本文轉(zhuǎn)載自“安在”微信公眾號(hào)

零信任作為近年來(lái)在安全圈持續(xù)火熱的概念之一，自誕生起就被譽(yù)為能夠解決“一切安全問(wèn)題”的終極手段。據(jù)Gartner的研究顯示，零信任網(wǎng)絡(luò)接入（ZTNA）將成為全球增長(zhǎng)最快的網(wǎng)絡(luò)安全細(xì)分市場(chǎng)，在2022年增長(zhǎng)36%。而在《零信任發(fā)展洞察報(bào)告（2022）》顯示，我國(guó)金融與電信行業(yè)在近三年落地零信任的企業(yè)逐年增長(zhǎng)，越來(lái)越多的企業(yè)認(rèn)可零信任架構(gòu)所提供的安全防護(hù)能力。

此外，由于國(guó)內(nèi)HW行動(dòng)涉及的單位越來(lái)越廣，對(duì)抗演練越來(lái)越貼近實(shí)際情況，很多企業(yè)的VPN設(shè)備及暴露在外部的應(yīng)用被打穿，導(dǎo)致系統(tǒng)被攻破。因此，VPN設(shè)備已經(jīng)等同于非常危險(xiǎn)的基礎(chǔ)設(shè)施。在此背景下，各甲方企業(yè)不得不尋找VPN的替代品，零信任成為企業(yè)的第一選擇。

在供給側(cè)方面，據(jù)《零信任發(fā)展洞察報(bào)告（2022）》顯示，國(guó)內(nèi)零信任供應(yīng)商圍繞網(wǎng)絡(luò)環(huán)境安全、終端安全、應(yīng)用安全和負(fù)載、數(shù)據(jù)安全及安全管理這六大領(lǐng)域建設(shè)，零信任生態(tài)環(huán)境已經(jīng)建立，大部分國(guó)內(nèi)安全廠商的零信任能力基本成熟

然而，這也導(dǎo)致國(guó)內(nèi)零信任賽道呈現(xiàn)擁擠態(tài)勢(shì)。由于疫情導(dǎo)致的遠(yuǎn)程辦公和“去VPN”化讓零信任市場(chǎng)得到了發(fā)展的空間，越來(lái)越多的安全廠商加入零信任賽道。當(dāng)下，至少有80%的廠商聲稱(chēng)擁有零信任相關(guān)產(chǎn)品，在零信任相關(guān)的各個(gè)領(lǐng)域中，都有安全廠商在尋求突破。

雖然國(guó)內(nèi)零信任市場(chǎng)已經(jīng)初具規(guī)模，但當(dāng)下的零信任產(chǎn)品在成熟度方面還有進(jìn)步的空間。這是因?yàn)閲?guó)內(nèi)零信任起步較晚，國(guó)內(nèi)安全市場(chǎng)環(huán)境與國(guó)際環(huán)境又有所不同，導(dǎo)致國(guó)內(nèi)零信任產(chǎn)品參差不齊。據(jù)某廠商專(zhuān)家表示，由于零信任在國(guó)內(nèi)發(fā)展較晚，多數(shù)廠商沿用過(guò)去的產(chǎn)品路徑開(kāi)發(fā)零信任產(chǎn)品，過(guò)去做網(wǎng)關(guān)的廠商，其零信任產(chǎn)品在網(wǎng)關(guān)方面比較強(qiáng)，同理，過(guò)去做終端的廠商其零信任產(chǎn)品在終端方面比較強(qiáng)。

組織建立零信任架構(gòu)就像搭起一棟房屋，網(wǎng)關(guān)、端點(diǎn)、身份、軟件等等就像組成屋子的各個(gè)部分，任何一部分的缺失都會(huì)讓這間屋子失去遮風(fēng)擋雨的能力。因此，如何全面地推動(dòng)和建設(shè)零信任架構(gòu)就成為很多組織和廠商的一個(gè)重要問(wèn)題。

