2022 年 9 月 19 日
第 20 卷，第 4 期

  PDF

从零到一百

揭秘零信任及其对企业人员、流程和技术的影响

Matthew Bush, Atefeh Mashatan

不断变化的网络格局和日益Security threats加剧了人们对新型安全方法的迫切需求。零信任已被提议作为解决这些问题的一种方案，但有些人认为它只是销售现有最佳实践的营销工具，而另一些人则赞扬它为新的网络安全标准。本文讨论了零信任的历史和发展，以及不断变化的威胁格局为何导致了网络安全领域的新话语。零信任的驱动因素、障碍和业务影响为简要概述零信任架构的关键逻辑组件和实施挑战提供了背景。

不断变化格局中的企业网络安全

近年来，攻击者已经播下种子，以增强人们对常见网络安全实践缺陷的认识。防火墙被应用于在企业网络周围创建强大的边界；然而，一旦进入边界内部，攻击者就可以轻松地在公司的内网中移动。随着移动和云技术的日益普及，单一边界变得越来越难以实施。随着新的攻击载体和技术变革，基于边界的安全模型正走向过时。

尽管普遍认为大多数威胁来自外部，但攻击来源在外部攻击者和内部人员之间大致持平。¹ 内部人员和所谓的受信任设备已成为严重关注的原因。网络访问正在移动设备、云用户、在家办公的员工和物联网（Internet of things）设备之间分散开来。根据思科 2018 年年度网络安全报告，攻击范围也在扩大。各组织报告称，安全漏洞影响超过 50% 系统的趋势日益增长。⁴ 更大的漏洞意味着需要更多的资金来处理善后事宜。安全直接影响底线，高层决策者需要注意到这一点。

安全团队对高层业务决策几乎没有发言权的做法已经过时。例如，2017 年 Equifax 灾难迫使 CEO、CIO 和 CISO 辞职。美国金融业巨头 Capital One 在 2019 年也遇到了类似的情况，超过 1 亿个账户被盗用，随后是一场巨大的集体诉讼。⁵ 网络攻击、漏洞和隐私泄露的规模越来越大，并且越来越为公众所知。许多组织迫切需要改进其网络安全方法，否则这个问题只会变得更糟。

在这种不断变化的网络安全格局中，零信任被誉为解决许多这些问题的潜在方案。然而，在所有炒作之下，许多人不确定这个术语到底意味着什么以及如何实施它。零信任的概念从何而来，对今天的企业意味着什么？零信任是一种新标准，还是仅仅是正确地进行网络安全？

 

去边界化和零信任

零信任背后的核心思想最早在 2004 年受到重视。耶利哥论坛认识到，由于端点数量的增加和设备移动性需求，传统的安全实践正迅速变得不足。³ 防火墙、防病毒软件和 IDS（入侵检测系统）没有考虑来自网络内部的威胁。最初使用的术语是去边界化，它侧重于加强内部防御，并减少对外部边界的强调。2007 年，耶利哥论坛发布了“诫律”，概述了去边界化所必需的原则和实践。¹⁰ 同年，DISA（国防信息系统局）和国防部确定了一些关键原则。名为“黑色核心”的安全策略是一种安全模型，该模型侧重于摆脱边界安全，并专注于个人交易。¹⁸ 虽然耶利哥论坛和 DISA 为去边界化和转变安全重点奠定了许多基础，但它们远不如今天的零信任那样广为人知。直到 2010 年 Forrester Research, Inc. 的 John Kindervag 引入零信任和 ZTA（零信任架构）的概念，这些想法才真正流行起来。^11,12 表 1 说明了零信任概念化历史中的重大事件时间轴。

零信任是一个广泛的概念，可以应用于技术、网络架构和安全策略。它被描述为一种技术无关的心态，将安全放在首位。它要求网络内的所有参与者都被视为可能构成威胁，因为他们确实如此。企业资源应受到单独保护，并且应持续评估访问这些资源的主体，以确保他们不会构成威胁。

根据 Forrester 的一份开创性报告，三个核心概念实现了零信任：所有资源都必须安全地访问；必须强制执行基于最小权限的严格访问控制；并且必须检查和记录所有流量。¹²

