玻尔百科数十年来,数字安全就像一座中世纪的城堡:拥有坚固的边界以抵御外部威胁,但对任何进入内部的人都给予隐式信任。在一个边界几乎消失的云计算、远程办公和设备互联的世界里,这种模式已从根本上被打破。一旦边界被突破,攻击者便可以自由移动,将一次微小的入侵演变成一场灾难。传统安全策略中的这一缺陷,呼唤着一个适用于无边界世界的新蓝图。
本文将介绍零信任安全,这是一种革命性的模型,它摒弃了关于可信内部网络的陈旧观念。它基于一个简单而强大的原则:“永不信任,始终验证”。您将了解到这种方法如何为现代数字基础设施提供一个更具弹性和合理性的基础。第一章“原则与机制”将解构零信任的核心信条,解释它如何用身份取代网络边界,通过微隔离强制执行最小权限原则,并以“假定泄露”的思维模式运行。接下来的“应用与跨学科联系”一章将探讨如何应用这些原则,以解决从云平台和工业工厂到移动医疗和人工智能安全前沿等不同领域的实际安全挑战。
想象一座中世纪的城堡。它的力量在于其坚不可摧的外墙、深邃的护城河和唯一一个重兵把守的大门。但一旦你进入内部,你就会被隐式地信任。你可以在庭院里漫步,进入军营,甚至可能溜进国王的寝宫。这就是传统网络安全的本质:一个坚硬的外壳,保护着一个柔软、脆弱且极易受攻击的内部。几十年来,我们就像建造这些城堡一样构建我们的数字世界,用防火墙和边界防御作为我们的城墙和护城河。然而,正如无数次的安全事件所显示的,问题在于一旦攻击者进入内部——或许是凭借一把偷来的钥匙,或许是通过一条被遗忘的隧道——他们便可以为所欲为。系统给予的隐式信任,成为了他们最强大的武器。
零信任架构(ZTA)首先要做的就是拆除这幅过时的蓝图。它遵循一个简单却具有深远变革意义的原则:永不信任,始终验证。这里没有“内部”或“外部”之分。没有可信的网络,只有不可信的网络。每一个访问资源的请求,无论其源自何处,都被视为来自充满敌意的环境。信任不是一种默认状态,而是必须在每一刻被赢取、证明并持续重新评估的东西。这并非单一的产品或工具,而是一种根本性的策略转变,是为边界已然消失的世界建立的一套新物理学。
如果网络位置不再赋予信任,那么什么可以呢?答案是身份。在零信任的世界里,一个主体(principal)的身份——无论是人类操作员、传输患者数据的医疗设备、云中的微服务,还是工厂车间的传感器——就是新的边界。每一个动作都与一个密码学上强大且可验证的身份绑定。这个看似简单的理念建立在一组通常被称为“AAA”框架的三个不同但相关的功能之上。
首先是认证 (Authentication),即证明身份声明的过程。它要问的是:“你真的是你所声称的那个人吗?”在传统系统中,这可能只是会话开始时的一次简单密码检查。而在零信任中,这是一个远为严格且持续的过程。设备的身份不仅仅是其可以被轻易伪造的网络地址。它是一个独特的、不可伪造的加密密钥,最好在硬件信任根(如可信平台模块 (TPM) 或可信执行环境 (TEE))内生成和保护。 这使得设备在每次通信时都能证明其身份,甚至其健康状况——证明其运行的是正确且未经篡改的软件。
其次是授权 (Authorization),它回答一个不同的问题:“既然我已经验证了你的身份,那么你被允许做什么?”至关重要的是,认证并不意味着授权。仅仅因为一家医院的温度传感器证明了其身份,并不意味着它应该被允许访问患者的计费记录。授权是基于每个请求对严格策略的强制执行。策略引擎,作为 ZTA 系统的大脑,会在完整的上下文中评估每个请求:谁发起了请求?他们使用的是什么设备?设备是否健康?他们试图访问什么资源?现在是什么时间?他们从哪里连接?只有当所有策略条件都满足时,一个临时的、范围狭窄的权限才会被授予。
