引言

“零信任”这个词被炒得沸沸扬扬已经有些年头了。 SASE、ZTNA、强化 IAM 等提法听起来像是新时代的魔法。然而在一线工程师看来,往往只剩下“不过就是把认证收紧了吧?”的冷淡。

零信任究竟是全新的安全范式,还是只是一句流行词?这篇文章尝试批判性地拆解它的真面目。

边界安全这个前提

先回顾传统的安全模型。 IPv4 时代的局域网仰赖私有地址空间与 NAT 的保护,外部几乎无法直接访问。再加上一层阻挡“外到内”通信的防火墙,“守住边界就代表内部安全”这一前提长期奏效。

这个模型非常强大,从 1990 年代直到 2010 年代确实支撑了互联网的安全。 “只要连上 VPN 就一路绿灯”——这就是典型的边界安全思维。

零信任为何受到关注

然而局势已经改变。

云和移动的普及

员工会在家里、咖啡馆使用 SaaS,企业边界变得模糊。

内部作案与恶意软件横向扩散

一旦入侵成功,局域网内部就像“信任孤岛”般毫无防备。

Google BeyondCorp 的影响

Google 提出的 BeyondCorp 模型被视作“打破边界的新安全”,吸引了全世界的目光。

于是“零信任”这面旗帜走上舞台。 “谁都别相信”这样的口号冲击力十足,也让经营层深受震撼。

关于零信任的误解

事实上,NIST、CISA 等机构从未提出“彻底丢弃边界”的主张。 他们强调的是:“迁移必须分阶段,多数组织会采用边界与零信任并行的混合模式。”

那为何会流传“万能理论”?

  • 厂商希望把自家产品套件包装成“实现零信任的必需品”。
  • Google 的案例被误读成“谁都能照抄的万能模型”。
  • 发生事故后,总有人用“如果有零信任就能防住”当作事后诸葛的口头禅。

也就是说,零信任作为思想是站得住脚的,但作为流行语却被夸大了。

“不要边界”论的陷阱:只要富客户端存在就离不开边界

这里有一个关键议题。 如果所有人都用瘦客户端,不在终端保留数据,那么零信任设计确实相得益彰。 但现实中的企业依旧在业务中大量使用富客户端(全功能 PC)。

富客户端会在本地保存应用与数据;终端一旦中毒,就会带着合法认证向内部横向扩散。 要阻止这种扩散,归根结底仍然要依赖防火墙、分段等偏向边界的控制

所以“零信任 = 不要边界”是误解,真正的设计课题是如何最优化边界的厚度

到底什么是零信任?

这么整理下来,零信任的本质其实很简单。

  • 被误解的形象 “魔法般的新技术” “彻底废除边界的革命” “万能解法”

  • 真正的内涵 抛弃“只要在局域网里就自动安全”这种甜蜜的前提 把认证、授权、终端校验、日志监控等既有技术组合起来,落实一套消除信任前提的安全运营设计

要素技术本身并不新鲜。

  • MFA(多因素认证等)
  • SAML、OAuth 等认证联动
  • MDM(移动设备管理)
  • EDR(端点检测响应)
  • CASB(云访问安全代理)
  • SASE(云化网络与安全一体化平台)

这些机制早就存在。零信任不过是把它们重新捆绑,打出一面旗号。

结论:零信任真正的价值

零信任是流行词?还是技术? 答案是:“它是把思想打包成的流行词,但在重新审视前提这点上确实有价值。”

如果有人问“什么是零信任?”,我会这样回答:

**放弃‘局域网等于安全’的旧前提,把要素技术串联起来,去实现一套‘消除信任前提’的安全运营设计。**否则现实根本站不住脚。

它不是魔法般的新技术或新产品组合。但当我们剥去夸张的故事后,作为一种“设计思想”所剩下的价值,可能正真实存在。

FAQ(常见问题)

Q: 零信任和 VPN 有什么不同? A: VPN 是“进入边界的钥匙”,一旦进入内部就会被信任。零信任则是在进入内部后仍持续进行认证与监控。

Q: 零信任会让现有防火墙过时吗? A: 不会过时。为了防止终端(尤其是富客户端)感染后的横向扩散,边界式控制依然重要。

Q: 中小企业也能导入零信任吗? A: 可以逐步推进。从启用 MFA、强化日志监控等局部措施开始就行。

Q: 零信任是新技术吗? A: 技术本身并不新。它是把现有技术重新组合,并以一种思想进行再定义。

相关链接