这种零信任概念的问题在于，这些想法都不是特别新颖的。事实上，它们在大多数 IT 专业人员看来，是我们一直以来都应该实践的良好安全卫生习惯。许多安全专业人员会同意，安全应该是任何企业系统的设计目标，并且内部威胁与任何其他威胁一样危险。这种怀疑态度是有道理的，因为许多早期对零信任的解释未能捕捉到其独特的价值。Jason Garbis 和 Jerry W. Chapman 最近的一个定义更好地解释了实现零信任的核心概念

 

零信任系统是一个集成的安全平台，它使用来自身份、安全和 IT 基础设施以及风险和分析工具的上下文信息，以告知并实现对企业范围内安全策略的动态执行。零信任将安全从无效的以边界为中心的模型转变为以资源和身份为中心的模型。因此，组织可以不断地调整对不断变化的环境的访问控制，从而获得更高的安全性、降低的风险、简化且有弹性的运营以及更高的业务敏捷性。⁹

 

这个定义引起了人们对零信任系统和更抽象的零信任心态之间差异的关注。这种心态不应与 ZTA 混淆，ZTA 是任何支持零信任的安全架构。零信任心态强调企业安全应该是可扩展的，因此任何未来的添加都支持零信任的目标。零信任认识到没有两个安全环境是相同的。例如，与云部署或物联网网络相比，数据中心具有独特的安全要求。NIST（美国国家标准与技术研究院）特别出版物 800-207 更详细地介绍了潜在的实施方案。它概述了核心逻辑组件的多种架构模型和技术实施方案。¹⁸

2018 年，Forrester 使用 ZTX（零信任 eXtended）平台更新了其最初的零信任思想，该平台旨在协助组织在获取技术和实施向遗留系统添加零信任的想法方面的工作。⁶ 它基于七种功能，用于将解决方案映射到零信任实施：数据；网络；人员；工作负载；设备；可见性和分析；以及自动化和编排。这项工作确保了零信任不会停滞不前，并且可以在零信任环境中实施新想法。

 

为什么信任零信任？

PPT（人员、流程和技术）的交叉点长期以来一直是组织评估其业务实践的关键焦点。PPT 框架由 Harold Leavitt 在 1960 年代的Applied Organizational Change in Industry中引入。¹⁴ 最初的模型由任务、结构、人员和技术组成，它将任务和结构合并到流程类别中，从而形成了 PPT。Bruce Schneier 在 1990 年代后期将 PPT 带到了信息安全领域的前沿。¹⁹ 尽管有人建议技术已成为当今威胁响应中最关键的方面，但 PPT 的所有方面之间仍然保持着牢固的关系。伴随向零信任过渡的组织变革可以映射到此框架上，以便更结构化地处理该主题。

零信任是一种新的心态，需要进行全面的变革才能有效地实施。显然，有许多驱动因素和障碍影响企业选择采用零信任，因此问题仍然存在：为什么信任零信任？

 

人员

零信任心态带来了几个好处，这些好处正在激励企业考虑采用它。零信任要求所有员工在组织的安全中发挥积极作用。随着远程工作越来越普遍，比以往任何时候都更重要的是让这些员工了解良好的安全卫生习惯。致力于零信任的组织可能会尝试提高组织对安全的认识，并推动对零信任的接受。¹⁷ 这将产生连锁反应，迫使组织对其员工进行安全教育。更具安全意识的员工队伍将是采用零信任的自然副产品。

从文化角度来看，零信任促进了部门间的合作和 IT 的采用。由于网络的系统将面向安全网络，因此合作对于实现可工作的零信任安全架构至关重要。团队的成功整合可以提高网络和安全的可扩展性，并防止问题出现时互相指责。⁵ 资源可以公平分配，因为这些安全和基础设施团队将进行合作，而不再竞争以实现不同的目标。

零信任不仅可以改善现有团队之间的合作，还可以实现更灵活的招聘。在招聘技术工人方面，零信任创建卓越远程工作环境的能力缓解了围绕新员工的安全担忧。在远程工作变得越来越普遍的时代，安全性和有效性方面的考虑可能会阻止企业雇用原本优秀的员工。²⁰ 零信任可以帮助减轻其中一些担忧，并使远程工作的安全入职变得更加容易。

