译者序

零信任（或零信任网络、零信任模型等）这个概念最早是由John Kindervag于2010年提出的，他当时是Forrester的分析师。John Kindervag非常敏锐地发现传统的基于边界的网络安全架构存在缺陷，通常被认为“可信”的内部网络充满威胁，“信任”被过度滥用，并指出“信任是安全的致命弱点”。因此，他创造出了零信任（Zero Trust）这个概念。“从来不信任，始终在校验”（Never Trust, Always Verify）是零信任的核心思想。

传统的网络安全架构基于网络边界防护。企业构建网络安全体系时，首先把网络划分为外网、内网和DMZ区等不同的安全区域，然后在网络边界上通过部署防火墙、WAF和IPS等网络安全技术手段进行重重防护，构筑企业业务的数字护城河。这种网络安全架构假设或默认了内网比外网更安全，在某种程度上预设了对内网中的人、设备、系统和应用的信任，从而忽视内网安全措施的加强。美国Verizon公司的《2017年数据泄露调查报告》指出，造成企业数据泄露的原因主要有两类：一是外部攻击，二是内部威胁。随着网络攻防技术的发展，新型的网络攻击手段层出不穷，攻击者面对层层设防的网络边界，往往会放弃代价高昂的强攻手段，转而针对企业内部网络中的计算机，采用钓鱼邮件、水坑攻击等方法渗透到企业网络内部，轻松绕过网络边界安全防护措施。由于人们往往认为内网是可信任的，因此攻击者一旦突破企业的网络安全边界进入内网，就会如入无人之境。此外，企业员工、外包人员等内部用户通常拥有特定业务和数据的合法访问权限，一旦出现凭证丢失、权限滥用或恶意非授权访问等问题，同样会导致企业的数据泄露。

基于这样的认知，零信任针对传统边界安全架构思想重新进行了评估和审视，并对安全架构思路给出了新的建议：默认情况下不应该信任网络内部和外部的任何人、设备、系统和应用，而是应该基于认证和授权重构访问控制的信任基础，并且这种授权和信任不是静态的，它需要基于对访问主体的风险度量进行动态调整。

零信任对网络安全架构进行了范式上的颠覆，引导安全体系架构从网络中心化走向身份中心化，其本质诉求是以身份为中心进行细粒度的自适应访问控制。零信任所依赖的身份认证与访问控制能力通常由身份与访问管理系统（IAM）提供，现代身份管理技术是零信任安全的技术根基，因此，从技术方案层面来看，零信任是借助现代身份管理技术实现对人、设备、系统和应用的全面、动态、智能的访问控制。

客观地说，John Kindervag提出零信任架构的开始几年，这一理念并没有获得网络安全行业的普遍关注，只是在一些社区有着小范围的讨论和实践，本书的作者Evan Gilman和Doug Barth就是早期实践者之一。然而，2015年前后，情况发生了明显的变化。层出不穷的高级威胁和内部风险，以及监管机构对企业网络安全的监督力度逐渐加强，使得零信任架构变革的外部驱动力越来越强。随着企业数字化转型的逐渐深入，以云计算、微服务、大数据、移动计算为代表的新一代信息化建设浪潮愈演愈烈，IT基础设施的技术架构发生了剧烈的变革，导致传统的内外网络边界变得模糊，很难找到物理上的网络安全边界，企业自然无法基于传统的边界安全架构理念构筑安全基础设施。安全架构如果不能随需应变，自然会成为木桶最短的那块木板，零信任架构变革的内生驱动力也在持续加强。

2017年，Google对外宣布其基于零信任架构实践的新一代企业网络安全架构——BeyondCorp项目成功完成，为零信任在大型、新型企业网络的实践提供了参考架构。这一最佳实践成为零信任理念的助推剂，各大安全厂商、分析机构和大型企业快速跟进，对零信任的推广和宣传也持续升温，在RSAC 2019展会上达到高潮，零信任俨然成为网络安全界的新宠。

