提到网络安全，以前人们立马想到的会是“VPN”、“防火墙”和“WAF”等等；现在随着5G、物联网时代的到来，企业不断被迫重构安全边界，“零信任”已经成为网络安全的最新流行语之一。到底什么是零信任呢？

起源

零信任（Zero Trust）最早是由约翰·金德瓦格（John Kindervag）担任Forrester Research副总裁兼首席分析师期间创建的。这是一次对传统安全模型假设的彻底颠覆。

传统模型假设：组织网络内的所有事物都应受到信任。事实上，一旦进入网络，用户（包括威胁行为者和恶意内部人员）可以自由地横向移动、访问甚至泄露他们权限之外的任何数据。这显然是个很大的漏洞。

零信任网络访问(Zero-Trust Network Access，以下称ZTNA)则认为：不能信任出入网络的任何内容。应创建一种以数据为中心的全新边界，通过强身份验证技术保护数据。

为什么需要ZTNA

来看一组Gartner统计的企业办公&应用管理场景数据：

25%的公司让其40%的员工远程办公

超过67%的员工使用他们自己的设备办公

80%的自带设备(BYOD)均为完全非托管设备

企业约50%的时间都在运行基于云的应用程序

只有不到10%的组织表示他们完全了解哪些设备访问了他们的网络

可以看出，数字化转型和云计算推动的业务生态无形中扩大了可攻击面。以传统安全技术(防火墙和VPN)构建的企业边界，无法阻挡不断向企业内部渗透的威胁。企业边界本身也在云业务场景下瓦解。

“内部等于可信任”和“外部等于不可信任”的旧安全观念需要被打破。由此，ZTNA应运而生。

ZTNA环境下，企业应用程序在公网上不再可见，可以免受攻击者的攻击。通过信任代理建立企业应用程序和用户之间的连接，根据身份、属性和环境动态授予访问权限，从而防止未经授权的用户进入并进一步防止数据泄露。对于数字化转型的企业，基于云的ZTNA 产品，又提供了可扩展性和易用性。

ZTNA定义与模型

Gartner：ZTNA也称为软件定义边界(SDP)，它在一个或一组企业应用程序周围创建基于身份和环境的逻辑访问边界。企业应用程序被隐藏，访问这些企业应用程序的实体必须经过信任代理。在允许访问之前，代理网关先验证指定访问者的身份，环境和是否遵守访问策略。这将企业应用程序从公众的视线中移除，并大大减少了攻击面。

Forrester：“企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。” ——Forrester首席分析师John Kindervag

业界的ZTNA产品主要有两种概念模型：由客户端启动的ZTNA和服务器启动的ZTNA。

客户端启动的ZTNA

规范流程：

1.安装在授权设备上的客户端将有关其安全环境的信息发送到控制器。

2.控制器提示用户进行身份验证，并返回允许的应用程序列表。

3.在对用户和设备进行身份验证之后，控制器才允许终端连接至安全网关。（这些网关可以避免服务器直接面向互联网，并保护应用程序免受DDoS攻击。）

4.当客户端与控制器建立连接，有些ZTNA产品在数据链路中保持与控制器的连接，有些不保持。

客户端启动的ZTNA概念模型

来源：Gartner（2019年4月） ID：386774

服务器启动的ZTNA

SDP连接器与应用安装在同一网络中，由SDP连接器建立并维护一条出站连接，它直接连接到SDP供应商的云。用户向SDP供应商进行身份验证后才能访问受保护的应用程序。之后，供应商通常会向企业身份管理产品进行身份验证。SDP供应商把通过SDP代理访问与直接访问的应用数据流隔离开来。企业防火墙无需为入站流量开设通道。但是，供应商的网络成为另一个必须评估的网络安全性的要素。

该模型的优势：最终用户的设备上不需要安装客户端，这对非受管控设备是一个很有吸引力的方法。

缺点：应用程序的协议必须基于HTTP / HTTPS，仅限于Web应用程序和部分协议的访问方式。

服务端启动的ZTNA概念模型