以人为本的零信任的最后一个主要驱动因素是管理层的支持。高级决策者可以更容易地被说服承担零信任计划，因为它们可以带来长期的成本节约。遗留网络通常需要大量的供应商、技术和解决方案来确保它们保持安全。支持这些复杂的网络需要更多的时间、金钱和人员配置。将这些控制整合到更统一且可扩展的零信任解决方案中意味着可以更轻松地降低供应商、管理和维护成本。⁶ 人们越来越认识到安全不仅仅是一个成本黑洞，而且适当的实施可以节省时间、金钱和精力，这将使高层管理人员更容易获得对零信任项目的支持。成功的零信任努力将有助于数字化转型。⁵

流程

疫情为所有受影响的企业提供了一个独特的机会来改善安全态势。零信任不仅推动企业修补因过渡现有流程而造成的漏洞，而且还提高了整个业务流程的安全性。业务流程的重新构想将允许更好地适应远程工作和以安全为先的心态。

零信任的开放性将实现更大的可扩展性，以确保组织可以自由地将其安全性适应威胁态势。零信任对数据收集和审计的强调进一步帮助了按设计实现的可扩展性。这使企业可以查看做出有关安全流程调整的知情决策所需的信息。⁶ 总体而言，这有助于降低未来成本并提高组织的敏捷性。

安全流程也可能在短期内得到改进。许多零信任部署可以利用持续身份验证来减少员工体验到的摩擦，而不会损害安全性。谷歌的 BeyondCorp 部署有效地消除了远程连接到网络时对 VPN（虚拟专用网络）的需求。² 这节省了与配置和连接 VPN 相关的时间和挫败感。研究发现，87% 采用零信任方法的安全专业人员发现它提高了工作效率。²⁰

此外，对实体状态和行为的持久数据收集允许对网络上的正常实体行为进行建模。持续身份验证允许安全检查识别异常行为并快速响应。⁷ 这简化了日常安全流程和威胁响应流程。

零信任的关键原则之一是通过收集数据来保护数据。可工作的零信任部署需要对组织资源进行广泛的审计。了解不同数据的存储位置及其用途可以改善数据组织并促进知情的安全决策。可以根据数据的敏感性，以不同的安全级别识别和保护数据。⁵ 更好的数据管理也有助于隐私计划，例如确保 GDPR（通用数据保护条例）合规性，因为组织将知道其相关数据的存储位置以及如何保护它。

 

技术

零信任还可能对企业使用技术的方式产生重大影响。网络可以大大简化并拆分为模块化分段，从而降低维护和升级成本。无需继续管理整个网络中设备的拼凑和协议，可以一次实施各个分段。这样，每次需要升级时都不需要更改整个网络。¹¹

分段还允许网络不同部分的灵活性。物联网网络可能需要与支持云应用程序的网络不同的安全配置。分段提供了在实施各个分段时的灵活性，而不会损害零信任网络的整体需求。⁶ 行业法规，例如 PCI DSS（支付卡行业数据安全标准）仅要求相关的分段区域满足所有特定法规。正确分段的网络意味着对合规性的关注可以仅限于需要它的分段。⁵ 这再次有助于降低整体网络复杂性，节省合规计划的资金并实现可扩展性。

支持零信任的技术也实现了更好的安全性。NGFW（下一代防火墙）允许检查应用层流量。因此，可以识别传统防火墙无法识别的攻击签名并快速处理。⁹ 由于网络分段，来自成功通过的攻击的损害受到限制。⁵ 总体而言，技术使零信任能够增强威胁响应并减轻成功攻击的影响。

零信任旨在通过提供卓越的数据保护来对抗威胁。通过保护单个资源，可以实施细粒度的数据保护规则。因此，大规模数据泄露将变得不那么常见，因为数据访问将基于风险的方法。数据的位置、价值、敏感性和常用用途将清楚地定义其访问方式。网络分段可以进一步降低单个漏洞的风险，方法是将敏感数据保存在网络的不同部分。⁷

