在新冠疫情的影響下，全球被迫開啟在線遠(yuǎn)程辦公模式，企業(yè)原有的網(wǎng)絡(luò)邊界逐漸泛化。勒索軟件爆發(fā)、敏感數(shù)據(jù)大規(guī)模泄露、黑客針對(duì)性攻擊等各種問題經(jīng)常發(fā)生。因此，基于邊界的傳統(tǒng)安全架構(gòu)不再可靠，信息安全已成為全社會(huì)關(guān)注的焦點(diǎn)，零信任市場(chǎng)迎來風(fēng)潮，零信任安全架構(gòu)的概念也應(yīng)運(yùn)而生。如何在新的生產(chǎn)模式下保證安全，平衡生產(chǎn)效率和用戶體驗(yàn)是目前的剛需，也是一個(gè)具有實(shí)用價(jià)值的研究課題。

一、何為零信任安全架構(gòu)？

零信任這一理念最早是在美國(guó)提出的，2011年谷歌內(nèi)部開始實(shí)施零信任，整整花了6年時(shí)間才在企業(yè)網(wǎng)實(shí)現(xiàn)了零信任落地。

零信任既不是技術(shù)也不是產(chǎn)品，而是一種安全理念。根據(jù)NIST《零信任架構(gòu)標(biāo)準(zhǔn)》中的定義：零信任（Zero Trust，ZT）提供了一系列概念和思想，在假定網(wǎng)絡(luò)環(huán)境已經(jīng)被攻陷的前提下，當(dāng)執(zhí)行信息系統(tǒng)和服務(wù)中的每次訪問請(qǐng)求時(shí)，降低其決策準(zhǔn)確度的不確定性。零信任架構(gòu)（ZTA）則是一種企業(yè)網(wǎng)絡(luò)安全的規(guī)劃，它基于零信任理念，圍繞其組件關(guān)系、工作流規(guī)劃與訪問策略構(gòu)建而成。

總的來說，零信任架構(gòu)的本質(zhì)是以身份為基石的動(dòng)態(tài)可信訪問控制，聚焦身份、信任、業(yè)務(wù)訪問和動(dòng)態(tài)訪問控制等維度的安全能力，基于業(yè)務(wù)場(chǎng)景的人、流程、環(huán)境、訪問上下文等多維的因素，對(duì)信任進(jìn)行持續(xù)評(píng)估，并通過信任等級(jí)對(duì)權(quán)限進(jìn)行動(dòng)態(tài)調(diào)整，形成具備較強(qiáng)風(fēng)險(xiǎn)應(yīng)對(duì)能力的動(dòng)態(tài)自適應(yīng)的安全閉環(huán)體系。

二、企業(yè)零信任安全架構(gòu)如何實(shí)踐？

1、明確需要保護(hù)的層面

應(yīng)從攻擊者角度進(jìn)行安全風(fēng)險(xiǎn)評(píng)估。如，企業(yè)安全團(tuán)隊(duì)最常關(guān)注的潛在攻擊面有：安全邊界在哪？外部人員將會(huì)如何闖入？有什么潛在的方法可以闖入？

《零信任架構(gòu)規(guī)劃》表示，建立安全防護(hù)需要先從數(shù)據(jù)和應(yīng)用程序出發(fā)，應(yīng)先分析價(jià)最高、風(fēng)險(xiǎn)最大的數(shù)據(jù)信息和資產(chǎn)。因此，企業(yè)可以根據(jù)業(yè)務(wù)的重要等級(jí)，來確定受保護(hù)對(duì)象的重要性和優(yōu)先級(jí)。先確定最關(guān)鍵的應(yīng)用程序，然后再確定次重要的。層層遞減，如此便可實(shí)現(xiàn)對(duì)所有應(yīng)用程序的等級(jí)保護(hù)。

2、提高全面可見性

CISA在《零信任成熟度模型》中指出，企業(yè)在圍繞身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用程序和數(shù)據(jù)等執(zhí)行點(diǎn)實(shí)施零信任時(shí)，應(yīng)全面了解一切資產(chǎn)如何相互連接，實(shí)現(xiàn)全面可見性是執(zhí)行策略的基礎(chǔ)。用戶、設(shè)備和服務(wù)都需要連接到數(shù)據(jù)中心。若企業(yè)不了解該環(huán)境的運(yùn)作方式，就試圖強(qiáng)制執(zhí)行零信任，則會(huì)使該環(huán)境變得更復(fù)雜，從而導(dǎo)致安全缺口或工作流程中斷。在保證了可見性之后，企業(yè)可以清晰的了解到應(yīng)采取怎樣的可信執(zhí)行策略。

3、構(gòu)建新邊界：微隔離

《零信任架構(gòu)》指出，與傳統(tǒng)防護(hù)手段相同，零信任理念保證數(shù)據(jù)中心安全的前提也是確保網(wǎng)絡(luò)環(huán)境和周邊環(huán)境安全。但差別在于如何在數(shù)據(jù)中心創(chuàng)建“微邊界”（micro-boundary），零信任要求只有通過審核標(biāo)準(zhǔn)的流量才能通過。因此在構(gòu)建零信任架構(gòu)時(shí)，網(wǎng)段和邊界相比傳統(tǒng)模式會(huì)變得更小。因此，微隔離策略應(yīng)與現(xiàn)有的網(wǎng)絡(luò)架構(gòu)相脫離，并要具被靈活的擴(kuò)展功能。

4、完善身份管理

無論企業(yè)選擇部署哪種安全架構(gòu)，身份都是零信任安全的基礎(chǔ)，都需要身份來源認(rèn)證和基于角色的訪問控制等關(guān)鍵組件。身份來源不僅要包含用戶的身份，還要包括服務(wù)帳戶、應(yīng)用程序會(huì)話、暫時(shí)身份和云資產(chǎn)。零信任要求在提供安全訪問之前先驗(yàn)證身份，這對(duì)于VPN等傳統(tǒng)解決方案是不可能實(shí)現(xiàn)的。軟件定義邊界（Software-Defined Perimeter，簡(jiǎn)稱“SDP”）或零信任架構(gòu)不僅僅驗(yàn)證IP地址，還在授予訪問權(quán)限之前，根據(jù)設(shè)備狀態(tài)、位置、時(shí)間、角色和權(quán)限來持續(xù)評(píng)估安全風(fēng)險(xiǎn)。

5、縮小攻擊面

縮小攻擊面是減少風(fēng)險(xiǎn)暴露、降低安全事件發(fā)生的關(guān)鍵。在企業(yè)內(nèi)部，零信任理念的微隔離方法在提供了安全連接授權(quán)資源的便利的同時(shí)，也確保了任何身份未經(jīng)授權(quán)的資產(chǎn)都是不可見、不可訪問的。這減少了橫向移動(dòng)，進(jìn)一步降低了內(nèi)部威脅。

事實(shí)上，近年來，由于數(shù)千萬數(shù)據(jù)的暴露，企業(yè)遭受的損失越來越大。從“零”開始的新網(wǎng)絡(luò)安全體系價(jià)值，在數(shù)字時(shí)代的安全價(jià)值上尚未定論。目前，普一科技與各大安全廠商一起關(guān)注零信任的建設(shè)和實(shí)施，積極踐行零信任的安全理念?；诰W(wǎng)絡(luò)環(huán)境、用戶身份、設(shè)備信息等多種因素，對(duì)網(wǎng)絡(luò)接入進(jìn)行綜合身份識(shí)別認(rèn)證，保障網(wǎng)絡(luò)安全，不遺漏任何可疑因。