“零信任网络”一直是圈内热议的话题，近年来为其摇旗呐喊、擂鼓助威者日益增多，有人认为未来零信任架构必定会彻底取代VPN。例如著名咨询机构Gartner曾在《零信任网络访问市场指南》中预测2023年将有60%的组织采用ZTNA（SDP）取代VPN技术。

对于零信任未来的发展前景，圈内基本没有多少反对的声音。但是，对于“零信任网络”如何真正在企业落地并发挥作用的讨论却从未停止。特别是2020年新冠疫情爆发，VPN资源消耗和卡顿的问题被成倍放大，似乎已经难以适应未来远程办公的需求。

为了进一步探究零信任网络的发展和落地，在2020年第四季度，安在特邀圈内专业人士齐聚一堂，以“零信任”为主题进行总结、分享，力图以恰逢其时、恰如其分的脑力碰撞，给创新厂商技术分享和企业用户规划建设带来最直接而实效的针对和参照。

嘉宾合影留念

值得一提的是，为了让更多专业人士更好地参与进来，安全新媒体拟定在北京、上海、深圳等地，举办4场零信任主题系列沙龙活动。2020年10月24日，零信任网络安全创新沙龙第一场活动已在北京成功举办。

本次活动由北京诸子云负责人黄乐主持，蔷薇灵动CEO严雷，派拉软件创新中心总监吴良华，易安联解决方案总监张晓东，完美世界安全总监何艺分别发表主题演讲，分享在零信任网络中的创新思考与实践。

参与活动的嘉宾分别来自中天通信、民生银行、中石化、贝壳找房、央视网、北京公交集团、农业银行、途游、阳光保险、祖睿科技、中国电信、三一重工、中国移动、陌陌、航天云网北京公交集团的安全专家、安全部门负责人和技术骨干。

此外，本次沙龙活动还设有互动抽奖环节，奖品包括大疆航拍机、华为无线耳机、华为智能手表。

零信任与微隔离实战之路

蔷薇灵动CEO 严雷

零信任架构的理念核心是将传统以网络为基础的信任，变为以身份为信任的机制，零信任不是信任，而是指从零开始建立信任。而微隔离是零信任网络的基础构件，是数据中心内部的零信任。

在严雷看来，零信任不是一种产品一个技术，而是一套方法论，定义了一种全新的安全管理理念。零信任也不是一个项目，而是一个持续性的工作，是一个不断深化与细化的过程，你只能不断提升你的零信任水平。最关键的是，零信任不只和用户有关，不只在办公网适用，它的理念始终是围绕着关键数据和关键业务开展的，只要有数据流动的地方，都适用零信任管理思想。

严雷 蔷薇灵动CEO

那么零信任和微隔离又有哪些联系？想要理解这个问题，我们需要先了解微隔离的概念。

微隔离最早由Gartner在其软件定义的数据中心（SDDC）的相关技术体系中提出。它是一种网络安全技术，它使安全架构师能够在逻辑上将数据中心划分为不同的安全段，一直到各个工作负载级别，然后为每个独特的段定义安全控制和所提供的服务。

简单来说，微隔离的场景需求主要有以下几点：

1、东西向隔离需求&可视化需求：APT与勒索病毒泛滥，而互联网边界防护对内部威胁无能为力；

2、等保合规需求：等级保护2.0明确提出对东西向流量的识别以及虚机之间访问控制的需求，但现有技术难以有效解决；

3、护网实战需求：护网过程中，面对已经渗透进内网的攻击者，缺少有效的发现与隔离手段；

4、跨平台精细化安全管理需求：多用户，多应用混合部署，无边界访问。

根据观察Gartner对于微隔离在国外市场的演进，2018年，微隔离首次超过web安全网关，进入主流市场。目前已经连续三年被评为十大安全技术，并且成为了网络安全的主流技术。

而微隔离对于零信任的重要之处在于，创建微隔离是零信任解决方案的关键功能。换句话说，企业想要做好零信任网络，那么至少应该先做好微隔离。

2018年，Gartner发布了《Zero Trust Is an Initial Step on the Roadmap to CARTA》报告，将微隔离技术纳入PPDR体系的Prevent中，作为基础技术之一。

