零信任以“持續(xù)驗證、永不信任”的理念徹底顛覆了基于邊界的傳統(tǒng)安全防御模型，能夠有效幫助企業(yè)在數(shù)字化轉(zhuǎn)型中解決曾經(jīng)難以解決的難題，而現(xiàn)在越來越多的政府和企業(yè)都在用零信任框架模式來實施網(wǎng)絡安全措施，一時之間，各路英雄齊聚零信任江湖，爭相探索破局之路。

實現(xiàn)零信任的7 Right原則

那么，應如何實現(xiàn)零信任呢？中國企業(yè)網(wǎng)絡在考慮建立零信任體系時的合理思路是什么？筆者認為圍繞以下幾點原則開展相關建設工作是非常重要且必要的：

• 長期規(guī)劃而非短時部署的產(chǎn)品或方案：零信任是一個適時而生的安全概念，它既不是一個新出現(xiàn)的局部安全需求，也不會是一項全新的具體技術，它是企業(yè)信息安全發(fā)展到一定階段，針對新的安全需求和已存在的安全技術進行一次質(zhì)變的重新整合，從一個嶄新的角度看待企業(yè)IT安全進而提出的發(fā)展概念，這就決定了零信任體系的建設是一個企業(yè)高層參與的宏觀工程(當然執(zhí)行時需要拆解成不同的具體落地項目)，而不是日常企業(yè)網(wǎng)絡安全運維的局部項目。
• 雖然零信任體系本身是一個很龐大的系統(tǒng)，不可能一蹴而就，但這并不意味著我們就不需要有清晰的終極目標，那么零信任體系到底可以給企業(yè)網(wǎng)絡安全一個什么樣的終極目標才更為合理呢?仁者見仁智者見智，筆者在這里拋磚引玉給一個“7Right原則” 定義：在完全沒有信任的前提下，實現(xiàn)Right(1)的人在Right(2)的時間和Right(3)的地方，利用Right(4)的設備，通過Right(5)的賬號訪問Right(6)的應用系統(tǒng)和操作Right(7)的數(shù)據(jù)。

• 企業(yè)建設一個完整的零信任體系是個長期工程，從IT安全運維的角度可以大致分為基礎、整合、自適應三階段，每一階段都可以清晰地設定相應的子目標和任務。實際上，現(xiàn)在每一個企業(yè)的網(wǎng)絡安全都可以說已經(jīng)處在零信任體系的某一個階段(大多數(shù)企業(yè)處在基礎階段，少數(shù)企業(yè)已經(jīng)觸及整合階段)，而且有些企業(yè)在局部做得非常不錯，譬如銀行業(yè)務網(wǎng)絡大多已實施的最小權限化管理原則，運營商內(nèi)部網(wǎng)絡成熟的4A認證管理體系等等。

零信任體系各階段的主要任務歸納如下：

(1) 基礎階段

階段任務就是當前大多數(shù)企業(yè)網(wǎng)絡安全運維面臨的主要工作，譬如訪問權限的定義、基于策略的管理等等。

(2) 整合階段

在基礎階段的前提下引入生命周期管理、動態(tài)授權和需要關聯(lián)幾個維度后的管理機制(基礎階段一般都是一個維度下的管理)。

(3) 自適應階段

強調(diào)自動，因此人工智能/機器學習的應用是這個階段的顯著特點，同時對企業(yè)網(wǎng)絡的全面梳理，和對業(yè)務的深度融合都是該階段的重要挑戰(zhàn)，成功晉級該階段將意味著企業(yè)網(wǎng)絡安全的巔峰到來，意味著7R原則在企業(yè)網(wǎng)絡安全運維的高效運轉(zhuǎn)。

最重要的，建立零信任體系一定是一個甲方全程主導的長期工程，絕不可能是一個安全廠商提供的交鑰匙的產(chǎn)品或方案，也不是甲方一個安全運維部門能夠獨立完成的項目，且不論其涉及的廣度和與業(yè)務的緊密關系，整個工程周期中有很多關鍵節(jié)點是需要甲方?jīng)Q策層的深度參與，這就決定了零信任體系建設是一個甲方的“生產(chǎn)”業(yè)務，第三方僅是起到協(xié)助和支撐的角色。

當然，每個企業(yè)都應該結(jié)合企業(yè)現(xiàn)在和未來的需求，考慮自身網(wǎng)絡安全的現(xiàn)狀和能力，制定一個能夠逐步實現(xiàn)的零信任體系的長期項目計劃。

零信任不等于從零開始

因為在零信任擴展生態(tài)系統(tǒng)框架模型里有7個類別，提供了完整的安全方法：1)員工安全、2)設備安全、3)工作負載、4)網(wǎng)絡、5)數(shù)據(jù)安全、6)可見性和分析、以及7)自動化和編排，但每個公司或多或少都已有一些零信任的元素。比如說，零信任安全的一個關鍵值是身份認證。現(xiàn)在企業(yè)一般都會有身份認證，而有的企業(yè)身份認證安全機制卻又不完全滿足零信任對身份認證要求，但這些并不影響對企業(yè)認證系統(tǒng)的改善。

比如，企業(yè)缺乏多因素身份驗證(MFA)，但卻可以通過獨立類別的憑據(jù)進行額外的實時身份驗證，以證實登錄或其他交易的數(shù)字用戶身份。多因素身份驗證結(jié)合了兩個或多個憑據(jù)，諸如用戶知道什么(密碼)、用戶擁有什么(安全令牌)或是用戶是誰(生物識別驗證)等，所以企業(yè)并不一定要用一個全新的認證系統(tǒng)來取代現(xiàn)存的認證系統(tǒng)。

無心插柳柳成蔭，這兩年肆虐全球的疫情卻成就了零信任意料之外的壯大發(fā)展。在停工/隔離期間，許多公司被迫進入遠程工作模式。VPN故障迫使許多組織采用軟件定義的外圍和WAN，以及安全訪問服務邊緣。結(jié)果造就的是許多人在還未意識到零信任概念的情形下卻已不由自主地走上零信任的康莊大道。

因此，邁入零信任，并非每家公司都從零開始的，實際上有許多企業(yè)零信任框架搭建完成度早已起步10%、25%，甚至起步更高，走得更遠。在走向零信任的網(wǎng)絡安全大道上，公司并非需要重新購買所有的新技術才能達到零信任狀態(tài)，而是可以結(jié)合已部署技術以及其他各種新手段，將安全效益最大化。

對于企業(yè)來說，零信任并不是全新的技術 ，可以根據(jù)自身情況來判斷身處零信任安全大道上的位置。至于判定方法，那就是企業(yè)需要對自身的網(wǎng)絡活動進行摸底、審計以及全面監(jiān)控，這樣才能找出短板，揚長避短，為數(shù)據(jù)資產(chǎn)和用戶量身定制一個真實意義的零信任系統(tǒng)。