如果疫情防控有「零信任」技术

数说君

发布于 2022-08-25 18:41:11

3860

发布于 2022-08-25 18:41:11

文章被收录于专栏：数说工作室

疫情防控太难了，即使严格按照规定动作来做，病例还是一波接一波。

想来也是，因为：

在验证“你是健康的”环节：

核酸的结果不是马上就出来的，核酸检测达不到实时，为了平衡工作生活，只能要求一段时间内有核酸，现在大部分都是48小时，因为连24小时都会产生诸多不便。
核酸的检测准确性受制因素太多，采样位置、时间、病情轻重等都受影响。

所以，技术上其实没办法证明你现在/当下就是健康的。

在隔离阻断环节：

低风险的区域内部是默认信任的，一旦有病例，很容易造成传播。
不同风险区域之间的身份核实比较难，唯一的技术手段是通信行程卡，尤其是市内不同区域之间的流动，只能靠本人承诺。

所以，当有病例后，技术上也没办法很有效的阻断传播。

当病毒入侵身体后：

病毒潜伏期间，身体本身没有什么有效的信号可以判断病毒入侵，依靠外部核酸，如前面所说，也会因为时效、采样等因素检测不出来。
疫苗的效果还有待完善，一旦中招之后，大部分还是会出现症状，并会进一步传播。

所以综上，病毒入侵之后，很容易神不知鬼不觉的会潜伏下来，然后在一个区域之间进行传播，即使跨区域需要核酸，也可能因为时效、采样等原因，没有检测出来。

这跟政策没关系，我们的政府已经在努力提升防控措施，尽可能的在防控疫情和生活生产之间做出平衡，但有些技术问题确实是解决不了的。

这很像企业的网络安全工作，外部攻击者会通过各种恶意流量请求、病毒木马植入等手段入侵内网，这在传统的网络架构下是比较危险的，因为传统的网络架构中：

网络被划分为不同的区域（VS 疫情防控的三种区）；
不同的区域实行不同的安全策略（VS 不同风险区域的管控程度不同）；
区域之间相互隔离（VS 不同风险区域之间隔离）；
区域内的流量默认信任，不做验证（VS 低风险区域的流动比较自由，48-72小时的核酸即可）；

在这样的网络架构下，一旦攻击者进入到一个内网区域，那么就很容易在这个区域内进行潜伏、渗透，最终拿下最高权限。

这是传统网络架构的弊端，2009年，科技巨头谷歌公司的一名员工因为点击了一条恶意链接，使得网络被入侵，攻击者在谷歌的内网里渗入数月，并窃取了各种系统的敏感数据。

后来谷歌重新设计了他的网络，通过一套叫BeyondCorp的零信任体系，来提升办公的安全性。BeyondCorp对内部网络和外部网络一视同仁，它认为无论内部网络还是外部网络，都是不可信任的。要基于动态的判断来控制对内部应用的访问。

这也正是零信任的基本理念。“零信任模型”（Zero Trust Model) 是2010年Forrester 分析师 John Kindervag 提出的，核心思想是: 网络边界内外的任何东西，在没经过验证之前都不予信任。

我的理解，在零信任体系下，没有可以值得被信任的，包括区域内的访问、访问的终端、身份、网络等等，所有的东西都需要进行验证。这套体系，不是简单的几个技术点就可以替代的。现在有些解决方案，试图通过某些技术点来代替零信任，那不是零信任，而是零信任里面的一个技术点。

比如，有些解决方案只是做到“网关隐身”，以前我们从外面访问内网会用VPN，VPN的隧道是加密的，但网关会暴露在外面，也出过事情。网关隐身是通过一种单包授权机制（SPA，Single Packet Authorization），可以将网关隐身起来，外面是看不到的，只有携带专门的敲门数据包、先进行认证之后，才会打开端口与客户端进行连接——“先验证再连接”。

它仅仅是零信任的一种技术，通过它，可以实现在连接VPN的时候做个验证。在零信任理念下，不仅是这一环节，从办公设备（是否安全？合规？是否可信？）、入网（身份是否对？）、连接（是否携带敲门包）、访问（权限是否对？）、行为（是否有越权、高频、外发、以及其他一些异常行为？）等等，都需要进行验证。

所以才是零信任——永不信任、持续验证。

作为企业的安全人员，不是简单引入一个网关隐身就可以实现零信任，而是需要根据公司情况进行专门的设计，比如：