對(duì)此，聯(lián)軟科技副總裁及聯(lián)合創(chuàng)始人張建耀表示，全網(wǎng)零信任是解決當(dāng)下零信任架構(gòu)不完整、不全面、不均衡的主要方式之一。

全網(wǎng)零信任是什么？

眾所周知，零信任概念早在2010年就被Forrester的分析師John Kindervag所提出。起初這一概念并沒(méi)有得到廣泛推廣，直到云計(jì)算開(kāi)始發(fā)展，微服務(wù)，大數(shù)據(jù)，移動(dòng)計(jì)算等新一代信息化建設(shè)得到發(fā)展動(dòng)力，組織的傳統(tǒng)物理網(wǎng)絡(luò)邊界變得模糊，零信任開(kāi)始得到重視。2017年谷歌對(duì)外宣布其基于零信任架構(gòu)實(shí)踐的新一代企業(yè)網(wǎng)絡(luò)安全架構(gòu)Beyound Corp項(xiàng)目成功完成，這為零信任在大型，新型企業(yè)網(wǎng)絡(luò)的實(shí)踐提供參考架構(gòu)。這一最佳實(shí)踐為零信任理念發(fā)展的助推劑，也進(jìn)一步促進(jìn)了零信任市場(chǎng)的形成。

據(jù)張建耀介紹，全網(wǎng)零信任就是基于谷歌的實(shí)踐得來(lái)的。全網(wǎng)零信任本質(zhì)上與其他零信任產(chǎn)品沒(méi)有太大區(qū)別，冠以全網(wǎng)二字是因?yàn)楫?dāng)下80%的零信任產(chǎn)品基于互聯(lián)網(wǎng)側(cè)去訪問(wèn)服務(wù)器和內(nèi)網(wǎng)資源，對(duì)于外網(wǎng)、云訪問(wèn)等場(chǎng)景力有不逮。而聯(lián)軟是具備從辦公區(qū)域的內(nèi)網(wǎng)、外網(wǎng)、云等全場(chǎng)景訪問(wèn)的安全供應(yīng)商，其所帶來(lái)的全網(wǎng)零信任架構(gòu)更加綜合、全面。

全網(wǎng)零信任的全面性意味著它幾乎適合所有行業(yè)，特別是對(duì)網(wǎng)絡(luò)支撐運(yùn)營(yíng)要求較高的用戶(hù)，例如金融、政府、運(yùn)營(yíng)商等等。從場(chǎng)景來(lái)看，全網(wǎng)零信任分為三大場(chǎng)景，第一大場(chǎng)景是針對(duì)內(nèi)網(wǎng)設(shè)備接入，也就是將傳統(tǒng)的網(wǎng)絡(luò)準(zhǔn)入控制升級(jí)為基于零信任架構(gòu)的內(nèi)網(wǎng)訪問(wèn)控制。這個(gè)場(chǎng)景的覆蓋面最大，因?yàn)榇蟛糠制髽I(yè)和大部分員工都會(huì)通過(guò)內(nèi)網(wǎng)接入。第二大場(chǎng)景是傳統(tǒng)的遠(yuǎn)程接入場(chǎng)景，無(wú)論是分支機(jī)構(gòu)還是遠(yuǎn)程辦公的BYOD，都可以通過(guò)全網(wǎng)零信任架構(gòu)進(jìn)行統(tǒng)一的管控和檢測(cè)。第三大場(chǎng)景是混合云場(chǎng)景，以零信任架構(gòu)對(duì)用戶(hù)接入云平臺(tái)應(yīng)用的各個(gè)環(huán)節(jié)，包括安全認(rèn)證、身份識(shí)別等進(jìn)行控制。

