譯者序

零信任（或零信任網(wǎng)絡(luò)、零信任模型等）這個(gè)概念最早是由John Kindervag于2010年提出的，他當(dāng)時(shí)是Forrester的分析師。John Kindervag非常敏銳地發(fā)現(xiàn)傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)存在缺陷，通常被認(rèn)為“可信”的內(nèi)部網(wǎng)絡(luò)充滿威脅，“信任”被過度濫用，并指出“信任是安全的致命弱點(diǎn)”。因此，他創(chuàng)造出了零信任（Zero Trust）這個(gè)概念。“從來不信任，始終在校驗(yàn)”（Never Trust, Always Verify）是零信任的核心思想。

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)基于網(wǎng)絡(luò)邊界防護(hù)。企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時(shí)，首先把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)和DMZ區(qū)等不同的安全區(qū)域，然后在網(wǎng)絡(luò)邊界上通過部署防火墻、WAF和IPS等網(wǎng)絡(luò)安全技術(shù)手段進(jìn)行重重防護(hù)，構(gòu)筑企業(yè)業(yè)務(wù)的數(shù)字護(hù)城河。這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認(rèn)了內(nèi)網(wǎng)比外網(wǎng)更安全，在某種程度上預(yù)設(shè)了對(duì)內(nèi)網(wǎng)中的人、設(shè)備、系統(tǒng)和應(yīng)用的信任，從而忽視內(nèi)網(wǎng)安全措施的加強(qiáng)。美國(guó)Verizon公司的《2017年數(shù)據(jù)泄露調(diào)查報(bào)告》指出，造成企業(yè)數(shù)據(jù)泄露的原因主要有兩類：一是外部攻擊，二是內(nèi)部威脅。隨著網(wǎng)絡(luò)攻防技術(shù)的發(fā)展，新型的網(wǎng)絡(luò)攻擊手段層出不窮，攻擊者面對(duì)層層設(shè)防的網(wǎng)絡(luò)邊界，往往會(huì)放棄代價(jià)高昂的強(qiáng)攻手段，轉(zhuǎn)而針對(duì)企業(yè)內(nèi)部網(wǎng)絡(luò)中的計(jì)算機(jī)，采用釣魚郵件、水坑攻擊等方法滲透到企業(yè)網(wǎng)絡(luò)內(nèi)部，輕松繞過網(wǎng)絡(luò)邊界安全防護(hù)措施。由于人們往往認(rèn)為內(nèi)網(wǎng)是可信任的，因此攻擊者一旦突破企業(yè)的網(wǎng)絡(luò)安全邊界進(jìn)入內(nèi)網(wǎng)，就會(huì)如入無人之境。此外，企業(yè)員工、外包人員等內(nèi)部用戶通常擁有特定業(yè)務(wù)和數(shù)據(jù)的合法訪問權(quán)限，一旦出現(xiàn)憑證丟失、權(quán)限濫用或惡意非授權(quán)訪問等問題，同樣會(huì)導(dǎo)致企業(yè)的數(shù)據(jù)泄露。

基于這樣的認(rèn)知，零信任針對(duì)傳統(tǒng)邊界安全架構(gòu)思想重新進(jìn)行了評(píng)估和審視，并對(duì)安全架構(gòu)思路給出了新的建議：默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備、系統(tǒng)和應(yīng)用，而是應(yīng)該基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)，并且這種授權(quán)和信任不是靜態(tài)的，它需要基于對(duì)訪問主體的風(fēng)險(xiǎn)度量進(jìn)行動(dòng)態(tài)調(diào)整。

零信任對(duì)網(wǎng)絡(luò)安全架構(gòu)進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，其本質(zhì)訴求是以身份為中心進(jìn)行細(xì)粒度的自適應(yīng)訪問控制。零信任所依賴的身份認(rèn)證與訪問控制能力通常由身份與訪問管理系統(tǒng)（IAM）提供，現(xiàn)代身份管理技術(shù)是零信任安全的技術(shù)根基，因此，從技術(shù)方案層面來看，零信任是借助現(xiàn)代身份管理技術(shù)實(shí)現(xiàn)對(duì)人、設(shè)備、系統(tǒng)和應(yīng)用的全面、動(dòng)態(tài)、智能的訪問控制。

