“零信任”安全体系架构和实践(2)

不会被发现就意味着不会被攻击，纵然我们的业务和系统充满着各种各样的安全漏洞。比如隐形战机的速度慢、防御差，但是受到攻击的几率不高。灯下黑放弃了传统的对抗思路，让我们在黑客扫荡式的互联网攻击中免疫。

2. 与狼共舞、带毒生存

在网络边界模糊的今天，假定我们的网络总是被攻破，网络内部总是会存在“坏人”，我们需要在一个充满“坏人”的网络环境中确保关键资产不会受到破坏和泄露，确保关键业务不会受到影响。

3. 不阻断、无安全

入侵者或破坏者往往只需几秒到几分钟就可以对关键资产和关键业务造成破坏和影响。除了极个别专业机构之外，绝大部分机构都无法对入侵做出快速响应。即使机构具有这个快速响应能力，其巨大的快速响应成本也是绝大部分机构所无法承受的。我们需要在事件发生之前阻断事件的发生，在无须部署快速响应能力之下做到最大安全。

4. 知白守黑

如何识别“坏人”一直是传统网络安全的核心命题，我们通过日积月累的“坏人库”来勾画各种“坏人”的特征。遗憾的是海量的“坏人”特征依然无法更好地帮助我们识别出可能的“坏人”。知白守黑从另一个角度去看待“坏人”，我们不去勾画“坏人”的特征，而是去勾画“好人”的特征，不符合“好人”特征的就是“坏人”。从业务的角度来看，“坏人”的特征是无法穷尽的，而“好人”的特征在特定场景下是可以穷尽的，知白守黑可以更好地保障数据安全和业务安全。

四、“零信任”安全体系的实践原则

1. 从保护目标开始，知道保护什么才谈得上安全

很难想象，在连保护目标都不知道的情况下如何保证安全性。当你不知道保护目标的时候或者保护目标虽然知道但是不可描述的时候，你只能竭力去识别可能的“坏人”，你只能进行面面俱到的通用防护，或者对于臆想中的攻击进行场景式防御。

数据安全不同于网络安全，它定义了一个明确的保护目标：数据。每一份数据都有其固有的特征和行为，我们可以围绕着这些固有的特征和行为来构建保护和防御体系。

2. 保护要由内而外，不是由外而内

当我们明确定义了数据是保护目标时，由内而外的保护就成为我们自然的选择。越靠近数据的地方，保护措施就越健壮，这是一个常识性认知。由内而外的层层保护都本着相同的目的——更加有效地保护数据安全。

3. 以身份为基础而不是以账户为基础

定义数据本身访问的时候，并非以账户为基础。账户仅仅是一个信息化符号，是访问数据库、业务、操作系统等的一个凭证，但并非是访问数据的凭证。我们总是尽可能以接近于人的真实身份来定义数据的访问，定义某个人或者某个身份可以访问特定的数据。或者定义特定的数据可以被特定的代表身份的规则所访问。

4. 知白守黑，从正常行为和特征来推断安全

当我们明确了保护目标的数据时，发现访问数据的正常行为是可以被定义和穷尽的。因此，所有在穷尽的访问定义列表之外的访问都是不合规、不安全的。而且，通过对于历史访问行为的学习，可以刻画出正常访问的特征，不符合正常访问特征的访问行为都是不合规的、不安全的。

5. 消除特权账户

消除特权账户是零信任安全体系建设的前提条件。引进多方联动监督制约机制，是零信任安全的基础实践。

（编辑：ASP站长网）