零信任是什么？

多年来 “零信任（zero trust）”概念一直是网络安全领域的流行口号，甚至向来迟钝的美国联邦政府 IT 部门也加入了进来。但要想推进这种下一代安全模型，首先需要破除目前人们对于“零信任”术语的广泛误解与混淆。面对持续升温的网络钓鱼、勒索软件攻击与商业电邮欺诈等恶意活动，相信这种转变很快就会发生。 从本质上讲，零信任的定义与组织为自身网络及 IT 基础设施制定的转变构想有关。在传统模式下，办公楼内的一切计算机、服务器及其他设备都位于同一套内网之下，因此相互之间保持信任。我们的工作计算机可以直接接入所在楼层的打印机，或者在共享服务器上查找团队文档。防火墙和反病毒软件等工具只负责阻挡外面的访问请求；网络之内的各项元素则不需要经过太多审查。 不过相信大家已经感受到，移动设备、云服务与远程办公的爆炸式增长正从根本上颠覆着以上假设。组织无法实际控制员工所使用的具体设备。即使可以，传统模式的灵活性与掌控能力也被大大削弱。一旦攻击者突破了外围防御，以远程或物理方式渗透到组织之内，网络也会立即赋予他们巨大的信任与自由空间。如今的安全保护再也不能遵循“外面的坏、里面的好”这种简单粗暴的理念。 Google 信息安全高级主管 Heather Adkins 表示，“大约 11 年前，我们遭遇过一场大规模、高复杂度网络攻击。”当时政府支持黑客闯入 Google 内网，尝试建立后门并不断提取数据和代码，确保在被 Google 将其驱逐出去后还有再次回归的机会。“我们意识到，以往大家所熟悉的网络构建方法已经没有任何意义。于是我们回归蓝图设计阶段，重新构思网安保护的本质。如今大家走进 Google 大楼就像走进了星巴克一样。即使有人能够访问某台 Google 设备，也没法再继续深入。我们改变了战场，所以攻击者就更难得手了。”