零信任:网络安全的本质及企业零信任战略部署

导语：

零信任这个词自从被提出来，就被各行业所追捧，很多大公司也很早的进入了实践。零信任以“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型，能够有效帮助企业在数字化转型中解决曾经难以解决的难题。

零信任是什么？

我们该如何理解零信任呢？网民在使用互联的时一定遇到过各种验证方式，如短信、图形、人脸识别等。但是以上的这些都是传统意义上的单次登录、默认信任的方式。但是零信任则不同，它默认来自 互联网内外的任何用户及设备都是不可信的，并要求任何用户及设备在试图发起访问请求之前，都必须经过身份验证和授权。

与此同时，用户被授予的权限是按最小化分配原则进行分配的，值得注意的是，基于零信任的身份验证是动态且持续的，访问过程中一旦安全检测出问题，用户及设备将随时被切断访问。可以这样说，在零信任安全的架构下，用户是“全面身份化”的。

零信任安全的本质是什么？

为什么在零信任安全架构下，用户要全面身份化呢？这就要从零信任安全的本质说起了。零信任其本质是以身份为中心的动态访问控制。

零信任安全架构思的核心思想是：默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础，从网络中心化走向身份中心化，其本质就是身份为中心进行访问控制。

如贝锐旗下的蒲公英零信任架构就是主要通过对访问身份权限的动态管控，对访问成员持续进行信任评估和动态的访问控制，最终实现业务安全访问，其核心实践包括：

1、以身份为中心

通过身份治理平台实现设备、用户、应用等实体的全面身份化，从0开始构筑基于身份的信任体系，建立企业全新的身份边界。

2、业务安全访问

所有的业务都隐藏在零信任可信接入网关之后，只有认证通过的设备和用户，并且具备足够的权限才能访问业务。

3、动态访问控制

访问控制需要符合最小权限原则进行细粒度授权，基于尽量多的属性进行信任和风险度量，实现动态自适应访问控制。

零信任安全的基石是什么？

在零信任安全架构下，身份是为访问控制服务的。因此，需要对参与访问控制的各主体、客体进行全面身份化，这就是零信任安全的基石。全面身份化包括：用户、设备、应用和接口等都需要具备唯一的数字身份。

为什么要进行全面身份化？这是因为，在传统的信息系统和网络世界中，人、机是主要的参与实体，机器大多可以通过机器名、网络地址等进行标识，而为了实现记账和访问控制等功能，人也需要一个标识，那就自然而然的为每一个人在系统中创建一个账号，并将这个账号等同于数字身份。

如今这个狭义的身份范畴已经跟不上时代了，至少包括如下两个方面：

1. 身份的实体范畴不仅仅是人

2. 身份不等同于账号

在现代身份治理框架下，核心逻辑之一就是关注身份、账号、权限三个平面及其映射关系：为物理世界的人/物创建数字身份并关联对应的身份生命周期管理流程、梳理关联各业务系统账号和身份的属主关系、控制各个账号的权限分派实现基础授权。

企业实施零信任有什么好处？

01管控风险

零信任战略与实施可以帮助企业降低运营风险。零信任的永不信任始终验证思路和机制，不论是较难防的APT高级持续威胁还是内鬼管理员，因此有效地降低了总体安全风险。

02降低成本

零信任模式大大降低了安全事件的数量，使得企业能够节约时间与人力资源来迅速恢复少数的安全事件。总体来讲，实施零信任的企业所降低的成本可能会足以弥补其对零信任的投入。

03业务敏捷

零信任摈弃了静态边界防御的慢速与不方便的检查，安全不再是业务的绊脚石，业务能更快上线或更快地让用户使用到，给用户带来更好的安全体验。

04安全合规

零信任的动态防御思路与新出台的重要安全法律、法规、标准的动态防御思路不谋而合。

05有效控制

在实施零信任的企业中，IT部门可以获得对企业资源更有效的控制，不论资源是分布在企业内部各部门，还是在公有云、混合云，多云环境中。

06改善管理

对于那些在数字化转型过程中依赖软件与应用的组织机构，零信任不仅通过可视可控使各部门的负载与应用便于被管理，而且还能更好地适配业务的优先级，并减少各组织部门之间的工作摩擦。

零信任的企业实践-蒲公英

如今，企业对于零信任的需求越来越旺盛，贝锐旗下蒲公英SD-WAN的零信任安全网络访问解决方案在实践得到了认可，我们可以看其在应用场景中的特色。

1、远程移动办公

移动办公让外部访问量激增，而企业访问边界的模糊化和访问设备的可信度管控缺失，导致企业数据安全面临较大挑战。蒲公英基于SD-WAN的零信任安全访问就能快速接入，重建企业网络访问边界，加强网络安全。

2、混合云业务部署模式下的数据安全保障

大部分企业的业务部署选择混合云的方式，内网数据外网访问难，外网数据安全保障难已成为大多企业的难题。零信任提倡对于所有身份进行授权访问，并动态监控授权身份的访问行为，所有帐号无差别信任与认证，保障网络安全访问。

3、数字化转型趋势下重塑企业安全边界

企业数字化转型已成为必然的趋势，这种情况下，业务平台及员工身份属性的多样化将越来越强烈。蒲公英基于SD-WAN的零信任在此基础下可重塑信任体系及访问策略，有效内外访问成员的安全属性进行监控。

总结下来，蒲公英的零信任解决方案对于企业的价值在于：快速部署，简单运维；高性价比，降本增效；加快企业数字化转型；统一策略管控中心；基于身份安全，内外防御。

零信任，不是没有信任，而是基于数字身份更安全地访问需要被防护的数字资源。实施零信任的目标也从来不是把企业的安全事件降为零，而是为了让企业能更好地平衡安全与业务，在数字化转型中，安全与发展双轮驱动不致掉队。