客觀地說，John Kindervag提出零信任架構(gòu)的開始幾年，這一理念并沒有獲得網(wǎng)絡(luò)安全行業(yè)的普遍關(guān)注，只是在一些社區(qū)有著小范圍的討論和實(shí)踐，本書的作者Evan Gilman和Doug Barth就是早期實(shí)踐者之一。然而，2015年前后，情況發(fā)生了明顯的變化。層出不窮的高級(jí)威脅和內(nèi)部風(fēng)險(xiǎn)，以及監(jiān)管機(jī)構(gòu)對(duì)企業(yè)網(wǎng)絡(luò)安全的監(jiān)督力度逐漸加強(qiáng)，使得零信任架構(gòu)變革的外部驅(qū)動(dòng)力越來越強(qiáng)。隨著企業(yè)數(shù)字化轉(zhuǎn)型的逐漸深入，以云計(jì)算、微服務(wù)、大數(shù)據(jù)、移動(dòng)計(jì)算為代表的新一代信息化建設(shè)浪潮愈演愈烈，IT基礎(chǔ)設(shè)施的技術(shù)架構(gòu)發(fā)生了劇烈的變革，導(dǎo)致傳統(tǒng)的內(nèi)外網(wǎng)絡(luò)邊界變得模糊，很難找到物理上的網(wǎng)絡(luò)安全邊界，企業(yè)自然無法基于傳統(tǒng)的邊界安全架構(gòu)理念構(gòu)筑安全基礎(chǔ)設(shè)施。安全架構(gòu)如果不能隨需應(yīng)變，自然會(huì)成為木桶最短的那塊木板，零信任架構(gòu)變革的內(nèi)生驅(qū)動(dòng)力也在持續(xù)加強(qiáng)。

2017年，Google對(duì)外宣布其基于零信任架構(gòu)實(shí)踐的新一代企業(yè)網(wǎng)絡(luò)安全架構(gòu)——BeyondCorp項(xiàng)目成功完成，為零信任在大型、新型企業(yè)網(wǎng)絡(luò)的實(shí)踐提供了參考架構(gòu)。這一最佳實(shí)踐成為零信任理念的助推劑，各大安全廠商、分析機(jī)構(gòu)和大型企業(yè)快速跟進(jìn)，對(duì)零信任的推廣和宣傳也持續(xù)升溫，在RSAC 2019展會(huì)上達(dá)到高潮，零信任儼然成為網(wǎng)絡(luò)安全界的新寵。

當(dāng)然，任何一種新生事物都難免受到人們的質(zhì)疑，零信任架構(gòu)也不例外。在過去一年多時(shí)間推廣和實(shí)踐零信任的過程中，我們遇到最多的質(zhì)疑是，零信任聽起來并沒有什么新技術(shù)，是不是“新瓶裝舊酒”？的確，零信任是一種全新的安全架構(gòu)，但其核心組件基于身份與訪問管理技術(shù)、終端設(shè)備環(huán)境風(fēng)險(xiǎn)評(píng)估技術(shù)、基于屬性的訪問控制模型、基于機(jī)器學(xué)習(xí)的身份分析技術(shù)等構(gòu)建，聽上去并沒有太多激動(dòng)人心的新技術(shù)。并且，零信任的最佳實(shí)踐反倒是推薦使用現(xiàn)有的成熟技術(shù)，根據(jù)具體的應(yīng)用場(chǎng)景，按照全新的邏輯進(jìn)行組合，就能起到完全不同的安全效果。

我們認(rèn)為零信任的創(chuàng)新和價(jià)值恰恰不在于具體的組件技術(shù)本身，而在于架構(gòu)理念和安全邏輯層面。零信任架構(gòu)與傳統(tǒng)的邊界安全架構(gòu)、傳統(tǒng)的安全防護(hù)理念最大的不同之處在于以下幾點(diǎn)。第一，在網(wǎng)絡(luò)安全邊界瓦解、攻擊面難以窮盡的情形下，與傳統(tǒng)的安全理念不同，零信任架構(gòu)引導(dǎo)人們更加關(guān)注“保護(hù)面”而不是“攻擊面”。首先識(shí)別需要重點(diǎn)保護(hù)的資源對(duì)象，然后窮舉分析該資源對(duì)象的訪問路徑，最后采用恰當(dāng)?shù)募夹g(shù)手段做好每條路徑的訪問控制措施。第二，零信任架構(gòu)認(rèn)為網(wǎng)絡(luò)是不可信任的，因此不再寄希望于在傳統(tǒng)的網(wǎng)絡(luò)層面增強(qiáng)防護(hù)措施，而是把防護(hù)措施建立在應(yīng)用層面，構(gòu)建從訪問主體到客體之間端到端的、最小授權(quán)的業(yè)務(wù)應(yīng)用動(dòng)態(tài)訪問控制機(jī)制，極大地收縮了攻擊面；采用智能身份分析技術(shù)，提升了內(nèi)外部攻擊和身份欺詐的發(fā)現(xiàn)和響應(yīng)能力。第三，零信任架構(gòu)在實(shí)踐機(jī)制上擁抱灰度哲學(xué)，以安全與易用平衡的持續(xù)認(rèn)證改進(jìn)固化的一次性強(qiáng)認(rèn)證，以基于風(fēng)險(xiǎn)和信任持續(xù)度量的動(dòng)態(tài)授權(quán)替代簡(jiǎn)單的二值判定靜態(tài)授權(quán)，以開放智能的身份治理優(yōu)化封閉僵化的身份管理。因此，灰度哲學(xué)是零信任安全的內(nèi)生邏輯，也是零信任安全實(shí)踐的指導(dǎo)原則。

