首頁 > 關于我們 > 新聞動態 > 深度解讀

從“疫情防控”視角來看“零信任”重要性

發布時間 2021-08-02

新冠肺炎疫情自2020年春節前夕“洶洶”來襲至今雖一直存在,但處于持續向好態勢。近日卻因一趟航班引發機場防疫失守,多條傳播鏈令疫情擴散全國,再次牽動全國人民的心。


1.png


暴露的防控弱點值得深刻反思……


疫情不斷變化,時間就是生命,拼的是檢測、響應速度。與生物安全同為國家安全體系的網絡安全,也有類似洞察。


動態安全模型的雛形P2DR,可以用數學公式來表達安全的要求,既:Pt>Dt+Rt。


P2DR模型給出了安全的明確定義:“及時地檢測和響應就是安全”,“及時地檢測和恢復就是安全”。


這樣的定義為安全問題的解決給出了明確的方向,即提高系統的防護時間,降低檢測時間和響應時間。


圣塔菲研究所經濟學家布萊恩?亞瑟專門研究技術增長的動態過程,他認為所有的新技術都源于已有技術的組合。

——凱文?凱利:《必然》


全球知名咨詢公司Forrester提出“零信任”一詞,并繼續闡述了其七大支柱。但筆者認為零信任不過是P2DR模型思想的重混,其核心思想依然延續著P2DR模型。


七大支柱中的“可見性與分析”、“自動化與編排”就是檢測與響應,它們用雙環串起了相對獨立的負載、網絡、設備和人,無時無刻地強調檢測和響應。


可見性與分析:SIEM、UEBA等,能夠實時地觀察正在發生的事情并更智能地定向防御;


自動化與編排:編排連接安全平臺,并協助管理不同的安全系統,以集成的方式工作,大大減少體力勞動和事件反應時間,并降低成本。


2.png


怎樣理解“檢測”?


以某市為例,在當地出現確診病例后,通過對確診患者進行流行病學調查,研判其密接者、次密接觸者,迅速采取了重點區域相關人員核酸檢測行動。


同步劃定不同等級疫情風險區域,并對這些區域采取隔離、場所消殺、人員定期核酸檢測和居家隔離等“響應”措施。


在“抗疫情、抓經濟、促發展”和“疫情防控精細化管理”需求的驅動下,不能因為某地出現了確診病例就封鎖整個城市,拒絕一切與外部的人員往來。


早在去年疫情爆發之初,黨中央就要求通過強化社區防控網格化管理來打好疫情防控阻擊戰。


社區網格化管理的最大特點是把城市的街道和社區按照一定標準細化分成若干“格”以實現分條塊管理,從而提高社區服務管理的精細化水平。


這種精細化到小區、樓棟、單元的隔離措施類似于零信任的微隔離技術。


零信任廠商Illumio將微隔離進行了稱之為“自適應隔離”的拆分,實現了粗粒度隔離、微隔離、納米隔離、用戶隔離等不同隔離級別。


3.png


以上是發生疫情城市的“響應”措施,那么其他城市會采取什么“響應”措施呢?


目前主要的措施之一是增加對來自疫情城市人員的限制。


具體來說,這些從疫情城市出發的人員到了目的地城市的機場、車站、碼頭、公路出入口等,除了常規的測量體溫、出示健康碼、行程碼外,還會被要求提供48小時內的核酸檢測陰性記錄方可進入;這只是開始,這些人員將由目的地城市相應社區持續跟蹤,如48小時后會被要求再次進行核酸檢測、健康狀況隨訪等。另一種極端“響應”則直接不接待14天內有疫情旅居史人員的到訪,就地勸返。


在零信任視角下可解讀為訪問環境信任值下降,導致主體在訪問客體過程中被要求經過多因子認證后方能訪問,訪問過程中對主體進行持續自適應信任評估,隨時準備阻斷其訪問,甚至因訪問環境信任值過低,直接拒絕其認證和后續訪問。


因此,這些疫情期間精細化防控方式和零信任“從不信任,始終驗證”的理念不謀而合。


如果只是在目的地城市機場、車站、碼頭、公路出入口,這些“邊界”上做檢測,而不落到社區進行持續健康狀況評估和響應的話,可能會產生嚴重的后果。


安全,是人類最基本也是最重要的需求,網絡世界中的安全原則同樣適用于物理世界,反之亦然。


應該始終假設網絡充滿威脅;

外部和內部威脅每時每刻都充斥著網絡;

不能僅僅依靠網絡位置來建立信任關系;

所有設備、用戶和網絡流量都應該被認證和授權;

訪問控制策略應該是動態的基于盡量多的數據源進行計算和評估。


在安全問題聯動性、跨國性、多樣性突出,傳統安全與非傳統安全威脅相互交織,生物、網絡等安全挑戰明顯上升的今天,要求我們在做好防護的同時,集結群體智慧,為找出緩解與消除威脅之道付出持續努力。

上一篇 下一篇