零信任时代来临：“永不信任”重塑的安全阀门

弗洛伊德说，“背叛无孔不入。”

对于美国最大油管公司——科洛尼尔管道运输公司而言，这句话应该改为，“黑客无孔不入。”5月13日，科洛尼尔向黑客组织支付了500万美元，以恢复自己被勒索病毒锁死的系统。经此一劫，它应该懂得了另一句话，“Never believe anyone（不要相信任何人）！”

向数字化转型已经成为企业在后疫情时代生存的必选项，但安全的新边界在哪里？

“以零信任重建信任。”5月14日举行的零信任发展趋势论坛给出了答案。同日，腾讯零信任安全解决方案（腾讯iOA）和零信任行业白皮书在论坛上正式发布。


持续验证 永不信任

零信任=更安全，这似乎是个反常识的认知。

人类用了几千年的时间传递一个信念：信任是一种力量，是人与人之间安全感的由来。然而，在互联网世界，信任却成了一种破坏力，此次大吃苦头的科洛尼尔，悲剧的开始便来自“信任”，对员工的信任。

令科洛尼尔中招的勒索病毒主要以邮件、程序木马、网页挂马的形式传播，通常病毒会先“污染”某个员工的邮箱，获得其账号密码之后，登陆企业内网，然后自行“繁殖”和传染，并对企业核心文件进行加密，被感染者一般无法解密，必须拿到黑客用于解密的私钥才有可能破解。

数据治理公司Veritas发布的2020 Ransomware Resiliency Report（2020年勒索软件恢复力报告）显示，企业IT系统越复杂，越易遭受勒索攻击。根据Veritas调研，在过去一年，64%的全球企业数据安全策略未能跟上数字转型项目的步伐；61%遭受勒索攻击的公共事业企业支付过赎金。

越演愈烈的安全事件显示，花费重金部署的防火墙等安全边界，一旦被黑客以“可信任员工”的身份越过，便几乎形同虚设。

“Never Trust， Always Verify（永不信任，持续验证）”， 2010年，Forrester分析师John Kindervag提出“零信任模型”（Zero Trust Model)，其核心思想是，对任何用户、设备、应用程序都不因一次身份验证而给予“终身信任”，内外网一视同仁，不相信任何人，验证一切。

腾讯副总裁丁珂对此给予更通俗易懂的解释，相比传统“拒敌于城门之外”的安全思路核心，零信任是让不法分子在业务领域内处处受限、寸步难行：第一，所有进入我方领土的人，无论好人、敌人还是卧底奸细，对每一个人，都要基于身份、动作、特征、数据等等变量不断核验；第二，把“城市”分割成无数个大大小小的房子，每一个房屋都仅仅刚好能满足最小的一个权限；第三，允许通过身份核验的用户，拥有进出和使用小房子的权限。这样确保了无论业务如何变化和扩展，企业的数字资产始终处于动态安全状态。

当天，腾讯研究院、腾讯安全联合Gartner共同发布的《零信任行业白皮书》约定了零信任的几项基本原则：最少信任，所有用户，设备和应用程序在进入网络之前都不受信任；网络无处不在，不应基于网络位置授予安全信任；动态访问控制，也即持续验证。

“吃自己的狗粮”

“吃自己的狗粮”是腾讯ToB产品市场化的一贯路径。这次也不例外。

2016年，腾讯开始在内部实践落地自主设计、研发零信任体系，2020年初突然爆发的疫情，让零信任迅速走到台前。只用了5天，腾讯便完成了从传统模式向零信任安全体系的切换，7万员工、十万终端设备可以同时在线处理各种复杂工作需求，同时做到了业务发展和安全防护。

并不是所有企业都有腾讯这样的技术积累。大多数企业被迫“居家办公”时，采用VPN（虚拟专网）登陆内网，但VPN起初设计时，只是为了少数、临时的外网登陆需求，当并发请求超过极限时，员工很容易被“踢出内网”。另一个风险在于，VPN属传统边界防御体系，一旦黑客突破这层防御，在企业内网便如入无人之境。

2021年Gartner CIO调查，64％的员工可以在家工作，五分之二实际上是在家工作。VPN已经不能完全满足这样的需求，也正因如此，已经面世10年的零信任突然成为“热门词”，不需要专网，不限制登陆人数、登陆地点、登陆设备，但“随时验证”反而扩大了安全边界。

