零信任熱中的冷思考

零信任熱中的冷思考如此熱度之下，可能需要一些"冷思考"，有利于零信任這項(xiàng)技術(shù)的科學(xué)開(kāi)展，使其從喧囂回歸理性，進(jìn)而有效發(fā)揮零信任的作用。近幾年來(lái)，零信任（ZeroTrust,ZT）成為網(wǎng)絡(luò)平安領(lǐng)域的一個(gè)熱點(diǎn)話題，甚至被很多人視為網(wǎng)絡(luò)平安領(lǐng)域的"壓倒性”技術(shù)趨勢(shì)。零信任概念最初見(jiàn)于1994年的一篇博士論文，后因2010年咨詢公司Forrester的大力宣傳而被公眾所熟知。2020年8月，美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院發(fā)布的《零信任架構(gòu)》定義零信任為一系列概念和思想，旨在面對(duì)信息系統(tǒng)和服務(wù)中受損的網(wǎng)絡(luò)時(shí)，在按請(qǐng)求執(zhí)行準(zhǔn)確的、最小權(quán)限的訪問(wèn)決策過(guò)程中，減少不確定性。2021年9月7日，美國(guó)政府管理和預(yù)算辦公室（OMB）及國(guó)土安全部網(wǎng)絡(luò)平安和基礎(chǔ)設(shè)施平安局（CISA）先后發(fā)布了《聯(lián)邦政府向零信任遷移的原那么》和《零信任成熟度模型》。美國(guó)政府將其冠名為“戰(zhàn)略"，引發(fā)世界各國(guó)對(duì)其可能實(shí)施網(wǎng)絡(luò)平安重大行動(dòng)或布局網(wǎng)絡(luò)平安重要技術(shù)的強(qiáng)烈關(guān)注。同樣，零信任在我國(guó)網(wǎng)絡(luò)平安領(lǐng)域也引發(fā)熱議。2019年，工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)平安產(chǎn)業(yè)開(kāi)展的指導(dǎo)意見(jiàn)（征求意見(jiàn)稿）》將"零信任平安"列入”著力突破網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”之一；2021年7月，工信部發(fā)布的《網(wǎng)絡(luò)平安產(chǎn)業(yè)高質(zhì)量開(kāi)展三年行動(dòng)計(jì)劃（2021-2023年）》提出要開(kāi)展創(chuàng)新平安技術(shù)，加快開(kāi)展零信任框架等平安體系研發(fā)。網(wǎng)絡(luò)平安產(chǎn)業(yè)界那么通過(guò)成立產(chǎn)業(yè)聯(lián)盟零信任工作組、制定和發(fā)布行業(yè)標(biāo)準(zhǔn)、提出解決方案，以及加大投資力度等各種措施促進(jìn)零信任的應(yīng)用和開(kāi)展。如此熱度之下，可能需要一些"冷思考"，有利于零信任這項(xiàng)技術(shù)的科學(xué)開(kāi)展，使其從喧囂回歸理性，進(jìn)而有效發(fā)揮零信任的作用。一、美國(guó)零信任戰(zhàn)略介紹與分析2021年5月12日，美國(guó)總統(tǒng)拜登簽署了14028號(hào)行政令《改善國(guó)家網(wǎng)絡(luò)安全》，首次在聯(lián)邦政府的頂層政策文件中提出實(shí)施零信任的要求。該行政令要求，為跟上當(dāng)今動(dòng)態(tài)和日益復(fù)雜的網(wǎng)絡(luò)威脅環(huán)境，聯(lián)邦政府必須采取果斷措施，使其網(wǎng)絡(luò)平安方法現(xiàn)代化，包括提高聯(lián)邦政府對(duì)威脅的能見(jiàn)度，同時(shí)保護(hù)隱私和公民自由，具體措施包括采取平安最正確實(shí)踐、向零信任架構(gòu)推進(jìn)、加快云服務(wù)平安等；同時(shí)，要求各機(jī)構(gòu)負(fù)責(zé)人應(yīng)在行政令發(fā)布60天內(nèi)制定實(shí)施零信任架構(gòu)的計(jì)劃。此后，美國(guó)發(fā)布了《聯(lián)邦政府向零信任遷移的原那么》和《零信任成熟度模型》，用以具體落實(shí)該行政令。以上文件被美國(guó)白宮宣傳為"零信任戰(zhàn)略”。