零信任热中的冷思考

零信任热中的冷思考如此热度之下，可能需要一些"冷思考"，有利于零信任这项技术的科学开展，使其从喧嚣回归理性，进而有效发挥零信任的作用。近几年来，零信任（ZeroTrust,ZT）成为网络平安领域的一个热点话题，甚至被很多人视为网络平安领域的"压倒性”技术趋势。零信任概念最初见于1994年的一篇博士论文，后因2010年咨询公司Forrester的大力宣传而被公众所熟知。2020年8月，美国国家标准与技术研究院发布的《零信任架构》定义零信任为一系列概念和思想，旨在面对信息系统和服务中受损的网络时，在按请求执行准确的、最小权限的访问决策过程中，减少不确定性。2021年9月7日，美国政府管理和预算办公室（OMB）及国土安全部网络平安和基础设施平安局（CISA）先后发布了《联邦政府向零信任迁移的原那么》和《零信任成熟度模型》。美国政府将其冠名为“战略"，引发世界各国对其可能实施网络平安重大行动或布局网络平安重要技术的强烈关注。同样，零信任在我国网络平安领域也引发热议。2019年，工信部发布的《关于促进网络平安产业开展的指导意见（征求意见稿）》将"零信任平安"列入”着力突破网络安全关键技术”之一；2021年7月，工信部发布的《网络平安产业高质量开展三年行动计划（2021-2023年）》提出要开展创新平安技术，加快开展零信任框架等平安体系研发。网络平安产业界那么通过成立产业联盟零信任工作组、制定和发布行业标准、提出解决方案，以及加大投资力度等各种措施促进零信任的应用和开展。如此热度之下，可能需要一些"冷思考"，有利于零信任这项技术的科学开展，使其从喧嚣回归理性，进而有效发挥零信任的作用。一、美国零信任战略介绍与分析2021年5月12日，美国总统拜登签署了14028号行政令《改善国家网络安全》，首次在联邦政府的顶层政策文件中提出实施零信任的要求。该行政令要求，为跟上当今动态和日益复杂的网络威胁环境，联邦政府必须采取果断措施，使其网络平安方法现代化，包括提高联邦政府对威胁的能见度，同时保护隐私和公民自由，具体措施包括采取平安最正确实践、向零信任架构推进、加快云服务平安等；同时，要求各机构负责人应在行政令发布60天内制定实施零信任架构的计划。此后，美国发布了《联邦政府向零信任迁移的原那么》和《零信任成熟度模型》，用以具体落实该行政令。以上文件被美国白宫宣传为"零信任战略”。14028号行政令刚出台时，我国一些机构和媒体声称，这是"美国总统强推零信任"，这可能夸大其实，对零信任也是一种"捧杀"。对于美国政府的这些举措，我们应从以下几面进行理解：这是美国政府“信息技术现代化”改革的一局部，属于渐进过程中的一环，目的不是为了开展零信任。多年以来，美国政府一直强调对关键基础设施进行保护。但近年来美国政府自身遇到屡次重大网络攻击，特别是2015年4月出现了人事局（OPM）被攻击的恶性事件，导致包括驻外情报人员在内的联邦雇员名单外泄，使美国政府不得不对疏于自身防护的"灯下黑”现象进行反思。经美国政府问责办公室（GAO）调研发现，联邦信息系统陈旧老化，最老的系统已使用近60年之久，这是其容易受攻击的根本原因。为此，美国政府于2017年宣布了"联邦信息技术现代化计划"，时任总统特朗普发布了《增强联邦政府网络与关键基础设施网络平安》。所谓"现代化"，重点是IT体系结构的调整，以及与此调整相应的网络平安防护自身的现代化。为此，拜登要求联邦系统尽快云，并在云环境下积极采用零信任架构。需要注意，在14028号行政令中，拜登同时提及的还有数据分级分类、多因子认证、加密等技术。因此，美国政府的一系列举措，不是支持零信任开展的政策文件，而是对自身系统提出的防护要求。美国政府是在"上云”这一特定应用背景下推行零信任，零信任并非普适。在推进联邦政府信息技术现代化进程中，美国确立了两个工作目标：一是对联邦政府网络进行现代化改造和整合；二是构建面向共享服务的网络架构。为实现上述目标，美国提出，要从对网络边界的保护和对物理设备的保护，转向对数据的保护和对云计算平台的部署。对数据的保护必然需要更细粒度的访问控制。对云计算平台的部署，特别是政府信息系统迁移到商业云上，必然导致政府对自身系统的管控能力降低，责任边界变得模糊，疫情期间远程办公那么进一步加重了这一风险。这种复杂的平安场景，正是零信任所强调的"不再信任边界"。为此，美国在高层政策中提出了部署零信任框架的要求。这确实是一种防护思路的转变，但面对的是信息系统迁移到云上这种特殊背景，并不意味着在任何场景下都要推行零信任框架。这不是一次战略级的行动。美国政府是在按既定路线提升联邦信息系统的平安防护水平，其根本手段是替换老旧系统，实现"信息技术现代化"；保护重点是从保护网络资产转向保护数据资产；运行模式是迁移到商业云上，以表达投资集约化，解决专业人才缺乏的问题。