“2023年全球将有60%以上的VPN被零信任取代。”Gartner预测。

腾讯敏锐地发现了市场需求。经过一年的内部实践、磨合，当天发布会，腾讯零信任安全解决方案（腾讯iOA）正式亮相，KA版、SaaS版和轻量版三种类型，基本可满足不同企业对于架构零信任体系的需求。

其中，KA版采用集群部署形式，满足大型企业全方位的零信任安全体系建设需求；轻量版聚焦于提供轻量、高效的零信任安全接入能力，主要适用于远程安全运维、移动办公等业务场景；SaaS版则可以做到一键部署分钟级交付，适合企业微信安全访问内网应用场景。

“我们最小的客户只有5个人。”腾讯安全总经理程文杰告诉《IT时报》记者，iOA不仅仅是一款产品，而是一整套以身份为中心的安全理念，它可以根据不同客户的需求灵活部署，传统概念中，似乎只有“财大气粗”的大企业才能架构零信任体系，但其实对成本比较敏感的中小企业，通过SaaS版直接购买服务即可，可以省却大量软硬件投资。

目前，腾讯零信任安全解决方案已经应用到政务、银行、制造等众多行业领域。当然，既然是体系，便不可能一蹴而就。在落地实践中，iOA也遇到不少问题。丁珂举例称，物流行业系统复杂度不高，但快递小哥的变量比较多，比如终端丢了怎么办，怎么再次证明还是这个人在使用。解决这些问题的同时，便是iOA的完善。

当然，腾讯并不是第一个推出零信任的厂商。巨头中，Google和Akamai各自在公司内部系统都进行了零信任的部署，思科、派拓、赛门铁克、Unisys、Proofpoint也都在零信任方面进行布局。国内厂商中，奇安信、天融信都是先行者。

程文杰认为，相比友商，“吃自己的狗粮”即是iOA的起源也是腾讯的优势，很少有公司能在如此庞杂的系统和庞大的数据量做测试，而腾讯全生态的业务场景也足够丰富。

正在进行时：标准与人才

任何一种新技术和新理念的落地，都绕不过两个话题：标准和人才。

几天前，有消息称，美国总统拜登签署了行政命令，要求政府部门全面迈向零信任架构。这固然是科洛尼尔事件给予的刺激，但也并非心血来潮，

事实上，美国国家标准协会（ANSI）早在2020年便正式发布了“零信任体系结构”和“实施零信任体系结构”。2021年，美国国家安全局（NSA）发布了“拥抱零信任安全模型”。

中国也已开始布局。《零信任白皮书》指出，工业和信息化部（MIIT）在2019年发布了《关于促进网络安全产业发展的指导意见（征求意见稿）》，其中正式提出“零信任安全”作为新概念和建议。2020年，国家信息安全标准化技术委员会（TC260）正式建立了“信息安全技术：零信任参考体系结构”，标志着零信任正式成为相关国家标准制定的关键领域。

本次峰会上，由产业互联网发展联盟指导、腾讯联合多家业界权威机构共同发起的国内首个零信任产业标准联盟“零信任产业标准工作组”再次升级，完成了对包括腾讯、绿盟、深信服、天融信等企业在内15款产品的互相认证。

当天，Forrester还为腾讯零信任安全团队成员颁发了 ZTX-I专家资质证书，ZTX是Forrester提出的零信任扩展生态(Zero Trust eXtended (ZTX) Ecosystem )，据记者了解，该培训需数百学时，培训内容包括技术方案、案例实践、合规治理等全套零信任体系，目前腾讯是国内第一支取得ZTX-I专家资质的团队。

Gartner预测，到2022年，面向生态系统合作伙伴开放的80%新数字业务应用程序将通过零信任网络架构进行访问，这意味着企业必须为这样的新形势提前储备人才。Forrester中国区总经理邹欣表示，接下来，Forrester会持续更新零信任认证体系的概念和模型，未来资质认证的级别将更加细分。

“尽管还没有具体数字，但零信任人才缺口一定非常大。”程文杰表示，安全人才基本处于“零失业”状态，本就供不应求，而零信任需要对企业全流程都有所了解和认知，这样的人才一定是稀缺的。

腾讯安全战略专家周奕良透露，接下来，腾讯安全团队将会采用知识分享的方式，通过不同方式、多元化渠道，传播腾讯在零信任方面的知识积累，反哺生态圈。