14028號(hào)行政令剛出臺(tái)時(shí)，我國(guó)一些機(jī)構(gòu)和媒體聲稱，這是"美國(guó)總統(tǒng)強(qiáng)推零信任"，這可能夸大其實(shí)，對(duì)零信任也是一種"捧殺"。對(duì)于美國(guó)政府的這些舉措，我們應(yīng)從以下幾面進(jìn)行理解：這是美國(guó)政府“信息技術(shù)現(xiàn)代化”改革的一局部，屬于漸進(jìn)過(guò)程中的一環(huán)，目的不是為了開(kāi)展零信任。多年以來(lái)，美國(guó)政府一直強(qiáng)調(diào)對(duì)關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行保護(hù)。但近年來(lái)美國(guó)政府自身遇到屢次重大網(wǎng)絡(luò)攻擊，特別是2015年4月出現(xiàn)了人事局（OPM）被攻擊的惡性事件，導(dǎo)致包括駐外情報(bào)人員在內(nèi)的聯(lián)邦雇員名單外泄，使美國(guó)政府不得不對(duì)疏于自身防護(hù)的"燈下黑”現(xiàn)象進(jìn)行反思。經(jīng)美國(guó)政府問(wèn)責(zé)辦公室（GAO）調(diào)研發(fā)現(xiàn)，聯(lián)邦信息系統(tǒng)陳舊老化，最老的系統(tǒng)已使用近60年之久，這是其容易受攻擊的根本原因。為此，美國(guó)政府于2017年宣布了"聯(lián)邦信息技術(shù)現(xiàn)代化計(jì)劃"，時(shí)任總統(tǒng)特朗普發(fā)布了《增強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)與關(guān)鍵基礎(chǔ)設(shè)施網(wǎng)絡(luò)平安》。所謂"現(xiàn)代化"，重點(diǎn)是IT體系結(jié)構(gòu)的調(diào)整，以及與此調(diào)整相應(yīng)的網(wǎng)絡(luò)平安防護(hù)自身的現(xiàn)代化。為此，拜登要求聯(lián)邦系統(tǒng)盡快云，并在云環(huán)境下積極采用零信任架構(gòu)。需要注意，在14028號(hào)行政令中，拜登同時(shí)提及的還有數(shù)據(jù)分級(jí)分類、多因子認(rèn)證、加密等技術(shù)。因此，美國(guó)政府的一系列舉措，不是支持零信任開(kāi)展的政策文件，而是對(duì)自身系統(tǒng)提出的防護(hù)要求。美國(guó)政府是在"上云”這一特定應(yīng)用背景下推行零信任，零信任并非普適。在推進(jìn)聯(lián)邦政府信息技術(shù)現(xiàn)代化進(jìn)程中，美國(guó)確立了兩個(gè)工作目標(biāo)：一是對(duì)聯(lián)邦政府網(wǎng)絡(luò)進(jìn)行現(xiàn)代化改造和整合；二是構(gòu)建面向共享服務(wù)的網(wǎng)絡(luò)架構(gòu)。為實(shí)現(xiàn)上述目標(biāo)，美國(guó)提出，要從對(duì)網(wǎng)絡(luò)邊界的保護(hù)和對(duì)物理設(shè)備的保護(hù)，轉(zhuǎn)向?qū)?shù)據(jù)的保護(hù)和對(duì)云計(jì)算平臺(tái)的部署。對(duì)數(shù)據(jù)的保護(hù)必然需要更細(xì)粒度的訪問(wèn)控制。對(duì)云計(jì)算平臺(tái)的部署，特別是政府信息系統(tǒng)遷移到商業(yè)云上，必然導(dǎo)致政府對(duì)自身系統(tǒng)的管控能力降低，責(zé)任邊界變得模糊，疫情期間遠(yuǎn)程辦公那么進(jìn)一步加重了這一風(fēng)險(xiǎn)。這種復(fù)雜的平安場(chǎng)景，正是零信任所強(qiáng)調(diào)的"不再信任邊界"。為此，美國(guó)在高層政策中提出了部署零信任框架的要求。這確實(shí)是一種防護(hù)思路的轉(zhuǎn)變，但面對(duì)的是信息系統(tǒng)遷移到云上這種特殊背景，并不意味著在任何場(chǎng)景下都要推行零信任框架。這不是一次戰(zhàn)略級(jí)的行動(dòng)。