☝戳链接了解本期征文详情

刘欢

某互联网公司安全负责人，曾参与过运营商、金融、军工等行业安全评估建设。目前主要负责企业内部安全防护体系的建设，主要研究方向为基础安全与数据安全。

01

写在前面

互联网早期兴起时候，没有考虑到会发展成为今天的规模。所以在网络设计时候也没用考虑其安全性。随着互联网以及物联网的发展，使用网络的人越来越多，而人又有分善恶之分于是也就有了江湖。

伴随着互联网技术发展，安全威胁攻击技术也在“与时俱进”，APT、勒索病毒等诸多攻击手段方式层出不穷，这个时候传统基于“墙”所构建的局域网络已经变得越来越不安全了。于是也就有了零信任网络的提出。

02 

传统网络

传统网络是基于网络边界隔离与我们过去建设城堡的思路是一样的。通过一道道“墙”构建的一个防御模型，从而隔离内外网，分区域设置不同安全策略及对应检测防御手段。不可否认它在过去的确起到了很大的作用。但是其潜在的风险也是不可忽视的，依赖于对内部的信任维持边界网络模型，将网络安全性寄托与边界防护及区域隔离而忽视了人的因素。

明朝修了几百年的长城,终究还是因为“内鬼”没能抵挡女真的骑兵进入关内。今天的攻击手段层出不穷鱼叉攻击、水坑攻击、横向渗透等等攻击方式不停的演变。

03

零信任网络架构

零信任核心是企业内外部任何人、设备等任何访问主体均是不可信的，应对任何试图接入客体网络访问资源的人、设备等进行验证。

目前基于的技术常见的方案有软件定义边界、身份治理、微隔离等。因为网上及之前的几篇分享都有对零信任具体架构的详细介绍，当然也可以参考《零信任网络》这里就不再赘述了。

04

落地探索举例

在笔者进入现在所在公司时候，最初也是不无例外的构建“墙”，构建层层检测防御机制。但是随着对公司业务场景的深入了解，慢慢发现传统网络完全无法适应公司业务模式。于是开始去尝试基于零信任的思路逐步去改造从而达到安全目的。

公司是三总部，配合全国及东南亚多节点模式，包含诸多区域分支，门店，城市合作方等网络结构较复杂。依赖VPN、IP-SEC所构建的网络无法满足现有需求。部分城市工区较小，基于成本考量又不可能所有门店、区域办公地点都部署形如上网行为、防火墙、DLP、APT检测等设备。如果全国汇总到一个点又会造成带宽瓶颈、网络单点故障等问题。

首先是对系统的分类划分；

然后是网络架构的调整，过去需要访问线上服务必须所有请求必须通过IPsec或VPN转到北京再去访问内部网络。调整为除低频高敏感系统需要通过VPN拨入南方或北方总部，其它系统在通过安全改造后直接通过互联网直接访问；

对于非高敏感系统，我们结合应用网关实现了做了以下探索：

基于用户身份进行统一识别认证，增加OTP认证；

通过身份认证后，进行权限校验；

最后完成对数据权限的鉴别；

整个过程还会对日志数据进行异常审计。

上述只是针对应用网关一个落地案例，目前在实际中还会有设备准入、设备基线检查、弱口令检查、标准化软件检测等。但是所有改造或安全的投入都是基于一个原则，提高安全性同时提升业务体验。

05

后记

笔者认为不管零信任还是SDL等等并非是一个具体的技术，只是一种设计参考模型或者说是一种架构思路。如果为了零信任而去做零信任那大可不必。毕竟我们做企业安全的根本问题是解决企业实际问题，而每个企业由于规模不同其基础设施、技术架构也不同。所以将零信任思路融入企业安全建设中去与企业内部基于内部实际基础设施去改造才是真理。

注：本期征文延长一个月，即到2021年1月底。

三月主题：《数据安全面面观》

四月主题：《一个人的安全》

五月主题：《网络安全“值钱”吗》

七月主题：《社工记》

十月主题：《攻防演练实务》

十一月主题：《不会做规划，怎么做安全》

六月主题：《红蓝对抗中的心理博弈》

九~十月主题：《POC轶事》

十一~十二月主题：《零信任》

齐心抗疫 与你同在