【资料图】

最近几年一种名为“零信任”的访问控制模型非常流行。在“零信任”模型下，任何对资源的访问和操作都要单独鉴权，而不因所在位置等发生改变。换言之，无论是在办公室里还是街角的咖啡厅中，职员想要访问公司的资源，都需要经过一模一样的程序。我们今天来聊聊零信任和航空公司的业务之间的契合度，并探讨这一模式在航空公司业务系统中的应用。

要想明白“零信任”这个主题，我们就必须先从访问控制机制讲起。访问控制机制可以分为三个部分：鉴权Authentication、授权Authorization和审计Audit： 鉴权（又称身份认证）的核心是“明确访问者的身份”。 例如，公司前台需要公司访客需要登记身份证件才能进入公司。 授权的核心是“明确访问者可以进行的动作”。 例如，公司访客需要有员工陪同才能在公司内走动，否则只能访问特定的几个场所（例如大堂或咖啡厅）。 审计的核心是“明确访问者实际上进行的动作”。 例如，有些访客可能中间去上了个厕所，有些访客可能偷偷溜去抽了根烟，有些访客可能进入了不应该进入的地方。

通常而言，访问者获得的授权可以持续一段时间——例如一个访客获得了访客出入证以后，这个出入证及其相关的授权直到他踏出公司大门交回出入证都是有效的；如果一个员工获得了员工出入证以后，直到他离职交回都是有效的。

同时，公司内部的不同部门还有不同级别的认证。例如进大门往往需要工卡（或者脸）；开电脑需要指纹和密码；而进入核心机房需要脸、指纹、密码和工卡。在网络世界也是一样的。员工要想访问公司资源，首先要人在公司或者连接VPN，才能访问内网；然后在内网中，还要根据业务系统的重要性，完成进一步的身份验证和授权。

在一些从业者看来，这种模式显然过于宽泛。一方面，时间上的粒度控制可以做得更细，每次认证授权的持续期限可以更短；另一方面，为了访问而进行的多次、分步的认证授权可以合并到一步。在实体办公的场合，这相当于有一个保安每个小时会把你抓出大楼重新刷卡，同时你还可以直接从马路上进入公司核心业务系统（只需要脸、指纹、密码和工卡同时通过就行）。

这两种思维的合并带来了零信任理念。零信任体现在两个尺度—— 在时间上，每次认证授权仅供当次访问使用 ，下次访问需要重新认证授权； 空间上，无论从什么地方访问，都不能免除鉴权和验证步骤。

零信任主要带来了两个方面的好处。 第一个方面是公司对员工和访客的权限控制确实更加细化了；而另一个方面则是公司可以免于架设内网，直接在公网上以加密技术通信。 考虑到现在的加密技术足以支持银行级别的业务保密性（Confidentiality）和完整性（Integrity）需求，而互联网的可用性（Availability）也可以接受，因此零信任带来的免于架设内网的好处确实为其积累了一些客户。

但是，将一个服务直接暴露在公网上会带来的风险当中，有一些风险是无法被零信任化解的。例如，某一家公司的机要室大门使用工卡+指纹+人脸+密码的超复杂机制保护，但是有一天这扇门坏了，关不上。如果机要室大门直接对着大街（互联网），这意味着攻击者既可能来自各地，也可能在攻击之后逃亡各地；但如果机要室大门对着公司内部的走廊（内网），那么即使出现了损失，也能在调查时确认攻击者的来源（必然是公司内部）和去向（必然还在公司内部）。

因此，大部分公司不会使用零信任的第二个好处——他们仍然会将设施部署在内网。但是，零信任带来的权限控制粒度的细化这个好处是它们乐意考虑的——这是公司加强权限管理的好做法。