美國(guó)政府是在按既定路線提升聯(lián)邦信息系統(tǒng)的平安防護(hù)水平，其根本手段是替換老舊系統(tǒng)，實(shí)現(xiàn)"信息技術(shù)現(xiàn)代化"；保護(hù)重點(diǎn)是從保護(hù)網(wǎng)絡(luò)資產(chǎn)轉(zhuǎn)向保護(hù)數(shù)據(jù)資產(chǎn)；運(yùn)行模式是遷移到商業(yè)云上，以表達(dá)投資集約化，解決專業(yè)人才缺乏的問(wèn)題。而為了確保這一過(guò)程的平安，零信任是關(guān)鍵技術(shù)。但零信任確實(shí)較新，故美國(guó)政府連續(xù)發(fā)布了多份文件予以闡述，并要求2024年完成部署。這是一種具體的行動(dòng)路線圖，不代表美國(guó)網(wǎng)絡(luò)平安戰(zhàn)略的重大動(dòng)向。因此，美國(guó)"零信任戰(zhàn)略”是美國(guó)政府為應(yīng)對(duì)更加復(fù)雜的新平安形勢(shì)而制定的行動(dòng)計(jì)劃，不是戰(zhàn)略文件。二、國(guó)內(nèi)對(duì)零信任存在爭(zhēng)議的主要原因當(dāng)前，由于盲目跟風(fēng)、資本炒作等原因，國(guó)內(nèi)對(duì)零信任存在一些爭(zhēng)議。這些爭(zhēng)議對(duì)于凝聚網(wǎng)絡(luò)平安業(yè)界力量、加快自主創(chuàng)新步伐產(chǎn)生了不利影響，一些虛假宣傳更是擾亂了人們的認(rèn)識(shí)，急需正本清源，引導(dǎo)零信任向正確的方向前進(jìn)。分析認(rèn)為，導(dǎo)致零信任正在偏離科學(xué)開(kāi)展軌道的原因如下。一是資本炒作。網(wǎng)絡(luò)平安產(chǎn)業(yè)的戰(zhàn)略地位使資本趨之假設(shè)鷲，但資本始終在尋找網(wǎng)絡(luò)平安領(lǐng)域的亮點(diǎn)和爆發(fā)點(diǎn)。零信任的出現(xiàn)滿足了資本的包裝需求，零信任大熱與此有直接關(guān)系。目前，很大程度上是資本在推著零信任走，而不是需求在主導(dǎo)零信任的開(kāi)展。二是過(guò)分夸大其作用。為了迎合資本炒作，一些人過(guò)分夸大了零信任的作用，將其作為解決網(wǎng)絡(luò)平安問(wèn)題的靈丹妙藥，脫離了其作為訪問(wèn)控制策略的技術(shù)實(shí)質(zhì)。一些人甚至將其上升為一種顛覆性網(wǎng)絡(luò)平安技術(shù)，人為制造了零信任與現(xiàn)有網(wǎng)絡(luò)平安技術(shù)措施的對(duì)立。三是違背基本技術(shù)原理。零信任的翻譯并不準(zhǔn)確，其"永不信任、持續(xù)驗(yàn)證”的典型口號(hào)更容易使人誤認(rèn)為“信任"不再需要或不再存在。事實(shí)上，"信任"是社會(huì)運(yùn)轉(zhuǎn)和系統(tǒng)運(yùn)行的基礎(chǔ)，系統(tǒng)中永遠(yuǎn)必須存在信任根，且零信任也恰恰是為了建立信任。由于對(duì)零信任的誤導(dǎo)性宣傳，使零信任受到很多誤解，甚至抵觸。四是錯(cuò)誤定位。作為一種應(yīng)對(duì)新網(wǎng)絡(luò)平安風(fēng)險(xiǎn)的指導(dǎo)思想，零信任本身不是技術(shù)，而是可以通過(guò)很多種技術(shù)來(lái)實(shí)現(xiàn)。由于外界在宣傳中普遍將其定位為一種新技術(shù)，導(dǎo)致"零信任"技術(shù)和產(chǎn)品五花八門(mén)、差異極大，迄今仍未形成統(tǒng)一的標(biāo)準(zhǔn)，存在著隨意解釋的現(xiàn)象。五是存在渾水摸魚(yú)的現(xiàn)象。零信任特指身份而言，但一些人有意將其引申為“不信任"，繼而引申為〃不平安〃。在這一邏輯下，為了迎合資本喜好，很多企業(yè)將其網(wǎng)絡(luò)平安方案冠名為"零信任解決方案"，但實(shí)際上與零信任沒(méi)有關(guān)系。這一不良風(fēng)氣正在對(duì)網(wǎng)絡(luò)平安產(chǎn)業(yè)界產(chǎn)生侵蝕，助長(zhǎng)了跟風(fēng)炒作的行為。三、如何客觀地理解和認(rèn)識(shí)零信任零信任本質(zhì)上是一種理念和思路，不是某種固定的技術(shù)，也不是對(duì)既有技術(shù)和體系結(jié)構(gòu)的顛覆。因此，我們應(yīng)從以下方面理解和認(rèn)識(shí)零信任。零信任的產(chǎn)生有其客觀必然性，源于傳統(tǒng)的信任模型受到挑戰(zhàn)。