最后是审计 (Accounting)。每一个决策,无论是允许还是拒绝,都会被记录下来。这创建了一个不可变、可审计的轨迹,记录了整个系统中采取的每一个行动,为检测异常和理解任何安全事件的“何人、何事、何时、何地、为何”提供了全面的可观察性。
零信任中最优雅且强大的思想之一是最小权限原则:一个主体应只被授予执行其合法功能所需的绝对最小权限,仅此而已。ZTA 不仅宣扬这一原则,它还通过一种称为微隔离的机制来强制执行它。
想象一下,你整个网络是一张地图,其中每个城市(服务器、设备、应用程序)都通过一个高速公路网与其他所有城市相连。这是一个传统的“扁平”网络。如果攻击者攻占了一个城市,他们就可以利用这个高速公路系统前往他们选择的任何其他城市。这就是臭名昭著的“横向移动”,它将一次小规模的入侵演变成一场灾难性的事件。
微隔离就像是擦除了地图上的大部分内容。你拥有的不再是一个庞大的高速公路系统,而只是少数几条连接特定城市用于特定目的的单行道。一个传感器只被允许与其数据采集服务通信。一个应用服务器只被允许查询其特定的数据库。其他一切默认都被拒绝。在安全架构师使用的图论模型中,一个密集、高度连接的图变成了稀疏图,大部分边都被移除了。 一个攻陷了单个服务器的攻击者会发现自己身处一个数字死胡同,没有通往更有价值目标的道路。潜在的损害,即“爆炸半径”,被大大减小。在一个工业控制系统的真实世界模型中,这种方法可以将单个受损身份可访问的资产数量从 50 个减少到仅 5 个。 这不仅仅是增量式的改进,而是对网络几何结构的根本性改变,从根本上削弱了攻击者的机动性。
零信任建立在“假定泄露”的哲学之上。这不是偏执,而是务实地承认在一个复杂的系统中,漏洞总会存在,预防终将失败。这种思维模式带来了深远且可量化的影响。
首先,它迫使我们更快地发现入侵者。在传统模型中,一个越过边界的攻击者可能会在数周或数月内未被发现。但在零信任世界中,他们的每一步行动都需要新的验证。每一次请求都是他们被抓住的又一次机会。其结果是攻击者停留时间的急剧缩短。对一个工业系统的定量分析表明,从边界模型转向 ZTA,可以将攻击者未被检测到的预期时间从 150 分钟减少到仅 10 分钟——实现了 15 倍的改进。 你无法偷走你没有时间找到的东西。
其次,它降低了“残余风险”——即即便我们的系统看起来很干净,但某些部分仍可能已被攻破的几率。运用贝叶斯概率的美妙逻辑,我们可以看到减少隐式信任如何使我们的视野更加敏锐。在一个假设的医院系统中,当一个会话在传统安全系统未发出警报的情况下完成后,可能仍有 1/2500 的几率该会话已被攻破且未被检测到。通过实施一个具有多个独立验证检查的 ZTA 模型,这个残余风险会急剧下降。在没有警报的情况下,未被检测到的泄露事件的后验概率降至低于 1/40000。 这就是“始终验证”带来的数学红利:你对系统完整性的信心变得指数级增强。
要领略零信任的真正之美,我们必须认识到它并非僵化的教条,而是一种智能、适应性的策略。将其原则应用于现实世界需要对权衡取舍有深刻的理解。考虑一个安全关键型工业系统,其中一条控制命令必须在 5 毫秒的预算内送达。 一个天真的 ZTA 实施方案,如果对每条消息都强制进行繁重的加密握手,那将是灾难性的,会违反实时性约束,并可能破坏物理过程的稳定性。
