[商业信息]“零信任”安全体系架构和实践

作者:刘尊良，美创科技创始人兼总经理

物联网时代，全球数据量日益增加。人们探索数据的价值，打开了数据安全的潘多拉盒子。

为什么传统网络安全在数据安全时代开始失效？

虽然已经部署了全面的网络安全措施，但数据安全事件仍在继续发生。进入数据安全时代，原本有效的安全措施开始失效甚至失效。这个世界发生了什么变化？

1。日益流行的互联网服务

互联网的快速发展打破了传统的时间和空，这使得我们可以服务的人数无限。当然，互联网带来了无限的客户，也带来了无限的黑客。面对大量黑客，任何细微的漏洞都可以被捕捉，导致安全风险无限放大。特别是两个基本假设的建立让我们感到无所适从:

(1)任何应用程序中都存在漏洞；

(2)黑客总是比用户更早发现漏洞。

2。肆无忌惮的社交网络

随着移动互联网的兴起，社交网络发生了新的颠覆性变革。从电子邮件到qq、微博、微信等。，内外网络完全开放，网络边界越来越模糊。每个人在社交网络上都有大量的“最熟悉的陌生人”，他们可以利用我们的信任轻松进入我们的网络。

3。无限增加的数据值

网络安全向数据安全过渡的根本原因是数据价值的无限增长。在很多机构，数据已经成为他们的核心财富，甚至是最大的财富，甚至有“抢银行不如抢数据”的说法。在数据财富无限快速扩张的过程中，对数据财富的管理本质上并没有改变，基本处于裸奔状态。因此，未受保护的数据财富不断诱惑员工和合作伙伴犯错，不断诱惑黑客攫取。

在现实生活中，我们不会在客厅、广场等公共场所投入巨额现金。我们总是小心翼翼地对这些财富采取无数的保护措施，或者委托给更专业的信用机构(比如银行)进行保管。然而，我们现在处理数据财富的方式与把它放在客厅甚至广场上没有什么不同。在数据世界里，我们还没有找到像银行这样的机构来保护我们的数据财富。

4。数字世界和现实世界的镜像

随着数据价值的凸显，尤其是人工智能的兴起，我们正在将现实社会中发生的一切数字化、数字化。可以预见，在不久的将来，数据世界将很快成为现实世界的投影或镜像，现实生活中的抢劫杀人等犯罪将映射到数字世界的“数据破坏”。

从可信认证系统到“零信任”安全系统

1。信任验证与零信任体系共存的生命

人们大部分时间都生活在值得信赖的验证系统中，每个人都可以自由处理自己的财富和其他资料。比如我花钱买了一个茶杯，可以用来喝茶或者咖啡，或者闲置，或者干脆当垃圾处理掉。我有权处置这个茶杯。在大多数生活情况下，我们以类似的方式处理财富、商品甚至关系。

但是，当财富或物质的影响达到一定程度时，我们往往需要采用另一种形式来处理。比如:价值连城的古董，虽然你花钱买，但你无权随意弄坏；山林造林，虽然山林都是你的，但你没有自由砍伐的权利。可见，在涉及到大利益和公共利益的时候，往往是另一种机制在发挥作用:零信任机制。比如战略情报、重大选举、法规制定、多重认证(权限审批)等。，都是基于零信任体系的运行机制，前提是不能自然信任任何人。

2。传统it系统中的信任验证系统

传统的it系统(如操作系统、数据库和其他信息系统)几乎严格遵循类似于生活中信任验证的安全设计理念:每个人都有权处置自己拥有的一切。例如，在oracle数据库中，模式帐户有权处置模式下存储的所有对象，并且可以随意查询、更新、删除和清除它们。作为整个数据库的所有者，dba帐户有权随意处置数据库的所有对象。

【/h/】这个处置理论看似正确，你会发现这种处置方式非常“荒谬”，很大程度上取决于人性，也就是遵守法律法规的意识。数据库管理员只是管理数据库的人，而不是处理数据的人。他就像一个仓库保管员一样，只对仓库的清洁、温度、湿度和安全负责，而无权处置仓库内的粮食和物资。Schmea账户类似于一个仓库，数据和代码只需要存储在一个仓库中。仓库管理员无权处置仓库中的材料。

虽然这种基于传统账户的安全系统在相对可信的内部网环境中有很好的生存空，但本质上存在概念上的混乱。这个系统很容易混淆账户和身份的区别。账号只是信息系统的登录凭证和参考凭证，而身份是现实生活中的人，两者基本分离。在实际的数据库实践中，帐户仅用作存储数据库对象的容器，而不是身份。这种困惑最终模糊了我们生活中可信验证系统中的核心身份。现代网络环境下的身份安全越来越差，最终导致传统网络安全系统的不可持续性。

3。走向零信任安全体系

向零信任安全系统的转移主要由两个方面驱动:

(1)互联网、移动互联网和社交网络连接了世界上的每一个人，突破了时间和空，网络界限变得越来越模糊。事实上，没有安全的网络。所以基于账号的安全体系是不可持续的，要在这个网络中安全生存，就需要把账号变成一个身份。

(2)现实生活中涉及重大价值或重大公共利益时，往往通过零信任体系而不是信任体系来解决。数据的价值已经不是以前的样子了。近年来，其价值不断扩大。数据的托管性和多功能性总是涉及众多的公共利益。参考现实模型，零信任安全系统可以作为最合适的数据安全架构。

零信任安全体系的四个基本原则

当数据构成我们的财富和核心竞争力时，传统的信任体系面临着巨大的挑战，无法满足用户数据安全的需求。我们需要建立一个零信任系统，用管理战略情报的思想来管理数据。

零信任安全(或零信任网络，零信任架构，零信任)最早是由john kindervag在2010年提出的。2010年，美创科技也并行提出了零信任安全体系并付诸实践。它是世界上最早的零信任安全架构的构建者和实践者。在多年零信任的实践中，美创科技形成了一系列零信任安全体系的基本原则和实用原则。

在零信任安全体系建设中，美创科技遵循四个基本原则:

1。灯下黑

不被发现就是不被攻击，即使我们的业务和系统充满了各种安全漏洞。比如隐身战斗机速度慢，防御差，但是被攻击的概率不高。灯下黑放弃了传统的对抗观念，让我们对黑客横扫互联网的攻击免疫。

2。与狼共舞，与毒共处

在网络边界模糊的今天，假设我们的网络总是被攻破，网络内部总会有“坏人”。我们需要确保关键资产不会在一个充满“坏人”的网络环境中被破坏和泄露，关键业务不会受到影响。

3。不堵塞，不安全

入侵者或破坏者通常可以在几秒钟到几分钟内摧毁和影响关键资产和企业。除了少数专业组织，大部分组织都无法快速应对入侵。即使一个组织有这种快速反应能力，其巨大的快速反应成本对大多数组织来说也是难以承受的。我们需要在事件发生之前阻止它们，并在不部署快速响应能力的情况下实现最大的安全性。

4。知白留黑

如何识别“坏人”一直是传统网络安全的核心命题，我们通过积累的“坏人库”勾勒出各种“坏人”的特征。不幸的是，大规模的“坏人”仍然不能帮助我们识别可能的“坏人”。知白留黑换个角度看“坏人”。我们不是勾画“坏人”的特征，而是勾画“好人”的特征。从商业的角度来说，“坏人”的特性是无法穷尽的，而“好人”的特性是可以在具体场景中穷尽的。知白留黑可以更好的保证数据安全和业务安全。

零信任安全系统的实用原则

1。从保护的目标出发，知道保护什么是安全的。

【/h/】不知道保护目标，很难想象如何保证安全。当你不知道保护目标的时候，或者当保护目标已知但无法描述的时候，你只能尽力去识别可能的“坏人”，只能对假想的攻击进行全方位的一般保护或者基于场景的防御。

数据安全不同于网络安全，网络安全定义了一个明确的保护目标:数据。每一条数据都有其固有的特征和行为，我们可以围绕这些固有的特征和行为构建一个保护和防御体系。

2。保护应该从内到外，而不是从外到内。

当我们明确定义数据是保护的目标时，从内到外的保护就成了我们的自然选择。越接近数据，保护措施越稳健，这是常识性认知。从内到外的逐层保护有着相同的目的——更有效地保护数据安全。

3。基于身份而不是账户。

定义数据访问时，不是基于账户。账户只是一个信息符号，是访问数据库、业务、操作系统等的凭证。，但不是访问数据的凭证。我们总是将数据访问定义为尽可能接近人的真实身份，并定义某个人或身份可以访问特定数据。或者定义特定的数据可以通过代表身份的特定规则来访问。

4。知白留黑，从正常的行为和特征推断安全。

当我们知道保护目标的数据时，我们发现访问数据的正常行为是可以定义和穷尽的。因此，在穷举访问定义列表之外的所有访问都是不兼容和不安全的。而且通过对历史访问行为的研究，可以描述正常访问的特征，不符合正常访问特征的访问行为都是不符合的，不安全的。

5。取消特权账户。

消除特权帐户是建立零信任安全系统的先决条件。引入多方联动监管约束机制是零信任安全的基本实践。

[作者简介]

【/h/】杭州美创科技有限公司创始人兼总经理刘尊良，毕业于解放军信息工程大学，中国(中关村)网络与信息安全产业联盟理事，中国信息协会信息安全委员会数据安全工作组组长。他拥有20年的数据管理和信息安全经验，在通信、社保、医疗、金融等民生行业积累了大量的实践经验。有长远的战略眼光，准确把握技术发展趋势，不断创新，带领公司完成运维、服务、产品等诸多转型，都取得了成功。目前，公司已完成全国布局，成为中国重要的数据安全管理综合供应商。个人写了《oracle数据库性能优化的方法和最佳实践》一书，发表了很多学术文章。