零信任是什么柠檬物联零信任是如何解决网络

零信任网络的模型是约翰·金德维格在年创建的，当时他还是烟酒机构Forrester的分析师。如今11年过去了，随着零信任的支撑技术逐渐成为主流，防护企业系统及数据安全的压力也越来越大，再加上网络攻击演变得更加复杂，零信任模型也在CIO、CISO和其他企业高管中间越加流行了。

时至今日，零信任已经不再冷门。但是还有很多人不太理解零信任，那零信任是什么呢？

「零信任」是一种安全理念，它建立在一个简单的、众所周知的前提之上：不信任网络内部和外部的任何人/设备/系统；不信任传统网络边界保护，而代之以微边界保护。零信任要求将用户的访问权限限制为完成特定任务所需的最低限度，在组织内部重构以身份为中心的信任体系和动态访问控制体系，建立企业全新的身份边界，即微边界。零信任的关键在于控制对数据的访问权限，而与数据所在的位置无关，与访问发起者的位置无关。零信任的做法是先信任，后连接，只有通过动态的认证和授权，才可能发起对数据资源的访问连接，这和传统网络安全先连接后信任的方法有主要区别。

随着零信任概念的不断普及，大部分人对于零信任的了解还停留在概念层面，知道零信任有哪些能力，但不知道零信任到底怎么解决实际问题的。

其实，零信任本身是非常落地的，零信任架构BeyondCorp就是谷歌公司根据自身的攻防实践总结出来的，且一直沿用至今，可谓效果显著。谷歌将BeyondCorp项目的目标设定为“让所有谷歌员工从不受信任的网络中不接入VPN就能顺利工作”。尽管听起来像是要解决远程接入的安全问题，BeyondCorp实际上是抛弃了对本地内网的信任，进而提出了一个新的方案，取代基于网络边界构筑安全体系的传统做法。BeyondCorp的落脚点是网络不可信，因而在于对人和设备的管理、认证、授权和访问控制；而“零信任模型”着眼的是网络流量不可信，从而着眼的是对不同网络流量的隔离，并分别进行安全扫描和处理。

接下来，我们以一个黑客的视角，来看看是如何攻击公司网络获得机密的（改编自EdSkoudis的《黑客攻防演习》中的案例）。

大家好，我叫Y(杨钊鹏-小杨简称)，是从事三年的职业黑客，平时的爱好除了在网上冲浪，就是四处周游，酷爱挑战极限运动，这大概也是我从事黑客的原因吧。有一天，一个戴着墨镜身着西装的中年男士找到我，也不罗嗦，直接提出需要我拿到G公司的“命根子“——Sofer软件新版本的全部源代码，事成之后便会支付给我大笔现款。且不管对方是谁，无非是涉及到商业竞争，反正报酬异常丰厚，干就完了。

事先我就知道G公司的网络安全产品是业界闻名的，所以入侵会有一定的难度，而且安全公司与政府的关系都不错，所以我也深知工作的危险性。只有做到不留任何痕迹才是完成任务并保护好自己的唯一方式。于是，我通过网上搜索，查询到G公司所有的Sofer软件的源代码都存储在公司网络上的源代码仓库内，而且源代码管理是公司的核心秘密，网络由复杂的安全网关保护，别说是外部人员，即使内部人员进入也是关卡重重，更别说我要做到不留痕迹了，简直是难于上青天。

但值得庆幸的是，我了解到G公司的员工遍及多个国家，作为高科技的软件公司，很多编程人员习惯在家办公，他们通过VPN连接到公司，经过简单的用户名和密码验证后就可以访问公司内部网络资源，不仅可以收发公司邮件，还可以处理公司业务，而且很多程序员每天都会下载需要编辑的源代码文件，然后上传。这便给了我可乘之机。

Y把他的工作做了如下安排：

准备阶段

为了掩藏自己，我找到了一个不错的位置作为工作场所，通过某小学旁边的网络可以无线接入访问互联网，接入网络之后便通过Nessus漏洞扫描器，搜索到南京一所大学里有个被木马感染的Web服务器，由于安装木马的那个家伙没有好好保护自己的“果实“，所以我不费吹灰之力便猜到了密码，并抢占了这台服务器的控制权；接下来，我又在深圳的一家商业网站上找到了一台很”弱智“的Linux服务器，上面还有个MYSQL数据库，我毫不犹豫地纳入囊中，这样我便有了两个可以指挥的“冲锋战士”，自己就可以退居二线，运筹帷幄。

侦查阶段

其实这期间我也下了不少功夫，比如学习G公司的网站，而且通过在各种互联网博客、论坛等新媒体平台搜寻，找到了大部分G公司员工发表的文章，虽然文章大部分都是一些技术交流以及非商业性质的讨论与建议，偶尔也有涉及到公司网络结构的文章，但是我更关心的是，他们都留下了真实的邮箱地址，所以我很快便猜出了G公司邮箱的命名规则，还意外找到了公司部分销售机构的通讯录，在收集了大约个G公司的邮箱地址后，我开始准备下一个阶段的工作了。

钓鱼阶段

既然是钓鱼，我得先准备鱼饵，我发现大多数码农都有上班时间玩游戏的爱好，正好我手里有一款不错智力攻关型的游戏软件，以前是自己在无聊的时候编写的，从没有给人看过，也就平常自己玩玩，现在正好派上用场。于时我把这款游戏放到深圳的那台服务器上，然后申请注册了一个网络域名，在服务器上开启游戏下载服务，还建立了所谓的公司服务邮箱，接下来指挥南京的服务器给“精选”出来的20名G公司员工邮箱发出了诱惑邮件，大致就是需要高手来挑战之类的免费试玩游戏，而邮件中的游戏下载链接指向深圳的服务器，当然了，考虑到G公司邮件服务器上的发垃圾过滤功能，我不会给所有人都发邮件。他们在下载游戏的同时，也把我事先采用打包软件工具和游戏软件打包在一起的木马程序一并下载了，而且为了安全起见，这个木马程序是我单独设计的，可以保证不被G公司的反病毒软件发现。

接下来便等鱼儿上钩，果然没多久，就有一个员工下载了游戏，即使对方执行游戏之前用了反病毒软件进行了检查，也没有发现任何问题，他没有注意到的是，游戏开始的同时，我的木马后门程序也开始工作了，就这样，钓鱼完成。

病毒传播

接下来，该员工只要重新建立了与公司的VPN连接，木马就可以通过VPN链路扫描公司网络，找到了一个Windows文件共享目录，里面有很多员工常用的软件，然后把其中有个员工常用文字编辑notepad.exe软件改名为nn.