通过实体验证来建立信任对于网络安全专业人员来说并不是一个新概念。零信任只是通过要求不断获得信任而不是只获得一次信任来推进这个想法。BYOD（自带设备）方案将本质上不可信的设备带入网络。适用于所有设备的通用信任要求使管理安全变得更加容易。⁷

零信任心态将为任何拥有大量数字资产的组织带来众多好处。正确实施的 ZTA 将在提高漏洞管理和漏洞检测能力的同时，提供对网络的更大可见性。

零信任需要检查所有网络流量。NGFW 可以检查应用层流量，比以往任何时候都更容易清楚地了解组织的网络。增加的可见性有助于减轻甚至防止数据泄露。如果可以检查异常流量以查找漏洞迹象，则可以更快地处理它。FireEye M-Trends 2019 报告指出，发现漏洞的平均时间为 78 天。⁸ 更好的网络可见性意味着更快地识别漏洞，并允许安全专业人员在任何事情发生之前做出反应。⁵

 

注意事项

鉴于推动采用的因素数量和零信任的众多好处，似乎每个组织都应该争先恐后地实施 ZTA。尽管供应商抱怨说零信任是游戏规则的改变者，但不应在没有谨慎的情况下实施它。各种障碍和潜在的缺点意味着必须仔细考虑零信任的采用。

 

组织准备情况

在组织致力于零信任之前，它必须考虑文化兼容性。零信任安全和网络专业人员更精通并且更有可能看到他们已经使用的系统的价值。如果负责实施和运营的团队没有被说服或在转型过程中遇到太多困难，它将不会成功。同样，在实施过程中，用户问题可能会削弱对零信任的支持，并导致人们认为它会降低生产力并增加挫败感。

如果组织的用户不理解零信任的价值，那么任何组织都很难获得零信任的好处。例如，WestJet 发现有必要建立 CoE（卓越中心）来促进零信任的学习和文化接受。¹³ 无法提供类似资源的企业可能难以让网络和安全专业人员加入进来。

自 Kindervag 2010 年的原始工作以来，一些组织已经开始实施 ZTA。这种转型的一个明显特征是，直到最近才对完整或接近完整的零信任计划进行评估。谷歌的 BeyondCorp 是一个完整的组织转变的例子，从开始到结束花费了数年时间。

ZTA 意味着需要具有前瞻性思维、高管支持、应急计划和承诺的重大转变。在没有计划的情况下转向零信任可能会导致半途而废的措施，并增加安全专业人员管理的复杂性。文化、技术偏见和对当前安全实践的情感投入可能是零信任成功的重大障碍。可能还存在一种误解，认为零信任仅仅是一个营销流行语。⁹ 因此，希望采用零信任方法的组织必须为漫长的过程做好准备，其中既有政治问题，也有技术问题需要解决。

很少有组织在可以从头开始的情况下实施零信任，但在其 ZTA 设计原则的 Beta 版本中，英国的 NCSC（国家网络安全中心）承认，即使是绿地环境也需要耐心和仔细的规划。²¹ 这意味着许多具有既定安全实践和基础设施的组织可能缺乏敏捷性和灵活性来简单地开始使用零信任进行运营。在过渡期间，企业可能需要更改无法承受重大停机时间的系统，或者流程组件可能不容易被零信任对应组件替换。

任何缺乏灵活性来处理此类问题的组织都可能发现自己处于困境。当前流程所具有的组织惯性和各种流程组件缺少一对一替换可能会使过渡到零信任成为一项艰巨的任务。

 

技术挑战

零信任取决于卓越的数据管理和信息素养。为了正确地分段网络并实施必要的控制，组织必须对其自身的数据环境有出色的了解。流量需要流向何处？哪些角色需要哪些资源？高优先级数据位于何处？这些只是成功部署零信任需要回答的一些问题。

NIST SP 800-207 建议对网络组件、数据源、参与者和企业资产（如托管设备）进行全面审计。¹⁸ 对这些领域缺乏可见性的组织更有可能以巨大的成本实施无效的安全系统。在最坏的情况下，它会降低员工的工作效率。建立具有必要可见性和分析能力的系统可能需要大量的金钱和精力，从而对采用造成重大障碍。⁶