訪問(wèn)控制是維護(hù)網(wǎng)絡(luò)平安的基本機(jī)制，而實(shí)施訪問(wèn)控制的前提條件是身份認(rèn)證。傳統(tǒng)的訪問(wèn)控制缺少對(duì)身份的持續(xù)認(rèn)證，難以應(yīng)對(duì)身份被破壞后的情況（如攻擊者獲得了合法用戶的權(quán)限）；傳統(tǒng)方案中，主體在邊界處通過(guò)認(rèn)證后便受到高度信任，難以防范來(lái)自內(nèi)部人員的攻擊；以前的訪問(wèn)主體和客體都相對(duì)簡(jiǎn)單、明確，但物聯(lián)網(wǎng)和大數(shù)據(jù)技術(shù)的應(yīng)用使主客體變得日益多樣化，越來(lái)越難以保證數(shù)量繁多的主客體始終處在可信狀態(tài)，且訪問(wèn)控制的粒度也從某個(gè)文件、數(shù)據(jù)庫(kù)擴(kuò)展到了數(shù)據(jù)中的某一行、某個(gè)字段。這些因素導(dǎo)致原有的訪問(wèn)控制模型需要作出改變，而這種改變的基本特征是，不能再依賴一次性認(rèn)證便持續(xù)信任身份，而是需要持續(xù)、不斷地進(jìn)行認(rèn)證，這正是"零信任"的來(lái)源。零信任的實(shí)質(zhì)是對(duì)訪問(wèn)控制的新要求，不是網(wǎng)絡(luò)平安的全部。為了應(yīng)對(duì)網(wǎng)絡(luò)平安形勢(shì)新變化，零信任要求實(shí)施動(dòng)態(tài)細(xì)粒度的訪問(wèn)控制，這是零信任的本質(zhì)特征。即，身份認(rèn)證不再依賴邊界防御，而是需要持續(xù)驗(yàn)證身份，且服務(wù)、資源和環(huán)境等變化均是判斷身份是否可信的考量因素。訪問(wèn)控制僅是假設(shè)干網(wǎng)絡(luò)平安機(jī)制的一種，而零信任本身沒(méi)有超出訪問(wèn)控制的技術(shù)范疇。零信任是一種思想，沒(méi)有顛覆現(xiàn)有網(wǎng)絡(luò)平安技術(shù)和體系結(jié)構(gòu)。零信任反映了人們對(duì)網(wǎng)絡(luò)平安形勢(shì)變化的判斷，是基于威脅判斷而提出的新的應(yīng)對(duì)思路，不是某一項(xiàng)固定的技術(shù)。這種新的"動(dòng)態(tài)細(xì)粒度訪問(wèn)控制"應(yīng)對(duì)思路可以指導(dǎo)現(xiàn)有技術(shù)不斷升級(jí)，與現(xiàn)有的網(wǎng)絡(luò)平安技術(shù)、模型和體系結(jié)構(gòu)并不矛盾，更不意味著要取代現(xiàn)有技術(shù)。零信任的實(shí)現(xiàn)依然離不開(kāi)網(wǎng)絡(luò)平安的基本原理，零信任思想需要利用多種技術(shù)去實(shí)現(xiàn)。目前看來(lái)，零信任提出的是一種非常理想的訪問(wèn)控制目標(biāo)，技術(shù)實(shí)現(xiàn)的難度相當(dāng)大，其真正落地實(shí)施還需長(zhǎng)期的探索。四、正確引導(dǎo)零信任開(kāi)展和應(yīng)用的建議零信任是一種有積極意義的網(wǎng)絡(luò)平安思想和理念，適應(yīng)了信息化應(yīng)用和技術(shù)開(kāi)展趨勢(shì)，對(duì)降低云計(jì)算、大數(shù)據(jù)條件下的網(wǎng)絡(luò)平安風(fēng)險(xiǎn)有效。美國(guó)政府連續(xù)發(fā)布與零信任有關(guān)的政策文件，也說(shuō)明了這一點(diǎn)。為了科學(xué)推進(jìn)和引導(dǎo)我國(guó)網(wǎng)絡(luò)平安技術(shù)開(kāi)展，正確發(fā)揮零信任的作用，以應(yīng)對(duì)網(wǎng)絡(luò)平安威脅形勢(shì)新變化，建議從以下方面開(kāi)展工作：組織對(duì)零信任技術(shù)的正確宣傳。針對(duì)當(dāng)前存在的夸大、不當(dāng)、錯(cuò)誤宣傳予以糾正，尤其是防止網(wǎng)絡(luò)平安技術(shù)開(kāi)展被資本所牽引。制定國(guó)家標(biāo)準(zhǔn)規(guī)范?？紤]我國(guó)國(guó)情，借鑒國(guó)外經(jīng)驗(yàn)，組織制定零信任參考架