优雅的解决方案是根据风险和操作约束来调整验证的频率。超高速的控制回路可以通过轻量级的、基于单条消息的加密来保护,而繁重的、资源密集型的身份证明则可以周期性地、带外地执行,置于关键时间路径之外。与此同时,流向基于云的数字孪生的、对时间不那么敏感的遥测数据则可以接受完整、严格、基于每个请求的验证。这就是 ZTA 的最佳实践:对原则的精细应用,而非对规则的教条式遵守。
归根结底,推行零信任不仅是一项技术实践,更是一项道德实践。对于我们所考虑的医院系统,采用 ZTA 不仅仅是为了提高安全性,更是为了履行“首先,不伤害”的“不伤害”(nonmaleficence)义务。通过对数据泄露的潜在影响进行建模,可以表明 ZTA 模型将对患者的预期伤害降低了 98% 以上,从每天 12000 个“伤害单位”降至仅 170 多个。 这清晰地、可量化地证明了更优的安全架构如何直接转化为更好的人类福祉。
零信任的原则——强大的身份、显式验证、最小权限和假定泄露——是我们数字基础设施的新基石。随着技术的发展,我们用来实现这些原则的机制也将不断演进,从使用后量子密码学(PQC)来加固身份以抵御量子计算机的威胁, 到在安全硬件飞地中保护计算本身。 零信任不是终点,而是迈向一个更理性、更有弹性且从根本上值得信赖的数字世界的旅程的开始。
在深入了解了零信任的核心原则之后,我们可能会倾向于将其视为一个纯粹的理论或抽象框架。但一个强大思想的真正魅力在于它解决实际问题的能力,在于它在纷繁复杂的现实世界中重塑我们构建事物方式的能力。“永不信任,始终验证”的原则不仅是网络安全专家的口号,更是一个多功能的视角,我们可以通过它在各种各样的领域中重新思考安全问题。这一理念的规模可从庞大的云基础设施延伸到您智能手表上的私密数据,从工厂车间延伸到人工智能的前沿。现在,让我们来探索这片引人入胜的应用图景。
零信任最自然的应用场景或许就是现代云环境。一个安全的、如“城堡”般有“护城河”的企业网络,这一旧观念已几乎消失。如今的应用程序由数十甚至数百个微小、独立的微服务构成,它们在复杂的连接网络中相互通信。在这样的世界里,边界在哪里?答案是:边界不存在。边界无处不在,又无处可寻。
这正是零信任理念大放异彩的地方。我们不再试图防守一个不存在的边界,而是对每一次交互都抱持怀疑态度。想象一下,你的任务是为一个大型平台设计通信骨干网,其中数百个工业资产的数字孪生必须使用 HTTP 和 gRPC 等协议相互通信。你如何确保只发生合法的对话?一个绝佳的解决方案是使用服务网格。通过在每个微服务旁部署一个微小、智能的代理——一个“边车”(sidecar),我们可以透明地拦截所有网络流量。这个边车无需对应用程序代码做任何更改,就能强制执行严格的零信任策略:它为每一个连接建立一个双向认证加密通道(mTLS),验证通信双方的加密身份。它甚至可以更进一步,在应用层(Layer 7)检查对话内容,以判断“这个具有已验证身份的特定微服务,是否真的被允许执行此特定操作,例如读取状态而非更新配置?”这创建了一种细粒度的、基于身份的隔离,其功能远超于基于 IP 地址的传统防火墙规则。
现在,让我们把挑战升级。想象一个州立公共卫生机构将其关键的疾病监测平台——包含高度敏感的受保护健康信息(PHI)——迁移到公有云。保护这些受 HIPAA 等法律管辖的数据,其法律和道德责任是巨大的。在这里,零信任成为负责任架构的基石。我们可以通过将虚拟私有云(VPC)划分为多个用于不同功能(例如,数据采集、处理、分析)的隔离子网,在云中构建一个虚拟堡垒。这些区域之间,甚至同一区域内服务之间的通信默认被拒绝,只有明确授权、经过认证和加密的流量才被允许。敏感数据在传输过程中(使用 TLS 1.3 等协议)和静态存储时都进行加密,使用的密钥由客户而非云提供商管理,并植根于物理的硬件安全模块(HSM)中。对人类管理员的访问权限基于最小权限原则授予,采用多因素认证和即时(just-in-time)权限,这些权限在短暂窗口后即会过期。每一个操作、每一次访问、每一次“紧急破窗”应急操作,都被不可变地记录和审计。这种多层次的纵深防御策略直接实施了零信任,以最大限度地降低泄露的概率和影响。