而为了确保这一过程的平安，零信任是关键技术。但零信任确实较新，故美国政府连续发布了多份文件予以阐述，并要求2024年完成部署。这是一种具体的行动路线图，不代表美国网络平安战略的重大动向。因此，美国"零信任战略”是美国政府为应对更加复杂的新平安形势而制定的行动计划，不是战略文件。二、国内对零信任存在争议的主要原因当前，由于盲目跟风、资本炒作等原因，国内对零信任存在一些争议。这些争议对于凝聚网络平安业界力量、加快自主创新步伐产生了不利影响，一些虚假宣传更是扰乱了人们的认识，急需正本清源，引导零信任向正确的方向前进。分析认为，导致零信任正在偏离科学开展轨道的原因如下。一是资本炒作。网络平安产业的战略地位使资本趋之假设鹫，但资本始终在寻找网络平安领域的亮点和爆发点。零信任的出现满足了资本的包装需求，零信任大热与此有直接关系。目前，很大程度上是资本在推着零信任走，而不是需求在主导零信任的开展。二是过分夸大其作用。为了迎合资本炒作，一些人过分夸大了零信任的作用，将其作为解决网络平安问题的灵丹妙药，脱离了其作为访问控制策略的技术实质。一些人甚至将其上升为一种颠覆性网络平安技术，人为制造了零信任与现有网络平安技术措施的对立。三是违背基本技术原理。零信任的翻译并不准确，其"永不信任、持续验证”的典型口号更容易使人误认为“信任"不再需要或不再存在。事实上，"信任"是社会运转和系统运行的基础，系统中永远必须存在信任根，且零信任也恰恰是为了建立信任。由于对零信任的误导性宣传，使零信任受到很多误解，甚至抵触。四是错误定位。作为一种应对新网络平安风险的指导思想，零信任本身不是技术，而是可以通过很多种技术来实现。由于外界在宣传中普遍将其定位为一种新技术，导致"零信任"技术和产品五花八门、差异极大，迄今仍未形成统一的标准，存在着随意解释的现象。五是存在浑水摸鱼的现象。零信任特指身份而言，但一些人有意将其引申为“不信任"，继而引申为〃不平安〃。在这一逻辑下，为了迎合资本喜好，很多企业将其网络平安方案冠名为"零信任解决方案"，但实际上与零信任没有关系。这一不良风气正在对网络平安产业界产生侵蚀，助长了跟风炒作的行为。三、如何客观地理解和认识零信任零信任本质上是一种理念和思路，不是某种固定的技术，也不是对既有技术和体系结构的颠覆。因此，我们应从以下方面理解和认识零信任。零信任的产生有其客观必然性，源于传统的信任模型受到挑战。访问控制是维护网络平安的基本机制，而实施访问控制的前提条件是身份认证。传统的访问控制缺少对身份的持续认证，难以应对身份被破坏后的情况（如攻击者获得了合法用户的权限）；传统方案中，主体在边界处通过认证后便受到高度信任，难以防范来自内部人员的攻击；以前的访问主体和客体都相对简单、明确，但物联网和大数据技术的应用使主客体变得日益多样化，越来越难以保证数量繁多的主客体始终处在可信状态，且访问控制的粒度也从某个文件、数据库扩展到了数据中的某一行、某个字段。这些因素导致原有的访问控制模型需要作出改变，而这种改变的基本特征是，不能再依赖一次性认证便持续信任身份，而是需要持续、不断地进行认证，这正是"零信任"的来源。零信任的实质是对访问控制的新要求，不是网络平安的全部。为了应对网络平安形势新变化，零信任要求实施动态细粒度的访问控制，这是零信任的本质特征。即，身份认证不再依赖边界防御，而是需要持续验证身份，且服务、资源和环境等变化均是判断身份是否可信的考量因素。访问控制仅是假设干网络平安机制的一种，而零信任本身没有超出访问控制的技术范畴。零信任是一种思想，没有颠覆现有网络平安技术和体系结构。零信任反映了人们对网络平安形势变化的判断，是基于威胁判断而提出的新的应对思路，不是某一项固定的技术。这种新的"动态细粒度访问控制"应对思路可以指导现有技术不断升级，与现有的网络平安技术、模型和体系结构并不矛盾，更不意味着要取代现有技术。零信任的实现依然离不开网络平安的基本原理，零信任思想需要利用多种技术去实现。目前看来，零信任提出的是一种非常理想的访问控制目标，技术实现的难度相当大，其真正落地实施还需长期的探索。四、正确引导零信任开展和应用的建议零信任是一种有积极意义的网络平安思想和理念，适应了信息化应用和技术开展趋势，对降低云计算、大数据条件下的网络平安风险有效。美国政府连续发布与零信任有关的政策文件，也说明了这一点。为了科学推进和引导我国网络平安技术开展，正确发挥零信任的作用，以应对网络平安威胁形势新变化，建议从以下方面开展工作：组织对零信任技术的正确宣传。针对当前存在的夸大、不当、错误宣传予以纠正，尤其是防止网络平安技术开展被资本所牵引。制定国家标准规范。考虑我国国情，借鉴国外经验，组织制定零信任参考架