Illumio传道士John Kindervag以美国特勤局保护美国总统为例，解释零信任的核心概念，那就是知道「谁是总统」、「总统在哪里」以及「谁可以接近总统」。（摄影／黄彦棻）

深入分析特勤局的工作方式，可用来进一步说明零信任的内涵。

当我们看到特勤局人员执勤，有些人可能看起来只是站着，拉紧了外套，并未进行实际的保护工作，然而，这实际上是一种「安全剧场」（Security Theater）。

所谓安全剧场，是指那些看似保护措施的行为，实际上并没有发挥任何实际保护作用，这类似于一些企业所采取的、仅具表面作用的安全策略。

相反的，真正的安全措施，是在更隐蔽且精确的位置进行的，这就是零信任中的「保护面」（Protect Surface），就是需要集中保护的关键资产范围，这也是零信任的核心概念之一。

许多网络安全讨论都集中在如何管理「攻击面」（Attack Surface），但事实上，攻击面不断扩大，犹如无穷无尽的宇宙，几乎无法完全控制。

因此，与其尝试缩小攻击面，不如将焦点转向保护面，这一思路转变，有助于企业集中力量保护最内核的资产，避免资源分散。

举例来说，特勤局的保护对象并非每位民众或整个城市，而仅限于总统及其家人，而这样的保护策略，非常类似零信任的做法，重点在于精准保护，而不是试图一网打尽，避免所有风险。

零信任运作强调动态权限与最小授权

特勤局的保护措施不仅靠近总统这个「保护面」，还创建紧密环绕在总统周围的「微型边界」（Micro-Perimeter），促使控制更为精确。

这意味着在零信任架构下，对于特定资产、数据或应用，要设置更精细化的安全边界，以确保更严格的存取控制。

不过，在传统的网络安全策略中，这种微型边界周边的控制措施通常放在外围，例如：防火墙或端点设备的安全工具，这些地方与真正要保护的资产相距太远，从而产生「滞留时间」（Dwell Time），滞留时间是指：攻击者成功入侵系统后，尚未被发现的时间。

长时间的滞留，会给攻击者提供更多时间进行横向移动，最终可能导致数据泄露。

而John Kindervag表示，零信任通过可视性和持续验证，大大缩短了滞留时间，使得攻击者无法长期隐匿于系统内。

在零信任模型中，可以随时查看系统中发生的所有行为，针对所有存取请求，只有允许或拒绝两种结果。

这种二进制的安全策略，意味着系统从最初，就不允许任何不受信任的行为进入，不是在事后试图阻止潜在的威胁。

以美国特勤局的保护策略为例，只有经过特殊许可的特定探员可以接近总统，而保护总统的具体工具，如专车「野兽」，仅仅是交通工具，并不是保护的核心。他说，无论总统处于什么环境，内核的保护策略始终不变。

同样的，在零信任的框架下，则会通过动态的安全策略即时监控环境变化，不断更新政策来应对潜在的威胁；特勤局也会即时更新威胁情报，通知相关人员进行应对，这类动态反应的策略与零信任所提倡的精准控制理念，不谋而合。

零信任的关键特征是基于「需要知道」原则动态授予权限。在这个模式下，并不是试图通过各种被动的安全措施阻止攻击，而是从一开始就拒绝所有未经授权的请求，并只允许符合条件的存取。

举例而言，当总统乘坐专车时，只有两位特勤局探员可以接近他，这样的精确控制符合零信任的「最小授权原则」，每位接触数据或系统的用户，都必须根据角色和任务，分配最小的存取权限，这样可以最大程度降低内部风险。

而John Kindervag认为，这一动态授权过程的最大挑战是：保持系统的精确可视性，只有清楚掌握每个存取请求的背景与目的时，才能根据具体需求来灵活调整授权策略，从而实现对内外部威胁的即时防护。

虽然许多人认为零信任是一个复杂的安全体系，但它的核心理念其实非常简单。正如John Kindervag所说，这种安全模型只是基于「信任最小化」的基本原则进行设计，并不像传统的安全技术那样试图解决所有问题。

通过将每个安全控制措施紧密围绕在最需要保护的资产周围，零信任大大降低了系统受到攻击的风险。他表示，这不是一个技术上的复杂策略，而是应用简单且严格的原则来防止潜在的威胁。

零信任架构的理念强调「永不信任，始终验证」

随着网络攻击的频率与复杂度不断增长，零信任逐渐成为全球安全策略的核心框架之一，像是美国政府在其联邦网络安全政策，便已经全面采用零信任作为防御的主要模式，其他也有许多国际大企业和其他国家，开始将这一架构纳入其安全防护计划中。

随着全球网络环境的不断变化，零信任将在未来的安全框架中扮演愈加重要的角色，传统的安全防护模式，已经无法应对日益复杂的网络威胁，这使得零信任架构成为当今网络安全的关键解决方案之一。

随着各种数据外泄事件频繁发生，John Kindervag表示，企业对于数据保护的需求变得越来越迫切，而零信任不仅适用于数据保护，还可以灵活应对实体基础设施的安全需求。

在过去几年中，也发生数起重大数据外泄事件，这些事件则揭露了传统安全措施的缺陷，并强调零信任架构的重要性。

例如，某个大型企业的S3云端数据库，因为配置错误导致数据外泄，根据诉讼文档的显示，这并非是单纯的技术失误，而是由于公司高层，故意放松了安全限制，以便能够加快开发进度。

John Kindervag认为，这种错误的安全观念就暴露出，企业过度依赖传统安全措施的风险，他也强调了，零信任架构对于保护企业内核数据、资产的必要性。

正如美国特勤局保护总统的策略一般，零信任架构同样关注「保护面」的安全。

这种方式，要求组织不仅仅是保护整个网络，而是专注于具体的数据、应用、资产或服务，确保这些内核资产得到最严格的保护。

他强调，零信任架构的理念强调「永不信任，始终验证」，将每个进入网络的用户或设备视为潜在威胁。

 相关报导  导入零信任架构的五步骤：从内向外的安全策略