零信任的触角远不止传统的数据中心,它还延伸到物联网(IoT)和信息物理系统的物理世界。以现代工厂为例,控制机械的运营技术(OT)网络与信息技术(IT)网络正在融合。这种融合带来了巨大的好处,但也带来了新的风险。云端的一次泄露可能会传播到工厂车间,造成灾难性后果。
零信任架构提供了一个强大的解决方案。我们可以在两个世界之间的隔离区(DMZ)中放置一个特殊的协议网关,将 OPC UA 等工业协议转换为 MQTT 等云友好协议。这个网关成为一个关键的策略执行点。它不会盲目信任来自任何一方的流量。它要求来自 OT 网络的工业控制器和来自 IT 网络的云服务的每一个连接都进行严格的、基于证书的双向认证。它将最小权限原则应用于消息主题本身,确保一个传感器只能发布数据,而一个特定的云服务是唯一被授权发送控制命令的服务。这创建了一座安全的桥梁,系统性地减少了攻击面,并防止攻击者在 OT/IT 鸿沟之间进行横向移动。
“验证,而非信任”的原则也适用于在这些设备上运行的软件本身。当制造商需要为一支拥有 100,000 台联网设备的机队更新固件时,他们如何确保更新是真实的且未被篡改?他们如何防止攻击者将设备回滚到旧的、易受攻击的版本?零信任的答案是从一个不可变的硬件信任根开始构建信任。每个设备的引导加载程序(bootloader)都包含一个公钥。每个固件更新都必须由制造商相应的私钥进行数字签名。在启动前,设备会验证此签名,并检查更新中的安全版本号是否与设备上一个防篡改计数器的值相匹配。如果签名无效或版本号不够新,更新将被拒绝。这种严格的预启动验证确保了系统在其最基本层面的完整性。
即便在这种强大的模型中,我们也必须保持谦逊,并假定泄露仍有可能发生。让我们考虑一个运行在 5G 边缘网络上的沉浸式数字孪生平台。我们已经实施了所有最佳的零信任控制措施:mTLS、短期令牌、持续认证。然而,对手仍可能成功攻破其中一个微服务端点。此时,博弈的重点从预防转向遏制。由于被攻破的服务仍然受到最小权限原则的约束,它只能访问其合法功能所需的最小数据并执行最小操作。通过持续监控异常行为(例如,某个服务突然试图以高于正常的速率窃取数据),我们可以检测到泄露并限制“爆炸半径”。一个定性的思想实验表明,来自一个被攻破端点的预期数据损失虽然不为零,但可以被限制和管理,而与之相比,一个被盗令牌所带来的风险则可以忽略不计。这是对零信任的成熟看法:在一个完美安全不可能实现的世界里,它是一个用于构建弹性的框架。
零信任不仅适用于服务器。它的原则对于我们随身携带的设备也至关重要,尤其是在医疗保健领域。一名积极社区治疗(ACT)团队成员在患者家中访视时,使用平板电脑记录敏感笔记。这个环境是不受控制的;设备可能会丢失、被盗或被窥视。为此平板电脑建立一个零信任安全模型至关重要。它始于移动设备管理(MDM),以强制执行全盘加密(AES-256)和多次登录失败后自动远程擦除等策略。应用程序本身会对任何缓存数据进行加密,并使用严格的双向认证与中央记录系统同步。应用内的访问由基于角色的访问控制(RBAC)管理,确保临床医生只能看到其角色所需的信息。最重要的是,它可以处理针对物质使用障碍数据(受 42 CFR Part 2 规定)的严格法律要求,通过标记和隔离这些数据,并要求获得患者的特定同意才能进行任何披露。即使是“紧急破窗”访问也会被允许,但会被立即记录下来,以进行强制性的事后审计。这将移动设备从一个潜在的风险点转变为一个安全、可信的护理工具。