IAM（身份和访问管理）是任何适当的零信任系统中的必需品。用户组管理不善和不同的身份提供者可能会在实施零信任时导致重大困难。零信任策略利用身份属性和用户组来安全可靠地授予对资源的访问权限。零信任可能是改善 IAM 实践的催化剂，但这仍然意味着企业需要解决这些问题才能继续进行零信任。⁹

ZTA 实施中使用的资产和技术可能不容易迁移或替换，而不会造成过高的成本。服务提供商可能是高度专业化的，这意味着如果他们遇到问题，企业资源和业务功能可能会中断。零信任的许多核心组件可能难以使用当前可商购的解决方案实施。²¹

AI（人工智能）和基于软件的代理可能会用于组织网络上的安全目的。这些代理反过来需要与各种 ZTA 组件进行交互。这些代理如何对自己进行身份验证对于 ZTA 来说是一个很大程度上尚未解决的问题。NPE（非人员实体）的准入门槛可能较低，因此试图访问网络的攻击者可能会冒充 NPE。此外，NPE 本身也可能是一个攻击载体，可能被操纵以执行恶意操作。³

作为网络监控一部分存储的数据也可能成为攻击者的目标。此信息对于侦察和计划未来攻击非常有用。用于编码访问策略的管理工具也是潜在的攻击点，因为它们包含有关用户和策略数据的信息。¹⁸

PE（策略引擎）和 PA（策略管理员）是 ZTA 的单点故障。如果 PE 被恶意或不称职的管理员破坏，其规则可能会被更改到破坏运营或在系统中创建漏洞的程度。被破坏的 PA 可能会允许访问原本会被禁止的资源。为了减轻这种威胁，策略可以存储在安全云环境中或存在于多个位置。考虑到这一点，区块链可能是管理 PE 策略的可行解决方案。¹⁸

网络上的大部分流量可能对第 3 层网络分析工具是不透明的。流量可能来自非企业资产，或者只是难以监控。因此，必须在加密流量上使用不同的方法，例如收集元数据和机器学习技术。¹⁸

 

高风险、高回报之旅的建议

对于企业而言，采用零信任网络安全方法是一种高风险、高回报的选择。如果设想正确，零信任可以提供无数的安全改进、对安全的改进文化心态、成本节约以及为添加进一步增强功能的高度可扩展的起点。虽然好处是显着的，但应注意，零信任需要持续努力，并且过渡到零信任方法可能是一个漫长而艰巨的过程。对于希望采用零信任的企业，建议应遵循 PPT 模板。

 

人员

鉴于零信任的采用是一个漫长的过程，因此重要的是它具有适当的管理和文化支持。较新的或更敏捷的公司可能更容易使业务目标与零信任方法保持一致。然而，老牌企业需要付出更多努力来重新调整管理和文化态度。谷歌确保它拥有有效的技术支持策略，以减少用户在推广期间的挫败感。它还在部署的早期就与任何受影响的团队进行了接洽。²¹ WestJet 创建了 CoE，使其网络和安全团队能够熟悉和学习新技术。¹³ 这些也是人们可以在部署期间解决疑虑和提出解决方案的地方。

获得利益相关者支持的此类策略是采用任何新技术或流程的关键。通过强调零信任的好处来游说重要的管理职位是获得必要支持的一种方法。当然，除非有精心制定的计划，否则管理层不会被说服。

通过清楚地列举零信任的好处、找到积极的高管倡导者、从将显示明显好处的小项目开始，或者积极寻求与网络或网络安全同行合作，可以缓解政治障碍。避免误解零信任会破坏或取代其他人努力开发的 инфраструктура 和架构，是缓解部门间和政治紧张关系的好方法。⁹

 

流程

零信任的实施过程对于成功转型至关重要。NIST SP 800-207 提供了一种从基于边界的网络过渡的有效方法。关键步骤是

• 识别将使用系统的参与者

• 识别企业资产

• 识别关键流程并评估与执行流程相关的风险

• 为 ZTA 候选对象制定策略

• 识别候选解决方案

• 规划初始部署和监控

• 扩展 ZTA

收集信息以执行广泛审计的要求是一个关键要点。成功的零信任企业需要了解受影响的利益相关者、相关资产以及在转型期间必须重新构想的流程。否则，组织很可能在其实施中存在漏洞，这些漏洞可能会在未来导致更重大的安全缺陷。ISACA 也已将可见性确定为成功 ZTA 的重要组成部分。¹⁷