全網(wǎng)零信任同其他零信任產(chǎn)品最大的區(qū)別在于其核心組件具備內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入控制的能力。常見(jiàn)的零信任產(chǎn)品對(duì)待內(nèi)網(wǎng)設(shè)備和外網(wǎng)設(shè)備的策略是一致的，即在設(shè)備通過(guò)SDP網(wǎng)關(guān)時(shí)對(duì)其驗(yàn)證。這種驗(yàn)證方法雖然有效，但細(xì)粒度并不夠。對(duì)此，聯(lián)軟的全網(wǎng)零信任仿照谷歌的實(shí)踐類(lèi)型，將內(nèi)網(wǎng)網(wǎng)絡(luò)準(zhǔn)入同互聯(lián)網(wǎng)側(cè)接入策略分隔開(kāi)。設(shè)備接入前需要先驗(yàn)證基礎(chǔ)安全，才能允許接入內(nèi)網(wǎng)。細(xì)粒度的進(jìn)一步增加讓全網(wǎng)零信任的控制性更強(qiáng)，更能精準(zhǔn)把控組織內(nèi)網(wǎng)和設(shè)備準(zhǔn)入安全。

聯(lián)軟科技的三大優(yōu)勢(shì)

通過(guò)上述介紹可以看出，全網(wǎng)零信任相對(duì)于其他零信任產(chǎn)品來(lái)說(shuō)更為全面，對(duì)組織的安全也更有保障。但對(duì)于用戶(hù)來(lái)說(shuō)，一款產(chǎn)品或解決方案的好壞不單單只參考其性能，還要考慮包括成本、落地等很多因素，對(duì)此，張建耀表示，聯(lián)軟在全網(wǎng)零信任方面有三大優(yōu)勢(shì)。首先聯(lián)軟是中國(guó)端點(diǎn)安全的領(lǐng)導(dǎo)者，具備大量的用戶(hù)積累。同時(shí)，由于聯(lián)軟的全網(wǎng)零信任架構(gòu)基于企業(yè)安全平臺(tái)（ESPP）之上，在這個(gè)平臺(tái)上還包括SDP、EMM、NAC、EPP、EDR以及DLP等等。因此，企業(yè)想要升級(jí)零信任就變得非常簡(jiǎn)單。對(duì)于內(nèi)網(wǎng)準(zhǔn)入控制而言，組織只需要進(jìn)行一次升級(jí)就可以順利過(guò)渡到全網(wǎng)零信任架構(gòu)，而對(duì)于外網(wǎng)來(lái)說(shuō)，組織需要一步步替換掉所有VPN，然后將原有的VPN訪問(wèn)切換到基于零信任架構(gòu)的SDP框架中。

第二個(gè)優(yōu)勢(shì)是聯(lián)軟解決核心問(wèn)題的能力。企業(yè)在建設(shè)零信任的過(guò)程中，真正的痛點(diǎn)是數(shù)據(jù)安全。對(duì)此，聯(lián)軟通過(guò)沙箱和虛擬化的技術(shù)形成了一系列的數(shù)據(jù)安全方案，能夠真正解決用戶(hù)的數(shù)據(jù)安全問(wèn)題。另外，基于零信任架構(gòu)的復(fù)雜性和豐富性，企業(yè)若想實(shí)現(xiàn)SDP、IAM以及微隔離等全方面的零信任，就需要從身份問(wèn)題入手。對(duì)此，聯(lián)軟在全網(wǎng)零信任架構(gòu)后增加了一個(gè)簡(jiǎn)化版的IAM，利用IAM的密碼、雙因素等方面的功能進(jìn)一步解決身份問(wèn)題。同時(shí)，聯(lián)軟還將IAM訪問(wèn)哪些業(yè)務(wù)系統(tǒng)，應(yīng)用哪些數(shù)據(jù)等配置方面交給專(zhuān)業(yè)的IAM廠商，在促進(jìn)國(guó)內(nèi)零信任生態(tài)發(fā)展的同時(shí)，最大程度保障組織身份安全。