2019年，中国信通院发布中国网络安全产业白皮书，其中就曾提到，“微隔离技术实现对工作流细粒度隔离和可视化管理，正在成为虚拟化环境下网络隔离优选方案”。

这也就意味着，微隔离正在助力云计算走入零信任时代，而想要真正实现微隔离，就需要五个步骤，依次是定义、分析、设计、防护和监控。

1.定义：明确要实施微隔离的基础设施 ；

2.分析：以可视化方式梳理业务流；

3.设计：根据业务特征，设计微隔离网络结构；

4.防护：生成并配置微隔离策略，对被防护系统实施最小劝降访问控制；

5.监控：对主机行为进行持续监测。

专家：“微隔离产品”部署完之后，在企业客户的环境中，对于运维有哪些要求和影响？

严雷：零信任是自动化运维技术的升华，如果企业没有好的自动化运维基础，零信任也很难发挥出效果。比如蔷薇灵动之前有个客户，整个策略配置和观察只花了一周的时间，之所以这么快，是因为客户拥有良好的自动化运维基础，比如良好的资产列表，软件自动分发列表，业务上线也全部都是自动化。企业运维的体量越大，对于运维的自动化程度就越高，所能产生的效果就越明显。由于每个企业的具体情况不同，因此每个企业的解决方案也有所不一样，还需要和企业进一步沟通。

零信任架构下的企业安全

派拉软件创新中心总监 吴良华

随着企业的边界日益模糊和APT攻击让内网充满风险，传统的防御体系面临着巨大的挑战，默认和静态的信任模型需要革新。

例如网络方面存在，现有的网络在终端无需提供身份即可连接所有的资源；传统VPN的方式只对身份进行识别，无法提供对后端资源的保护等问题。

而业务方面则存在，基于RBAC的静态授权模式无法及时跟着授权机制进行调整，无法控制基于同一角色下不同属性权限的区分；而业务的访问导致需要进入受保护资源环境进行验证才确认是否有访问权限，资源地址在未知是否有访问权限的前提下仍然可见等问题。

那么，零信任架构又能给企业带来什么？

上图是零信任架构解决方案的示意图。在这个图中我们可以清楚地看到零信任架构的整体解决办法和实施路径，因此可以有效解决上文提到的企业目前面临的网络问题和业务问题。

具体来说，在网络组件与数据流方面，可信设备需要注册，可通过非对称的RSA加密方式拥有唯一标识；同时，可信设备访问受保护资源前需要携带可信信息进行SPA认证，通过后SPA组件会设置和调整可信网关的策略；SPA认证通过后，可信设备允许与可信网关建立连接，并可以访问受保护资源。

而在业务组件与数据流方面，可信设备访问受保护资源前需要进行用户身份认证；统一认证通过后进行权限策略决策，决策引擎根据可信设备、用户信息等属性进行动态评估，结合可信引擎给出的评估结果；而受保护的资源就可以实现动态获取权限信息。

企业该如何落地并实现零信任呢？派拉软件创新中心总监吴良华将它分为三个阶段。

派拉软件创新中心总监吴良华

第一阶段需要解决的问题是关于统一身份与认证，问题来自四个方面，包括普通员工的密码管理问题，应用管理员的授权问题，安全管理员的审计问题，以及应用开发的重复建设、认证混乱等问题。

第二阶段需要解决的问题是来自动态授权与细粒度访问控制，目前基于RBAC的授权是静态模式，无法对权限的变化进行及时响应，也无法满足业务上对细粒度权限控制的需求，且容易导致由于权限的问题影响业务访问的安全。

第三阶段需要解决的问题是基于设备身份与资源访问的保护，现在外部用户只要有VPN帐号就可以访问受保护资源，而无论设备是否安全，使用者是谁；内网用户任何设备都可以直接访问受保护资源，而不论使用者是否有权限等问题。

针对每一个阶段的问题，派拉软件都已经有了相应的解决方案，可以帮助企业积极构建零信任体系，助力企业更高地落地零信任体系。

边界迷失成常态 访问安全正当时

易安联解决方案总监 张晓东

随着云计算、移动互联网、IoT物联网等技术发展，使得应用和数据不再局限在内网，传统的安全边界逐渐消失，内部威胁成传统安全最大的安全挑战。

既然传统的安全边界逐渐消失，那么企业需要重新定义安全边界，通过以数据为核心的零信任安全体系取代以网络为核心的传统安全体系。

“零信任”防护体系的最终目标是实现业务安全、数据安全、基础安全、人员安全和安全合规。因此，企业必须减少因用户权限和访问权限过多所带来的风险，增强组织的数据安全性，并使用一系列控制措施确保威胁无法在组织基础架构中横向移动；不设置默认可信区域，基于用户环境、数据敏感性、应用程序安全性和设备状况的，细粒度的访问策略实施；最后将安全边界从“网络”下沉到细分的应用系统层面，实现“端到端”安全访问。

