兄弟们,今天聊个硬的。NSA 今年 1 月丢出了第一版 Zero Trust Implementation Guidelines(ZIGs),这玩意儿在圈子里炸了锅。我啃了啃那份 Primer,又翻了翻社区里那些吵翻天的帖子,发现一个事实:绝大多数人理解的零信任,从一开始就歪了。
别急着上微隔离,别急着买 SASE 订阅。NSA 这套指南核心就一句话——“Activity Level” 才是最小单元的信任锚点。不是你那个破 VPN 换了个时髦的名字就叫零信任了。
零信任的"活动级"信任:NSA 没明说的潜规则
ZIG 方法论里反复强调一个概念:Activity Level 是信任评估的最低粒度。 什么意思?传统思维是"这个人是谁"——身份决定权限。零信任应该是"这个人现在要干什么,在这个设备上,从哪个网络位置,访问哪个资源"——每一次操作都是一次独立的信任判断。
我们团队去年在微服务改造里卡了三个月,就是死磕这个。你给一个运维开了 SSH 权限,他今天正常巡检,明天可能被钓鱼后从内网发起横向移动。身份没变,上下文变了。NSA 的 ZIG 要求你针对每一次数据库查询、每一次 API 调用、每一次文件读取重新评估信任。
Hacker News 上有人吐槽这条落地太难,说"这等于每个请求都要过一遍策略引擎,延迟直接爆炸"。没错,这是真痛点。我们实测下来,P99 延迟从 12ms 飙到了 210ms——直到我们上了本地策略缓存 + 异步审计日志,才压回 45ms。
五大实施阶段:别跳过任何一步
NSA 把落地拆成了五个阶段,我按自己的实战经验重新翻译一下:
| 阶段 | NSA 官方叫法 | 我理解的核心 | 常见翻车点 |
|---|---|---|---|
| 1 | 定义保护面 (Protect Surface) | 搞清楚你到底要保护什么资产 | 把整个内网当保护面,等于没做 |
| 2 | 映射交易流 | 谁跟谁通信,数据怎么流 | 靠猜不靠流量抓包,上线就崩 |
| 3 | 构建零信任架构 | 设计策略决策点和策略执行点 | 策略引擎单点故障,全网瘫痪 |
| 4 | 制定零信任策略 | 最小权限原则的精细化落地 | 权限切太碎,运维每天在审批 |
| 5 | 监控与运维 | 持续验证,自动响应 | 告警太多,被运维直接静默 |
阶段 1 是最大的坑。 很多团队上来就说"我们要全公司零信任",然后买一堆设备。NSA 的指南很聪明——先找你的 Crown Jewels。对我们来说就是客户数据库和支付 API。先给这两个上微隔离,其他的慢慢来。
社区真实声音:零信任的"反人性"设计
HN 上有个帖子讨论 CambiOS(一个基于 Rust 的零信任操作系统),虽然只有 8 分,但评论里有句话我特别认同:“Zero trust is fundamentally anti-human. We want convenience, it demands friction.”
这是实话。零信任的本质就是在用户便利性和安全性之间不断加摩擦。你每次访问都要 MFA,每次请求都要重新授权,这他妈就是反人性的。但没办法,2026 年的威胁态势——API 滥用、AI Agent 越权、供应链投毒——逼得你不得不这么做。
另一个帖子讲 Anthropic 对 AI Agent 的零信任测试,有人指出 Bearer Token 方案根本不行。AI Agent 会自己调用自己,token 泄露了都不知道。我们内部测试 AI 代码助手时也踩了这个坑——agent 拿到 token 后能访问生产环境的日志,差点出事。解决方案是给每个 agent 绑定临时凭证,有效期 15 分钟,且只能调用预定义的 API 白名单。
FAQ:常见问题硬核解答
问:零信任一定要上微隔离吗? 答:不一定。NSA 的 ZIG 强调保护面先行。如果你的关键资产只有两个数据库,用网络 ACL + 应用层认证也能做到 80% 效果。微隔离是手段,不是目的。
问:SASE 和零信任是一回事吗? 答:不是。SASE 是网络架构,零信任是安全模型。很多厂商把 SASE 包装成零信任,但 NSA 的指南明确指出——零信任的核心是策略决策点(PDP)和策略执行点(PEP)的分离,不是换个 VPN 客户端。
问:小团队怎么落地? 答:别想一步到位。先用阶段 1 找保护面,然后手动映射交易流。工具方面,开源的 OpenZiti 或 WireGuard + OAuth2 Proxy 可以低成本起步。别上来就买几百万的商业方案,大概率吃灰。
问:AI Agent 怎么纳入零信任? 答:这是 2026 年的新挑战。我们做法是:每个 agent 有独立的服务账号,权限按需申请且自动过期,所有 API 调用必须经过策略引擎。关键点:agent 不能自己修改自己的权限。
最后说两句
NSA 的 ZIG 是个好东西,但别当圣经。它面向的是 DoD 和 NSS 社区,那个级别的合规要求(比如 Target-level maturity)对普通企业来说太重了。我建议的做法:拿它的方法论,砍掉 70% 的合规要求,保留核心的"活动级信任"理念,先在一个业务线试点。
零信任不是买来的,是磨出来的。别被厂商的 PPT 忽悠了。