零信任是一種全新的安全理念，它并不是嚴(yán)格定義的技術(shù)術(shù)語，這個(gè)概念的內(nèi)涵和外延仍然處于變化之中。我們也不認(rèn)為本書是一本零信任的教科書或者“圣經(jīng)”，本書作者為我們揭示了零信任的基本概念和體系架構(gòu)，并且通過實(shí)例介紹了如何利用現(xiàn)有的技術(shù)逐步構(gòu)建一個(gè)零信任網(wǎng)絡(luò)。我們希望通過翻譯成中文的方式，可以把零信任的理念系統(tǒng)完整地介紹給國(guó)內(nèi)的網(wǎng)絡(luò)安全業(yè)界同仁，供大家討論、實(shí)踐和探索，甚至批判。希望能夠通過這種方式，讓更多的人理解和實(shí)踐零信任理念，推動(dòng)企業(yè)網(wǎng)絡(luò)安全架構(gòu)的轉(zhuǎn)型和變革，為云計(jì)算和大數(shù)據(jù)時(shí)代的業(yè)務(wù)應(yīng)用及數(shù)據(jù)保駕護(hù)航，并在此過程中不斷豐富甚至修正零信任的內(nèi)涵和外延，讓零信任架構(gòu)更加成熟，更加實(shí)用。

本書的主要譯者還有奇安信集團(tuán)身份安全實(shí)驗(yàn)室的張澤洲、蔡冉、沈韻、張麗婷等人，他們既是零信任架構(gòu)理念的倡導(dǎo)者，也是零信任架構(gòu)技術(shù)方案在國(guó)內(nèi)大型企業(yè)落地部署的實(shí)踐者。在實(shí)踐過程中，他們對(duì)于零信任架構(gòu)有了更加深刻的理解和認(rèn)識(shí)，特別是針對(duì)國(guó)內(nèi)大型部委和企業(yè)的IT技術(shù)架構(gòu)，零信任架構(gòu)落地部署需要更多特殊的安全視角和權(quán)衡。因此，本書關(guān)于零信任架構(gòu)的某些技術(shù)實(shí)踐細(xì)節(jié)并不一定完全適用于國(guó)內(nèi)的IT技術(shù)環(huán)境，需要根據(jù)實(shí)際情況加以修正和補(bǔ)充。幸運(yùn)的是，零信任架構(gòu)本就是一個(gè)抽象、開放并不斷發(fā)展的安全框架，對(duì)零信任架構(gòu)的內(nèi)涵和外延有不同的理解和認(rèn)知無傷大雅。但是，為了盡可能準(zhǔn)確、系統(tǒng)、完整地介紹本書作者對(duì)零信任的認(rèn)知和實(shí)踐，我們?cè)诜泵Φ墓ぷ髦嗤ㄗx了本書英文原作，在忠于原著的基礎(chǔ)上盡最大努力將其翻譯成通俗易懂的中文。即便如此，礙于技術(shù)理解，以及文字表達(dá)能力有限，本書在翻譯過程中難免有疏漏和謬誤之處，也歡迎讀者朋友們批評(píng)指正。

此外，在零信任架構(gòu)理念和技術(shù)方案在國(guó)內(nèi)推廣實(shí)踐過程中，奇安信集團(tuán)的鄔怡、韓永剛、張聰、韓笑等人給予了我們非常大的支持和幫助，在此一并致謝！

左英男

2019年3月15日