对此，易安联在CSA云安全联盟标准SDP架构的基础上进行了能力扩展，形成易安联端到端数据安全零信任解决方案，安枢—安界—安众三者将共同组成稳固的黄金三角，加上端侧安全容器、态势感知、数据库审计等能力。这是端到端零信任安全解决方案，确保业务流程遵循零信任理念。

其中安枢包括统一安全策略与控制中心，实现用户认证、配置管理、访问策略控制、可视化运维和用户行为分析等；安界包括统一应用发布平台，实现传输隧道管理、应用访问代理、隐藏保护应用和安全策略执行等；安众包括统一应用安全访问入口，实现web应用和C/S应用的统一安全接入、定制化安全浏览器和国密传输保护。

易安联解决方案总监张晓东

易安联解决方案总监张晓东表示，易安联EnSDP解决方案可以帮助企业构建安全的访问体系，具备全方位数据安全防护和可信环境感知能力。

值得一提的是，EnSDP解决方案中的EnBox可信安全容器可为客户提供可信终端工作环境，支持多安全级别的容器作为不同工作平台。容器内文件加密存储、网络通信加密传输，容器内外环境、容器之间数据和进程隔离；可通过控制器下发应用黑白名单、容器清单等策略来限制用户可操作应用及数据的权限。

零信任设计、实施到运营之路

完美世界安全总监 何艺

一直以来，游戏行业都面临着严重的安全风险和挑战，例如黑客入侵风险、代码安全风险、数据安全风险、业务安全风险和合规安全风险。例如日益频发的APT攻击让企业时时刻刻处于威胁之中，也让安全人员疲于奔命，一次次成为救火队员，却无法从根上有效解决该问题。

传统安全方案基于隔离思想构建，基于业务安全级别的区域划分，以网络层隔离手段为主，因此面临着边界被打破，横向攻击难以防护，合法权限复用难以防护，安全检测盲点等问题，在用户、终端设备、应用和服务器四个方面都存在较多问题。

而零信任安全的不同之处在于，它的内外网全部默认不信任，通过将身份、设备、应用、链路组成完整的信任链，以集中、多重授权的方式进行权限划分，通过动态的访问控制实时对安全状态进行校验，可以最大程度降低安全风险。

那么，企业该如何真正实现零信任呢？

首先，零信任的问题场景主要有两类，包括用户对资源的访问和服务之间的调用。不同场景所参与的要素和解决方法是不一样的，完美世界在用户对资源访问的技术实现方式上是参考了多种方式来综合解决，并非照搬NIST、Gartner的方式。

核心的零信任理念是持续、动态验证，是以身份为基础，用户、终端设备、链路、资源全部安全可信，并以此建立用户、终端设备和资源权限的信任链，进行持续、动态的检验，确保信任链安全可信。

而在服务之间调用场景，场景的实现方式分类是基于gartner的分类方式，包括云原生控制、第三代防火墙、代理模式和混合模式。

何艺表示，一直以来完美世界都非常重视安全体系的建设。早在2105年就开始尝试研究零信任，在2016年进行第一阶段开发和落地，2017-18进行第二阶段落地，2019年实现完整的闭环，并且在2020年持续迭代、优化。

完美世界安全总监何艺

下图所展示的是零信任实现架构，从图中我们可以看到，在零信任架构中的模块主要包括Agent、网关、策略中心和SOC平台等。

而在零信任架构下目前已经取得了相应的效果。例如在用户层可实现100%用户覆盖和去静态密码化；在终端层可实现集团终端覆盖、资产可控和安全准入；在资源层可实现700+应用与后台接入和权限集中控制+分级控制；在应用场景中，可实现疫情远程办公支持、零信任运维堡垒机和全链路安全审计，有效解决了传统安全方案留下的痛点问题。

“本次沙龙活动议题PPT，可至诸子云知识星球获取。”

最新一期沙龙上海站，下周六（11.7），欢迎报名

齐心抗疫 与你同在