零信任网络访问（ZTNA）是John Kindervag对零信任模型原始工作，进行的一个升级演变。

　　零信任是Forrester’s Kindervag在2010年提出的一个术语。2017年左右，Gartner的分析师开始构思一个相关，但不完全相同的主题：持续适应性风险和信任评估（CARTA）。CARTA的设计目的与Kindervag的零信任相同，即用明确的信任要求，来取代互联网最初对信任的模糊接受。

　　Steve Riley是 Gartner研究该领域的分析师之一。随后，云安全联盟(CSA)和谷歌的BeyondCorp(最初在2009年为了回应极光行动而创建的）提出了“软件定义边界”。这与Gartner在“持续自适应信任”方面的工作有着相似之处——“零”只是一个起点。

　　2019年的时候， Riley原本已经准备好写一份关于CARTA的Gartner市场报告，但他却说服自己的同事：零信任网络访问（ZTNA）这个题目或许更容易使人理解。

什么是零信任？

　　Riley 向SecurityWeek表示：“‘零信任’这个概念如今已被广泛使用，但也几乎失去了它本身的含义。”

　　2017年，Gartner提到了一个名为“持续适应性风险和信任评估”的概念。随后，Riley将这一概念改编成了零信任，并在2019年提出了零信任网络访问（ZTNA）。回想起来， Riley更希望自己当时使用的是零信任应用程序访问权限(ZTAA)这个概念。但现在再去改变，为时已晚。如今，对于那些用于访问个体应用程序的零信任要求来说，底层网络几乎算是一个附带的要求。而这也正是ZTNA的真正目的。

　　 “零信任”是一个需要与其他词语结合使用的词。如果没有附带的名词或名词性短语，那么它本身是没有意义的。Kindervag提出的“不信任任何东西”这一概念，被公认为具有革命性，且富有价值。如今，此概念也发生了一定的改变，即：在该领域中，除了那些已经获得充分授权，且可以持续获得授权的东西，其他任何东西都不要信任。

　　尽管零信任可以应用于其他领域——例如零信任电子邮件访问(ZTEA)或零信任数据访问(ZTDA)，但这大概都是未来的事情了。这里我们主要讨论的是ZTNA/ZTAA。在Riley的定义中，它涵盖了持续自适应风险和信任评估的思想，并作为一种可用的妥协方案，在不影响可用性的情况下提供最大程度的安全性。

　　更具体地说，我们正在研究  Netskope（其如今的CEO是 Riley）对ZTNA的实现。

信任代理的角色

　　信任代理是ZTNA中的一个关键概念。它驻扎在网络外部，为已获得授权的用户提供相应的信任等级，从而访问特定的应用。这种做法可以实现许多目的。

　　首先，它会拒绝所有未经过授权的用户发出的通信。应用程序会告知该信任代理，关于可以对谁进行身份验证，以访问哪些应用程序等信息。Riley表示，如果没有信任代理，那么攻击者就可以免除提交身份验证序列的烦恼，直接进行连接。他们可以向服务器扔任何他们想扔的东西，看看能不能制造一些不可预测的，且对自己有利的错误。而信任代理则将“先连接（到网络），再进行身份验证”的规则更改为“先进行身份验证，再连接（到指定的单个应用程序）”。

　　该信任代理可以检查设备的健康状况、地理位置，以及用户的其他行为生物特征。它会生成一个信任分数。若信任分数达到了访问指定应用程序的门槛，那么该用户就可以通过代理获得访问权限。

　　另外还有一个关键，即只允许用户访问指定的应用程序。想要访问不同应用的用户都需要分别针对不同的应用来进行身份验证，并且不同的应用对于身份验证的要求也不尽相同。这样以来，就可以防止员工或攻击者在网络内部进行横向移动。  

你是否能够实现真正的零信任？

　　理解零信任这一概念的难点之一就在于：众所周知，零信任和可用性是相互排斥的。保证零信任的唯一方法就是就是拔掉计算机的电源，把它包裹在六英尺的混泥土里，然后再将其扔进大海。但同时，这也阻碍了可用性的实现。

　　零信任就是在确保实际可用性的前提下，最大限度地不去信任其他设备。在这个等式中，增强一方也就意味着会牺牲另一方。

　　我们当前的方法中，访问权限是基于信任分数来进行授予的。理论上，分数是可操纵的。然而，所有我们需要做的就是进行充分的操纵，来将结果从“允许”以下提高到“拒绝”以上。

　　第二个潜在的脆弱点是代理。若代理被破坏，那么攻击者就可以肆无忌惮地访问目标应用。这是Riley在Gartner研究ZTNA概念时，就考虑过的问题。对此，他得出的结论是：代理仍是外部访问的最佳选择。另外两种选择则是依赖网络与互联网之间的防火墙（当然这是行不通的），以及使用VPN。

　　Riley表示：“VPN是一个一只脚踏入互联网，另一只脚踏入公司网络的东西，并且大多数VPN集中器都潜伏在地下室的某个角落，甚至从来没有更新过。你无法更新它，因为每个人都在不断地使用着它。”

　　信任代理路线的优势就在于，它是由全职的专业安全公司运营的，并且拥有比普通商业客户更强的网络安全技能。但由于企业需要依赖第三方服务来实现这一点，所以确保服务本身的可信任性也是非常重要的。

零信任的未来

　　记住，零信任只是一个形容词。如果没有它所描述的名词，那么它就是无意义的。在本文中，我们研究了对应用程序访问的零信任，或者说是基于来自提出该主题的Gartner分析师的应用程序，来讨论ZTNA。

　　这大概是零信任概念中最重要，并且最紧迫的领域了。

　　但这并不是零信任唯一的潜在领域。零信任可以应用于目前遭受访问滥用的任何领域。

　　如今，增加粒度是网络安全的方向之一。一个很好的例子就是，当前向“以数据为中心的安全”移动。对于所有的安全来说，其中一个主要的目的就是对企业数据的保护。所以问题就是，我们是否应该期待一个未来的零信任数据访问（ZTNA）驱动器。

　　这些框架当前已经存在。Riley表示，以云端的一个数据库表为例，与其在微软的Azure中支持一个虚拟机，并在其中运行一个数据库服务器，倒不如只使用SQL Azure，并在云端提供该表作为URL。在某些机制中，你可以对整个表的单个字段、行或列，进行访问控制。

　　无论需要怎样的粒度，访问控制都可以是有意消除隐式信任策略的一部分，并且无论对于以任何形式对任何实体的访问，都需要进行身份验证和授权。

　　Riley说：“我喜欢将这些东西抽象化，消除每一层级中的隐式信任，（包括网络层级、应用程序层级、虚拟机层级以及数据对象层级）。反过来讲，我希望的是，每一种互动都是由某些东西来进行调节的，而对互动的信任，则是由环境和周围的信号来衡量的。”

　　Riley认为，最终的零信任是会将零信任数据访问包含在内的。

参考阅读
解迷零信任
零信任六大误解
实现靠谱零信任的五个阶段
[调研]零信任火热 VPN仍存
[调研]企业高管：如何在2022年实现零信任