当然，任何一种新生事物都难免受到人们的质疑，零信任架构也不例外。在过去一年多时间推广和实践零信任的过程中，我们遇到最多的质疑是，零信任听起来并没有什么新技术，是不是“新瓶装旧酒”？的确，零信任是一种全新的安全架构，但其核心组件基于身份与访问管理技术、终端设备环境风险评估技术、基于属性的访问控制模型、基于机器学习的身份分析技术等构建，听上去并没有太多激动人心的新技术。并且，零信任的最佳实践反倒是推荐使用现有的成熟技术，根据具体的应用场景，按照全新的逻辑进行组合，就能起到完全不同的安全效果。

我们认为零信任的创新和价值恰恰不在于具体的组件技术本身，而在于架构理念和安全逻辑层面。零信任架构与传统的边界安全架构、传统的安全防护理念最大的不同之处在于以下几点。第一，在网络安全边界瓦解、攻击面难以穷尽的情形下，与传统的安全理念不同，零信任架构引导人们更加关注“保护面”而不是“攻击面”。首先识别需要重点保护的资源对象，然后穷举分析该资源对象的访问路径，最后采用恰当的技术手段做好每条路径的访问控制措施。第二，零信任架构认为网络是不可信任的，因此不再寄希望于在传统的网络层面增强防护措施，而是把防护措施建立在应用层面，构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制，极大地收缩了攻击面；采用智能身份分析技术，提升了内外部攻击和身份欺诈的发现和响应能力。第三，零信任架构在实践机制上拥抱灰度哲学，以安全与易用平衡的持续认证改进固化的一次性强认证，以基于风险和信任持续度量的动态授权替代简单的二值判定静态授权，以开放智能的身份治理优化封闭僵化的身份管理。因此，灰度哲学是零信任安全的内生逻辑，也是零信任安全实践的指导原则。

零信任是一种全新的安全理念，它并不是严格定义的技术术语，这个概念的内涵和外延仍然处于变化之中。我们也不认为本书是一本零信任的教科书或者“圣经”，本书作者为我们揭示了零信任的基本概念和体系架构，并且通过实例介绍了如何利用现有的技术逐步构建一个零信任网络。我们希望通过翻译成中文的方式，可以把零信任的理念系统完整地介绍给国内的网络安全业界同仁，供大家讨论、实践和探索，甚至批判。希望能够通过这种方式，让更多的人理解和实践零信任理念，推动企业网络安全架构的转型和变革，为云计算和大数据时代的业务应用及数据保驾护航，并在此过程中不断丰富甚至修正零信任的内涵和外延，让零信任架构更加成熟，更加实用。

本书的主要译者还有奇安信集团身份安全实验室的张泽洲、蔡冉、沈韵、张丽婷等人，他们既是零信任架构理念的倡导者，也是零信任架构技术方案在国内大型企业落地部署的实践者。在实践过程中，他们对于零信任架构有了更加深刻的理解和认识，特别是针对国内大型部委和企业的IT技术架构，零信任架构落地部署需要更多特殊的安全视角和权衡。因此，本书关于零信任架构的某些技术实践细节并不一定完全适用于国内的IT技术环境，需要根据实际情况加以修正和补充。幸运的是，零信任架构本就是一个抽象、开放并不断发展的安全框架，对零信任架构的内涵和外延有不同的理解和认知无伤大雅。但是，为了尽可能准确、系统、完整地介绍本书作者对零信任的认知和实践，我们在繁忙的工作之余通读了本书英文原作，在忠于原著的基础上尽最大努力将其翻译成通俗易懂的中文。即便如此，碍于技术理解，以及文字表达能力有限，本书在翻译过程中难免有疏漏和谬误之处，也欢迎读者朋友们批评指正。

此外，在零信任架构理念和技术方案在国内推广实践过程中，奇安信集团的邬怡、韩永刚、张聪、韩笑等人给予了我们非常大的支持和帮助，在此一并致谢！

左英男

2019年3月15日