式,也可以是一种顶层的模型、架构、框架或方法,当然还可以是一种产品、系统、平台或解决方案,也可以是一组技术。
但是说到这里,我又有点不笃定了,如果它是一个这么复杂的体系,还是把它当成一种理论或方法论比较好。
所以,要想真正理解零信任,咱们就得从“零信任到底是如何变复杂的?”这个问题开始。
恭喜你,又看完了一篇文章。从今天起,和我一起洞察安全本质!这里是锐安全,今天就到这里,咱们下周四再见!
您的安全架构航海之旅到了这里:
点击文末【阅读原文】,看到一个完整的安全系统
end
如果你对本文有任何建议,
欢迎联系我改进;
如果本文对你有任何帮助,
欢迎分享、点赞和在看
如果心生欢喜,不如做个长期朋友:)
参考资料:
[1]陈本峰 贾良珏 魏小强 董雁超.零信任安全从入门到精通,2024年1月. 中国工信出版社 电子工业出版社
[2]Paloalto.John Kindervag.https://www.paloaltonetworks.com/blog/author/john-kindervag/
[3]John Kindervag.No More Chewy Centers: Introducing The Zero Trust Model Of Information Security,2010-09-17. https://media.paloaltonetworks.com/documents/Forrester-No-More-Chewy-Centers.pdf
[4]NIST.CYBERSECURITY FRAMEWORK.https://www.nist.gov/cyberframework
[5]NIST.Update on the Development of the Cybersecurity Framework,2013-07-24.https://www.nist.gov/system/files/documents/itl/NIST-Cybersecurity-Framework-Update-072413.pdf
[6]The Sliding Scale of Cyber Security.2015-09-01.https://www.sans.org/white-papers/36240/
[7]锐安全.安全方法论里,还缺一个实战安全架构,2024-06-06.https://mp.weixin.qq.com/s/mE5M7lfwNhjv2vYya7Lp8A
[8]青藤云安全.最具影响力的三大安全架构:零信任、ATT&CK、自适应安全, 2019-10-29.https://mp.weixin.qq.com/s/6wWaI\_zKUfzd0ainfhA1FA
[9]张福 程度等.ATT&CK框架实践指南(第二版).中国工信出版社 电子工业出版社,2023-08.
[10]锐安全.安全热词的本质到底是什么?,2022-09-01.https://mp.weixin.qq.com/s/a46iFIsEP9Oq\_K\_bcfLgLA
题图创作者:晓兵与AI小助手
算法提供:百度