第三個(gè)優(yōu)勢(shì)就是聯(lián)軟在生態(tài)方面的優(yōu)勢(shì)，聯(lián)軟同很多業(yè)內(nèi)頭部的安全企業(yè)合作，并參與了很多標(biāo)準(zhǔn)的建設(shè)。聯(lián)軟是最早一批的CSA聯(lián)盟成員，并深度參與過(guò)早期的SDP標(biāo)準(zhǔn)建設(shè)。此外，聯(lián)軟還同華為、Forrester等企業(yè)發(fā)布了《零信任最佳實(shí)踐》白皮書(shū)，就零信任架構(gòu)的關(guān)鍵價(jià)值，零信任架構(gòu)的識(shí)別部署以及應(yīng)用案例等進(jìn)行了深入的討論。

在標(biāo)準(zhǔn)方面，聯(lián)軟還參與了國(guó)家信息中心的《政務(wù)外網(wǎng)終端一機(jī)兩用安全管控技術(shù)指南》標(biāo)準(zhǔn)的編寫(xiě)。國(guó)家信息中心作為主管部門(mén)，在監(jiān)管全國(guó)政務(wù)外網(wǎng)中發(fā)現(xiàn)政務(wù)系統(tǒng)存在著大量的“跨網(wǎng)訪問(wèn)”現(xiàn)象，政務(wù)外網(wǎng)終端可同時(shí)連接外網(wǎng)和互聯(lián)網(wǎng)，存在著極大的風(fēng)險(xiǎn)。在“一機(jī)兩用”標(biāo)準(zhǔn)的推動(dòng)下，各政務(wù)利用零信任架構(gòu)將政務(wù)外網(wǎng)與互聯(lián)網(wǎng)相互隔離，解決了政務(wù)系統(tǒng)的跨網(wǎng)攻擊、數(shù)據(jù)泄露等安全隱患。在參與建立標(biāo)準(zhǔn)的過(guò)程中，聯(lián)軟的全網(wǎng)零信任得到了充分的實(shí)踐經(jīng)驗(yàn)，在政企用戶(hù)中也得到了廣泛的認(rèn)可。

除了政企行業(yè)，聯(lián)軟的全網(wǎng)零信任在金融、運(yùn)營(yíng)商等行業(yè)都得了落地和實(shí)踐。據(jù)張建耀介紹，在金融行業(yè)中，有7成以上的企業(yè)應(yīng)用了聯(lián)軟的準(zhǔn)入系統(tǒng)，近20萬(wàn)個(gè)實(shí)踐案例讓這些用戶(hù)在向零信任轉(zhuǎn)型的過(guò)程中，優(yōu)先考慮聯(lián)軟的全網(wǎng)零信任架構(gòu)。

全網(wǎng)零信任如何落地

當(dāng)然，由于各行業(yè)及企業(yè)的實(shí)際情況不同，在落地零信任時(shí)所關(guān)注和考慮的重點(diǎn)也不同，多行業(yè)案例雖然能夠證明產(chǎn)品的廣泛性，但對(duì)于用戶(hù)而言，如何切實(shí)解決問(wèn)題才是重點(diǎn)。對(duì)此，張建耀表示，聯(lián)軟經(jīng)過(guò)多年的實(shí)踐和探索，已經(jīng)初步形成了一套完整的零信任落地方案。

首先是組織引入零信任安全的最佳時(shí)機(jī)。當(dāng)下有許多企業(yè)受制于安全環(huán)境和國(guó)內(nèi)監(jiān)管壓力，不得不采納零信任架構(gòu)。但零信任架構(gòu)需要完整可用，而完整意味著成本。對(duì)此，張建耀認(rèn)為，企業(yè)推動(dòng)零信任需要一個(gè)時(shí)機(jī)，這個(gè)時(shí)機(jī)來(lái)自于組織數(shù)字化轉(zhuǎn)型時(shí)所遇到包括云化、移動(dòng)化導(dǎo)致訪問(wèn)不可控、身份不可辨、資源不可查等等問(wèn)題。以“去VPN”為例，組織可以通過(guò)替換VPN來(lái)逐步將零信任納入安全架構(gòu)中。然后再一個(gè)系統(tǒng)一個(gè)系統(tǒng)逐步推動(dòng)零信任的建設(shè)，最終形成整體的零信任架構(gòu)。

