上个月，美国国家标准技术研究所（NIST）的计算机安全资源中心通过其特殊出版物SP 800-207发布了实施零信任体系结构的一般指导和建议。当然，此最新文档反映了NIST如何看待“零信任”安全性，但重要的是要指出关于此视图如何形成的两个见解：

1. 零信任安全性的概念并不新鲜。该术语本身是由Forrester分析师约翰·金德瓦格（John Kindervag）于2010年创造的，他建议所有网络流量均应视为不受信任^[1]。这是甚至更古老的苏联谚语“信任，但验证”的数字安全性体现。2014年下半年，谷歌发布了BeyondCorp ^[2]，这是一个学术研究项目，描述了谷歌如何通过放弃对VPN和网络外围安全的当代依赖，在内部实施零信任安全概念。2017年，Gartner通过在CARTA（连续自适应风险和信任评估）框架中提出类似的安全概念，加入了零信任潮流。最后，结束循环，Forrester发布了“零信任扩展（ZTX）生态系统报告” ^[3]，该报告根据新的网络安全挑战和工作习惯对零信任进行了解释。多年来，随着数字安全性实施方式变得更加严格，“永不信任，始终验证”已成为新的谚语。

   
   

2. NIST并未通过这种历史角度单方面建立其对零信任的看法。相反，他们通过多次迭代发布了零信任架构。在每次迭代中，NIST都会邀请业界反馈，这一反馈有助于构建下一个版本。泰雷兹积极参与通过IDSA（身份定义的安全联盟）提供反馈，IDSA是身份和安全领域主要参与者的非营利联盟。作为IDSA技术工作组主席，Thales在NIST零信任体系结构文件的最后公开审查期间，帮助协调了业界的回应。提供了超过50项具体建议，其总体主题是针对零信任的基于身份的方法，而不是基于网络的方法。
   

不信任任何人

作为从少数化产品到加固边缘设备到安全后端服务器（以及介于两者之间的所有产品）的多元化产品组合的数字安全领域中的少数参与者之一，泰雷兹处于定义和实施零信任安全原则的独特位置。我们的零信任安全解决方案利用关键概念，例如职责分离，使安全决策尽可能接近要访问的资源，并提供强大的MFA作为访问的基础。

作为参考，Thales使用主流协议^[4]设计了业界第一个可感知网络的安全元素：用于数据传输的TCP / IP和用于安全性的SSL / TLS。这在安全元素（例如，智能卡）和Internet上的远程服务器之间创建了端到端的安全隧道，从而允许开发强制实施“无人信任”模型的安全Web应用程序。

此外，计算机与其外围安全设备之间的通信体系结构至关重要。为了满足这一需求，Thales使用大容量存储和HID驱动程序构建了安全的Web应用程序，以与安全元素进行通信[5]。如今，FIDO U2F令牌使用了类似的原理。还应该指出，拥抱职责分离非常重要，这样数据所有者才能独立于存储提供者来管理信任。

一位法国哲学家曾经说过：“在生活中，爱一个人比信任一个人要容易得多”。当我们查看数字小工具和设备在我们的职业以及个人生活中占主导地位时，很明显，我们爱它们以及它们所取得的成就。但是我们信任他们吗？泰雷兹（Thales）经营业务以确保我们这样做。

参考文献：

1. Kindervag, Forrester Research: Build Security into Your Network’s DNA: The Zero Trust Network Architecture, 2010.

2. Ward, Byers, Google, BeyondCorp: A New Approach to Enterprise Security, 2014.
   

3. Cunningham, Forrester, The Forrester Wave™: Zero Trust eXtended (ZTX) Ecosystem, 2018.
   

4. Montgomery, Lu, Ali (Thales); Secure Network Card - Implementation of a standard network stack in a smart card; CARDIS, The 6th Smart Card Research & Advanced Application Conference - Toulouse, France. August 23-26, 2004. Paper available from Springer here.
   

5. Lu, Ali (Thales); Making smart cards truly portable; IEEE Security & Privacy, vol. 8, no. 2, pp. 28-34 - Mobile Device Security issue, March/April 2010.
   

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• 数据安全的未来是什么

• 最近公布的NIST后量子密码学标准的3个要点

• 零信任安全的演变

• 为什么零信任很重要？

• 为什么数字信任是必须的