15 Years of Zero Trust: Why It Matters More Than Ever

John Kindervag, Chief Evangelist, Illumio
September 22, 2025 · 6 Min Read
Source: Olivier Le Moal via Alamy

COMMENTARY

十五年前，我在Forrester Research担任分析师时首次提出了零信任安全模型。当时，网络安全仍植根于基于边界的思想，建立在"网络内部一切皆可信任"的假设之上。但现实中的违规事件却讲述了不同的故事：攻击者横向移动、利用隐式信任并轻松绕过传统防御。

在发布首份报告后不久，Dark Reading对我进行了采访并撰写了关于零信任的首批文章之一。这次对话帮助该模型突破分析师圈子，进入更广泛的安全对话领域。这个最初对破碎安全模型的挑战，如今已成为全球最广泛采用的网络安全战略。

当我首次提出零信任时，许多人仍相信安全可以依赖强大的边界，因为网络内部一切都是安全的。这种假设创造了我所称的"破碎信任模型"：内部网络是"高信任"，互联网是"低信任"，数据包从内到外移动时无需检查。然而这种方法忽略了攻击者的实际工作方式。

为解决这一有缺陷的模型，我提出了既直接又革命性的战略：永不信任，始终验证。以零信任对待每个数据包、连接和系统。微隔离、访问控制和可见性是实现这一目标的早期工具。单独来看，它们并非新概念，但共同为能够防止攻击者访问敏感系统和数据的模型奠定了基础。

2015年美国人事管理办公室的违规事件凸显了这种破碎信任模型的隐险。攻击者使用被盗凭证在OPM系统中横向移动数月未被发现，窃取了超过2100万拥有联邦政府许可人员的敏感信息。该事件向世界表明，仅靠边界防御无法阻止坚定的对手。

国会通过2016年报告作出回应，建议联邦机构采用零信任安全模型。随后，零信任成为董事会讨论和国家政策的一部分。到2021年，总统行政命令强制要求在整个联邦政府中采用。

虽然技术已经发展并提高了我们创建零信任环境的能力，但其基本原则保持不变：定义受保护表面、映射事务流、从内到外构建架构、编写策略、监控和维护系统。这五个步骤有效是因为它们专注于保护最重要的东西：敏感数据、应用程序、资产和服务。

成功部署零信任的秘诀是专注于在单个保护表面内容纳单个DAAS元素，然后逐步构建环境。

当我开始讨论零信任时，网络攻击仍以人类速度展开。如今，威胁以机器速度移动，这意味着自动化对防御者至关重要。

可见性一直是个挑战，但我们现在有了更好的工具。安全图、可视化和学习模式让我们清晰了解网络内部情况。自动化毫不犹豫地执行策略。

遏制变得关键：在损害开始时限制其影响的能力。在关键情况下控制"爆炸半径"至关重要。控制必须自动行动，而不仅仅是发出警报，执行必须以机器速度进行。

关于零信任最常见的误解是认为它可以被购买。供应商继续将产品包装为"零信任解决方案"，这混淆了市场并分散领导者对真正重要事项的注意力。零信任不是您安装的盒子或续订的许可证；它是一种思维方式和操作方式。

另一个误解是零信任有终点线。您无法"完成"零信任。它是适应、完善和加强安全原则的持续旅程。

未来将带来艰巨挑战，包括AI驱动攻击、量子计算和数十亿超连接设备。每项都将以新方式测试我们的防御。然而零信任的原则适用于所有情况。

我们必须理解网络攻击始终迫在眉睫，因此必须设计能够立即响应的系统。这意味着构建不仅发出警报而且采取行动的控制措施。在当今环境中，策略执行必须以机器速度进行。

我经常将零信任比作军事战略。孙子、克劳塞维茨和腓特烈大帝都教导说，理念持久而战术变化。正如一位军事战略家告诉我：“大多数人认为自己在采取战术时是在进行战略思考。他们混淆了战略和战术。“网络安全也是如此。防火墙、云平台和AI等技术将继续发展，但原则不变：信任是漏洞。

这就是为什么零信任继续在私营和公共部门传播。它为领导者提供了清晰的思考安全、定义可执行策略以及以相同审查级别对待每个系统和连接的方式。