最早接触到这个概念其实很早就接触过了,在开发程序时,各端互相不信任,比如从用户到接口到微服务,以及微服务之间互相不信任机制,最开始做多因素认证权限管理,后来做 IAM 系统,外发流量管理之后意识到这么一整个概念体系,但那时候其实并没有成熟的产品(一九年二零年那时候)。
疫情的时候腾讯也出了个宣传通稿,说自己的 iOA 办公安全系统多稳定,都安全,那个时候感觉是在办公安全层面首个亮相的产品,iOA 最早是类似于安全管家之类的角色,后来慢慢转变成办公安全。
二一年的时候美国政府就调研零信任战略发布白皮书,然后二二年开始推动执行零信任战略架构。
老领导也是二二年那会出去创业了,也是主打零信任产品,前几天看到另一个公司宣布部署一百万客户端的新闻,就想着看一下具体是怎么一个形式。
单纯从外部角度看,就是员工设备上要安装一个客户端,这个客户端可以帮你请求公司的内网,听上去很像 VPN,但比 VPN 具有更多功能,还可以利用设备资源做安全风险感知和计算,以及收集设备更多信息做可信度研判。
比如隐藏资产,正常来讲网址或者 IP 暴露出去开个扫描器一扫能扫到端口,服务器程序之类的东西,现在可能改成暗号不对不返回任何东西,之前听过一个“请求敲门”的技术,就是按照特定顺序或者特定规则去请求,匹配上了才会开放端口或者说资产给你用,这种就得有专用客户端配合实现。
架构上来说请求流向网关,以前叫 API 网关,现在叫做安全网关,安全网关再去调度零信任管控平台来研判是否具有风险,此次请求是否可信可放行。
因为不清楚内部实现细节,目前看到的基本都是说管控人员行为,并没有提到内部怎么和企业业务做集成的,因为权限和业务一般都会耦合的很深很深,单纯从外部角度好像很难介入。
说白了零信任就是不信任一切请求,即便是已经经过认证,也要实时的去分析是否可信,具体的难点就在于可信分析这块。
以前其实对安全流量分析挺感兴趣的,就像抓小偷一样,从无数数据中揪出有问题的那几条,如果哪天不用为生活而发愁了,说不定可以尝试做一些有意思的东西,可惜现在还在为工作而发愁。