对于复杂系统，系统分析和审计可能非常困难。BeyondCorp 和 PagerDuty 等零信任部署广泛部署了零信任，跨越了具有细粒度访问控制的多个业务领域。他们进行了广泛的网络分析，以确保这些努力不会中断生产力。这种方法比增量方法花费更多的时间和精力。逐步让用户群体加入并从更粗粒度的访问控制开始也可能同样有效。随着零信任计划的进展，收紧这些控制将变得更容易。⁹

制定策略、识别潜在的解决方案以及初步部署都应利用所有收集到的信息。逻辑架构和技术组件应符合企业的特定需求。初步部署和监控会进一步收集有关实施如何运作的信息，并提供需要改进的领域。

最后一步是任何实施方法中最重要的部分。零信任旨在具有可扩展性，并提供适应安全领域变化的灵活性。随着 ZTA 的扩展，应重复这些步骤，以维持一个持续知情和不断改进的安全系统。鉴于其新颖性，零信任网络很可能具有不断发展的最佳实践，因此建议采用灵活的方法。¹⁵

零信任倡议的一个重大障碍是“分析瘫痪”。零信任是一项重大的事业，包含许多未知因素。企业可能也缺乏对众多内部因素的完全可见性。当需要多个利益相关者的批准，并且要求零信任系统立即达到现有企业系统的相同标准时，这些问题就会膨胀。因此，零信任倡议可能进展极其缓慢，并且未能显示出与所有努力相称的成果。有效的里程碑、与利益相关者的密切合作以及迭代部署是一些可以帮助减少分析瘫痪的措施。⁹

 

技术

最后一组建议考虑了技术和实施细节。零信任适用于各种环境，包括物联网、大数据和云。具体的架构应考虑为其部署的环境。一家正在向零信任转型的公司可能希望以不同于内部应用程序的方式对待其物联网资产。网络分段提供了灵活性，可以为网络的不同部分混合和匹配技术和方法。企业不应尝试采用一刀切的架构，而应根据不同网段的需求构建其零信任网络。

许多组织也受到监管和合规性约束。为了避免企业零信任系统未能满足合规性的情况，尽早与外部审计师和第三方合规专家进行沟通至关重要。⁹

此外，实施 ZTA 不应只关注端点。能够颠覆端点的攻击者可以再次在整个网络中自由移动。零信任应以分层方法实施，不忽视网络安全策略。ISACA 建议实施网络安全策略，并添加端点功能以确保效果是互补的。¹⁴

 

未来方向

随着零信任部署在日益复杂的环境中，安全性变得更加迫切。雾计算发生在用户和设备都是异构的网络中。另一个需要注意的问题是，雾计算中的服务器容量远低于云计算，因此，零信任将需要更轻量级的实施方案。²²

下一代网络技术将带来诸多好处，但也会导致更多的异构性。通过零信任的集中式架构管理不同类型的访问设备构成了一个才刚刚开始被探索的问题。SDN（软件定义网络）是一种可能与零信任网络非常契合的解决方案。²² 像爱立信这样的组织意识到零信任与技术无关，并已开始概述 5G 网络如何影响 ZTA。¹⁶

零信任要求网络高效地授权流量和数据，但随着数据量和复杂性的增加，这变得困难。人工智能是一种潜在的解决方案。通过提取特征和分类数据，高效的 AI 系统可以大大提高零信任网络的效率。²²

NIST 是唯一提供对零信任进行系统性探索的标准组织。在私营组织之外，关于整体方案的文献相当匮乏。随着为涉及云网络、物联网和大数据的情况开发不同的架构，将有必要对可以在不同情况下实现零信任的通用方案进行分类。