这种构建可信系统的理念延伸到了蓬勃发展的直接面向消费者的健康应用领域。这些应用通常不在 HIPAA 法案的直接监管范围内,因此带来了一项挑战。公司如何才能构建一个能让用户信任其最私密数据的工具?答案再次在于零信任理念,但这次的理念扩展到了包括用户自主权。一个值得信赖的应用不仅会实施强大的技术控制(加密、零信任网络隔离、多因素认证),还会将透明度和用户控制作为一级功能来拥抱。它会使用“隐私营养标签”来用简单的语言解释收集了哪些数据以及为何收集。它会为每一种数据使用场景请求明确、细粒度的、选择性加入的同意,并为用户提供一种简便的方式来撤销该同意。它将建立在数据最小化原则之上,只收集必要的数据,并对其进行假名化以用于内部分析。在为研究共享聚合数据时,它会使用差分隐私等先进技术。这种方法将动态从公司单纯地保护数据免受外部侵害,转变为赋予用户控制自己数据的权力,从而构建一个正因为不要求盲目信任而值得信赖的系统。
最后,让我们展望未来,看看零信任理念如何塑造我们最先进技术的核心结构。
设想一个由多家医院组成的联盟,希望利用联邦学习进行生物医学研究合作。他们希望在不暴露任何原始患者数据的情况下,对他们的患者群体进行统计汇总。一个强大的技术是使用同态加密,它允许对加密数据进行计算。但仍然存在一个问题:谁持有最终的解密密钥?将其委托给单一的中央聚合器会造成单点泄露风险。零信任的解决方案很优雅:不设置单一密钥。取而代之的是使用门限解密。密钥被分割成 个份额,每个医院一个。要解密最终的聚合结果,必须有一个由至少 家医院组成的阈值数量合作提供他们的部分解密。一个攻破少于 家医院的对手将得不到任何信息。这种分散信任、消除任何单点故障的设计,是“永不信任”原则在密码学上的完美体现。同样地,将分布式信任机制——拜占庭容错共识的区块链、门限密钥管理以及在可信执行环境(TEE)内的处理——相结合,可以为管理宝贵基因组数据的同意和访问创建一个无与伦比的纵深防御架构。
也许最需要这种思维方式的巨大挑战在于确保先进人工智能的安全。随着人工智能系统变得越来越强大,其被滥用或颠覆的风险——例如,用于生成危险的生物协议——成为一个严重问题。我们如何加固这样一个系统?依赖于对人工智能设计的保密是一种愚蠢的做法,这直接违反了 Kerckhoffs 原则,即零信任的思想先驱。稳健的前进道路是构建一个即使其设计公开也安全的系统。这意味着为整个基础设施实施零信任架构,使用形式化验证来证明安全关键组件的正确性,并确保一个可验证的软件供应链。至关重要的是,这意味着在人工智能的接口处建立明确的能力控制——沙盒化其对工具的访问、对高风险操作进行速率限制,并对任何潜在危险的操作要求多方人工授权。这些都是核心思想的应用:不要相信人工智能会是仁慈的;相反,要根据一个严格、可执行的策略来验证它的每一个请求并约束它的每一个行动。
从云端到工厂,从你的手机到人工智能的未来,连接这些多样化应用的线索是同一个强大的思想。在一个日益复杂、边界不断消融的世界里,我们再也无法承受基于对其位置的隐式信任来构建系统。相反,我们必须构建在设计上就值得信赖的系统——在这些系统中,信任不是一个默认的假设,而是一种需要通过明确、持续和密码学方式为每一个行动赢得的属性。这就是零信任的承诺和其深刻的美。