零信任安全呼喚新思維和新舉措

我們都聽說過“零信任安全”，但未必確切地知道應該如何實施，其中部分原因在于這個名稱。零信任聽起來很不錯，但將此概念付諸實施簡直是不可能的。如果用戶們根本不信任任何系統、用戶、設備、應用或是過程，企業將無法運轉。

零信任的一種準確的名稱可能是高度顆粒化和分布式的信任。也就是說，零信任背后的概念其實是分布式信任的高度顆粒化的控制。A設備和B設備之間的會話可能是被允許的，但并非所有的會話都是允許的，或者說并非設備A和B之間的所有會話類型都可信。

高度顆粒化和分布式信任這兩個概念形成了零信任安全的兩個關鍵要素。零信任依賴并要求對系統和數據的深入理解，因而IT才能圍繞系統、過程、應用和無處不在的用戶部署有意義的邊界。

因而，零信任安全要求IT徹底地重新思考網絡，其中包括傳統和獨立的路由器、防火墻、分布式拒絕服務攻擊防御系統、網絡分段產品及所有其他網絡元素的角色。安全功能正日益被虛擬化和模塊化為虛擬設備和虛擬化的網絡功能，并且能夠在必要時在企業整個基礎架構中實施。

零信任還將安全的自動化置于“安全運維”的中心地位，并且擁有自動化的所有好處：可靠性、靈活性、可擴展性。

實用舉措

網絡安全專業人士如何將高度顆粒化和分布式信任、重新思考網絡設計、實施自動化等轉變為實用的措施呢？

首先需要做的是虛擬化。計算和應用程序的虛擬化相對成熟。多數企業已經朝著虛擬化服務器邁進，并且很多企業已經實施了一種基于微服務和容器的軟件開發模式。所以，在計算和應用層實施零信任要從將顆粒化和分布式安全提交給虛擬機、微服務、容器開始。

很多廠商的工具可以提供基于容器的安全，還有的工具可協助實現微服務安全。但是，網絡基礎設施的成熟度卻低得多。很多企業仍通過物理設備的組合（交換機、路由器、防火墻、負載均衡器、網關等設備）來構建網絡。

在一個網絡基礎架構內部實施零信任安全的一個關鍵步驟就是虛擬化遷移。在數據中心和WAN內部實施SDN提供了必要的平臺，可以將網絡和網絡安全功能實例變為虛擬機而非物理設備。例如，防火墻可能成為一體化SD-WAN設備中的防火墻虛擬機。這又使功能的自動化和顆粒化控制成為可能。

達到零信任

很多傳統的安全和網絡廠商及新興廠商都提供這些類型的虛擬化產品，提供對個別會話的顆粒化控制，并且能夠對網絡許可提供動態的重新配置。對于企業來說，重新關注傳統的和新興的廠商，評估其虛擬化的程度是非常值得的。

在選擇工具時，非常重要的一點是要考慮集中化的策略。有些廠商正開始在網絡策略引擎方面發揮作用，為合作伙伴的一系列能夠實施集中化策略的技術提供支持。不管企業希望哪個廠商成為策略引擎，非常關鍵的問題是，要考慮擁有一種集中化的策略倉庫，企業可以做出能夠波及到整個基礎架構的變化。

即使零信任安全并不是其名稱所暗示的那樣，它也將最終改變一切。而且，在實施零信任安全時，網絡的基礎架構是最薄弱的環節，所以企業應特別關注對企業網絡的基礎架構實施虛擬化，并保障其安全。