总的来说，零信任并没有带来什么新的安全原则，但更重要的是，它提供了一种方法，可以最大限度地利用网络安全专业人员已经认为是良好实践的东西。最小权限、强身份验证和访问控制、分段、深度防御以及广泛的日志记录和审计都是现有的实践，零信任将它们与一个有凝聚力的目标结合在一起。目标是通过设计实现安全和安全至上的思维模式。自然，如此广泛的目标为进一步研究和开发适合 ZTA 的新技术留下了很大的空间。随着实现零信任的新方法不断涌现，安全实践只会不断改进。随着威胁数量和严重程度的增加，您应该信任零信任，因为它包含了您无论如何都应该做的所有事情。

参考文献

1. Bendovschi, A. 2015. 网络攻击——趋势、模式和安全对策。《经济与金融程序》28, 24–31; https://doi.org/10.1016/S2212-5671(15)01077-1。

2. Beske, C. M., Peck, J., Saltonstall, M. 2017. 迁移到 BeyondCorp：在提高安全性的同时保持生产力。《Login》42 (2). 谷歌研究; https://research.google/pubs/pub46134/。

3. Bleech, N. 2005. 什么是耶利哥论坛？愿景白皮书，耶利哥论坛; https://collaboration.opengroup.org/jericho/vision_wp.pdf。

4. 思科. 2018. 年度网络安全报告，第 8 卷，第 19 页; https://www.cisco.com/c/dam/m/hu_hu/campaigns/security-hub/pdf/acr-2018.pdf。

5. Cunningham, C., Pollard, J., Holmes, D. 2019. 零信任的八项业务和安全优势。Forrester; https://www.forrester.com/report/The-Eight-Business-And-Security-Benefits-Of-Zero-Trust/RES134863。

6. Cunningham, C. 2019. 零信任扩展 (ZTX) 生态系统。Forrester。

7. Embrey, B. 2020. 推动零信任采用的三个主要因素。《计算机欺诈与安全》2020 (9), 13–15; https://doi.org/10.1016/S1361-3723(20)30097-X。

8. FireEye. 2019. M-趋势 2019; https://content.fireeye.com/m-trends/rpt-m-trends-2019。

9. Garbis, J., Chapman, J. W. 2021. 零信任安全，第 1 版。Apress。

10. 耶利哥论坛. 2007. 耶利哥论坛戒律; https://collaboration.opengroup.org/jericho/commandments_v1.2.pdf。

11. Kindervag, J., Balaouras, S., Coit, L. 2010. 将安全性构建到您的网络 DNA 中：零信任网络架构, 1–26。Forrester; https://www.virtualstarmedia.com/downloads/Forrester_zero_trust_DNA.pdf。

12. Kindervag, J., Balaouras, S., Coit, L. 2010. 不再有嚼劲的中心：介绍信息安全的零信任模型。Forrester; https://media.paloaltonetworks.com/documents/Forrester-No-More-Chewy-Centers.pdf。

13. Kindervag, J., Mak, K. 2015. 案例研究：WestJet 通过 Forrester 的零信任模型重新定义其安全性。Forrester; https://www.forrester.com/report/case-study-westjet-redefines-its-security-with-forrester-s-zero-trust-model/RES122205?objectid=RES122205。

14. Leavitt, H. J., March, J. G. 1962. 工业中应用组织变革：结构、技术和人文方法。卡内基理工学院，工业管理研究生院; https://books.google.ca/books?id=P_KZNQAACAAJ。

15. 国家网络安全中心. 2020. 移动设备指南：网络架构; https://www.ncsc.gov.uk/collection/mobile-device-guidance/infrastructure/network-architectures-for-remote-access。

16. Olsson, J., Shorov, A., Abdelrazek, L., Whitefield, J. 2021. 零信任和 5G——在网络中实现零信任。《爱立信技术评论》#05; https://www.ericsson.com/49a20a/assets/local/reports-papers/ericsson-technology-review/docs/2021/zero-trust-and-5g.pdf.

