1.7 邊界安全模型與零信任模型

邊界安全模型和零信任模型之間有天壤之別，前者試圖在可信資源和不可信資源之間（本地網絡和互聯網之間）建立一道屏障，而后者基本上放棄了這種想法，接受了“壞人”無處不在的現實，不再通過設立屏障來保護內部易受攻擊的對象，轉而采取全民皆兵的策略。

邊界安全模型賦予了受保護網絡一定的信任等級，這種做法違背了零信任模型的基本原則，引發了一些糟糕的行為。當網絡被認為可信時，管理員常常會放松警惕，畢竟他們是人。位于同一個信任區內的主機很少會彼此防范，畢竟既然在同一個信任區，好像就意味著大家的可信度是一樣的。但隨著時間的推移，我們逐漸認識到這種假設不成立，因此，不僅需要保護主機免受來自外部的攻擊，還需要使其免受來自內部的攻擊。

零信任模型假定網絡被完全攻陷，因此必須同時假定攻擊者可能使用任意IP地址進行通信。鑒于此，僅根據訪問者的IP地址或物理位置來授予資源訪問權限是不夠的，所有的主機都必須提供合適的身份標識，甚至位于當前信任區內的主機亦如此。攻擊者并非只會發起主動攻擊，他們還可能執行被動攻擊，即通過監聽流量來獲取敏感信息。在這種情況下，僅有主機身份標識還不夠，還必須對流量進行強加密。

在零信任網絡中，有3個關鍵組件：用戶/應用認證與授權、設備認證與授權、信任。其中第一個組件具有二元性（用戶和應用），因為并非所有操作都是由用戶執行的。對于自動執行的操作（例如，數據中心內的操作），需要考慮應用的質量，就像在正常情況下需要考慮用戶的品性一樣。

設備認證與授權同用戶/應用認證與授權同樣重要，但在采用邊界安全模型的網絡中，很少使用這種特性來保護服務和資源。這種特性通常是使用VPN或NAC技術來部署的，在較成熟的網絡中尤其如此，但在端點（而不是網絡節點）之間很少部署這種特性。

最后，需要計算信任評分，并將應用、設備和信任評分組合在一起，形成代理（agent）。然后，將策略應用于代理，以便給訪問請求授權。代理包含豐富的信息，可用于實現靈活而細粒度的訪問控制，即通過在策略中包含信任評分，設置各種適應條件來調整訪問控制策略。

訪問請求獲得授權后，控制平面通知數據平面，讓它接受請求。在此過程中，還可配置詳細的加密參數。加密可在設備層面、應用層面或這兩個層面進行，為確保機密性，至少需要在其中一個層面進行加密。

借助于這些認證/授權組件，以及控制平面在協調加密信道方面提供的幫助，可確保網絡中的流量都經過了認證。對于沒有經過認證、授權和加密的流量，主機和網絡設備將其丟棄，以確保敏感數據不會被泄露。另外，通過將每個控制平面事件和操作都寫入日志，可輕松地對網絡流量進行基于流或基于請求的審計。

在有些采用邊界安全模型的網絡中，也提供了類似的功能，但只在網絡邊界執行它們。VPN力圖提供這些功能，以確保對內部網絡的安全訪問，但流量到達VPN集中器后，便不再處于這些安全功能的保護范圍內了。管理員顯然知道互聯網強度的安全措施是什么樣的，只是沒有將這些安全措施貫徹到整個網絡中。

只要想象一下全面實施了這些安全措施的網絡是什么樣的，就會發現零信任網絡這種新范式存在很多亮點。它使用加密技術來驗證身份，這意味著對于所有的連接，其源IP地址不再重要（嚴格地說，依然可根據源IP地址來判斷風險，稍后將詳細討論）。自動化系統消除了技術壁壘，這導致VPN基本上已成明日黃花。私有網絡不再有任何特殊之處，其中的主機與互聯網中的主機一樣堅固。如果以批判性思維看待NAT和私有地址空間，可能會發現零信任模型使得它們提供的安全功能毫無意義。

總之，邊界安全模型的缺陷在于缺乏全面的安全保護，猶如由安全外殼包裹柔弱軀體，而我們真正想要的是堅固的軀體：知道如何核查身份，還知道如何以無法被竊聽的方式發送信息。有堅固的軀體并不意味著不再需要維護安全外殼，在極度敏感的場景中，維護安全外殼的做法依然值得提倡。然而，堅固的軀體確實將安全的堤壩構筑到了足夠的高度，即便弱化或取消安全外殼，也絕非不理智的。同時考慮到大部分零信任功能是對最終用戶是透明的，零信任安全模型看起來幾乎消除了安全性和便利性之間的矛盾：越安全，越便利。解決便利性問題的責任或許已被轉移到管理員的頭上。