其次是做好總體規(guī)劃。零信任架構(gòu)不是一款產(chǎn)品，一套針對(duì)性地解決方案，而是徹底地改變整個(gè)組織的訪問(wèn)場(chǎng)景和網(wǎng)絡(luò)環(huán)境，因此，在建設(shè)零信任之前，組織需要提前做好總體規(guī)劃，確定零信任架構(gòu)的最終狀態(tài)，不能摸著石頭過(guò)河。但是，在總體規(guī)劃向?qū)嶋H落地的過(guò)程中有兩個(gè)難點(diǎn)，第一是數(shù)據(jù)安全，大多數(shù)零信任方案是沒(méi)有考慮數(shù)據(jù)安全的，特別是在云化和移動(dòng)化之后，組織需要考慮如何保護(hù)數(shù)據(jù)，如何讓數(shù)據(jù)落地等等。第二是信創(chuàng)，信創(chuàng)所帶來(lái)的操作系統(tǒng)給很多零信任產(chǎn)品帶來(lái)了兼容性方面的挑戰(zhàn)，零信任廠商既要滿足Windows、Mac，還要滿足信創(chuàng)系統(tǒng)，其架構(gòu)系統(tǒng)的復(fù)雜度非常高。

張建耀表示，上述經(jīng)驗(yàn)雖然是一家之言，但也是聯(lián)軟通過(guò)大量客戶(hù)總結(jié)和累積的經(jīng)驗(yàn)。目前，聯(lián)軟的內(nèi)網(wǎng)準(zhǔn)入設(shè)備裝機(jī)量已經(jīng)達(dá)到2000萬(wàn)臺(tái)終端，升級(jí)到全網(wǎng)零信任架構(gòu)的用戶(hù)也非常廣泛。換言之，聯(lián)軟的全網(wǎng)零信任架構(gòu)不僅得到了實(shí)踐經(jīng)驗(yàn)，其架構(gòu)的領(lǐng)先性也得到了證實(shí)。

尾聲

2023年被不少專(zhuān)家和廠商認(rèn)為是零信任的“發(fā)展大年”，其根本在于一方面越來(lái)越多的企業(yè)加入云化和移動(dòng)化，企業(yè)對(duì)于身份權(quán)限的要求越來(lái)越高；另一方面是疫情結(jié)束后各廠商無(wú)論是安服還是線下?tīng)I(yíng)銷(xiāo)都可以正常開(kāi)展。

對(duì)于國(guó)內(nèi)零信任越來(lái)越火熱的趨勢(shì)，張建耀表示，聯(lián)軟已經(jīng)做好了充足的準(zhǔn)備。在信創(chuàng)方面，聯(lián)軟目前已經(jīng)適配了國(guó)內(nèi)主流的操作系統(tǒng)例如統(tǒng)信、麒麟等等；在數(shù)據(jù)安全方面，聯(lián)軟已經(jīng)能夠解決客戶(hù)的大部分場(chǎng)景；在安全分析方面，聯(lián)軟此前發(fā)布的EDR等相關(guān)產(chǎn)品已經(jīng)能夠幫助用戶(hù)解決安全分析、入侵檢測(cè)、防勒索、防釣魚(yú)等等；在IAM方面，聯(lián)軟已經(jīng)將其融入到全網(wǎng)零信任的框架中。即便如此，張建耀認(rèn)為，聯(lián)軟還有進(jìn)一步發(fā)展的空間，未來(lái)，聯(lián)軟科技將在這四個(gè)方面繼續(xù)布局，為用戶(hù)提供能力更強(qiáng)大的全網(wǎng)零信任產(chǎn)品。

期待全網(wǎng)零信任的推出能夠改變國(guó)內(nèi)零信任市場(chǎng)環(huán)境，讓用戶(hù)能夠更便捷、更全面地應(yīng)用零信任架構(gòu)及產(chǎn)品，讓更多企業(yè)的安全架構(gòu)步入零信任的新階段。