17. Pironti, J. P. 2020. 采用零信任安全架构时的五个关键考虑因素。@ISACA 7; https://www.isaca.org/resources/news-and-trends/newsletters/atisaca/2020/volume-7/five-key-considerations-when-adopting-a-Zero Trust-security-architecture。

18. Rose, S., Borchert, O., Mitchell, S., Connelly, S. 2020. 零信任架构，NIST SP 800-207; https://csrc.nist.gov/publications/detail/sp/800-207/final。

19. Schneier, B. 2013. 人员、流程和技术。Schneier on Security; https://www.schneier.com/blog/archives/2013/01/people_process.html。

20. Sheridan, O. 2021. 流动工作时代零信任的状况。《网络安全》2021(2), 15–17; https://doi.org/10.1016/S1353-4858(21)00019-2。

21. 英国国家网络安全中心。零信任架构。Github; https://github.com/ukncsc/zero-trust-architecture。

22. Yan, X., Wang, H. 2020. 零信任网络安全调查。在人工智能与安全中，编辑：X. Sun, J. Wang, E. Bertino, 50–60。《计算机与信息科学通信》1252。Springer Singapore; https://doi.org/10.1007/978-981-15-8083-3_5。

 

Matthew Bush 是多伦多都会大学网络安全研究实验室的研究助理。他完成了商业技术管理专业的商业学士学位后，正在攻读计算机科学硕士学位。他的研究兴趣包括管理物联网 (IoT)、大数据和机器学习引起的隐私、安全和伦理问题。

Atefeh Mashatan 是加拿大研究主席、泰德·罗杰斯信息技术管理学院副教授，以及多伦多都会大学（前身为瑞尔森大学）网络安全研究实验室的创始人和主任。她的研究重点是基于新兴技术开发新型网络安全设计。她调查了这些新技术带来的挑战和机遇，以及它们如何改变网络安全的威胁态势。Mashatan 在全球网络安全领域前沿的专业知识在 2019 年获得了SC Magazine 的认可，当时她被评为全球安全领域最具影响力的五位女性之一。

版权所有 © 2022，所有者/作者持有。出版权已授权给 。

最初发表于 Queue 第 20 卷，第 4 期——
在 数字图书馆 中评论本文

---

更多相关文章

Jinnan Guo, Peter Pietzuch, Andrew Paverd, Kapil Vaswani - 使用机密联邦学习的可信 AI
安全性、隐私性、问责制、透明度和公平性原则是现代 AI 法规的基石。经典的 FL 在设计时非常强调安全性和隐私性，但以透明度和问责制为代价。CFL 通过将 FL 与 TEE 和承诺相结合来解决这一差距。此外，CFL 还带来了其他理想的安全属性，例如基于代码的访问控制、模型机密性以及推理期间的模型保护。机密计算的最新进展（如机密容器和机密 GPU）意味着现有的 FL 框架可以无缝扩展以支持具有低开销的 CFL。

Raluca Ada Popa - 机密计算还是密码计算？
通过 MPC/同态加密与硬件飞地的安全计算在部署、安全性和性能方面存在权衡。关于性能，您脑海中的工作负载非常重要。对于简单的工作负载（如简单的求和、低阶多项式或简单的机器学习任务），这两种方法都可以在实践中使用，但对于丰富的计算（如复杂的 SQL 分析或训练大型机器学习模型），目前只有硬件飞地方法在许多实际部署场景中足够实用。

Matthew A. Johnson, Stavros Volos, Ken Gordon, Sean T. Allen, Christoph M. Wintersteiger, Sylvan Clebsch, John Starks, Manuel Costa - 机密容器组
此处介绍的实验表明，Parma（在 Azure 容器实例上驱动机密容器的架构）增加的额外性能开销不到底层 TEE 增加的额外性能开销的百分之一。重要的是，Parma 确保了容器组所有可达状态的安全不变性，这根植于证明报告中。这允许外部第三方与容器安全地通信，从而实现各种需要机密访问安全数据的容器化工作流程。公司获得了在云中运行最机密工作流程的优势，而无需在其安全要求上妥协。

Charles Garcia-Tobin, Mark Knight - 使用 Arm CCA 提升安全性
机密计算具有巨大的潜力来提高通用计算平台的安全性，方法是将监管系统从 TCB 中移除，从而减小 TCB 的大小、攻击面和安全架构师必须考虑的攻击向量。机密计算需要平台硬件和软件方面的创新，但这些创新有可能增强对计算的信任，尤其是在第三方拥有或控制的设备上。机密计算的早期消费者需要自行决定他们选择信任的平台。

---

---

© 保留所有权利。