重構企業網路安全邊界，蒲公英零信任網路1.0方案解析

近年來，隨著企業網路安全意識的提升，“零信任”概念逐漸深入人心，作為一種新型的網路安全策略，越來越多的企業開始探尋“零信任”網路的奧秘，並嘗試採用“零信任”策略重構企業網路安全邊界。

近日，貝銳旗下智慧組網整體解決方案品牌“蒲公英”正式推出了“蒲公英零信任網路1.0”解決方案，該方案旨在幫助企業重構網路安全邊界，進而提供更加安全，更具針對性的智慧組網整體解決方案。

藉此機會，筆者想要在這裡對“零信任”概念以及“蒲公英零信任網路”進行一番具體的解析，幫助有需求的企業管理者更好的理解“零信任”這一概念，順應網路空間安全至上的大潮。

何為“零信任”？

傳統的網路安全是基於防火牆的邊界防禦，是有明顯的物理邊界的，而對於企業來說，這一邊界的內側就是我們所熟知的“內網”。

在傳統的網路安全策略中，內網是完全可信的。但隨著雲計算、大資料、物聯網等新興技術的不斷興起，企業的IT架構邊界正在不斷模糊，網路安全的物理邊界正逐漸消失，“內網=安全可信”這一等式正在受到嚴重的調整。

為了適應這樣的變化趨勢，企業也需要調整IT網路安全策略，以應對同樣在持續發展中的網路安全威脅。因此，“零信任”應運而生。

“零信任”這一概念於2010年由一位名為Forrester Research的分析師提出，它代表了一種新一代的網路安全防護理念和策略，提出不久就被包括谷歌、思科等在內的諸多大廠所採納。

“零信任”的優勢

用一句通俗的話來解釋“零信任”，那就是對網路中的任何一個訪客進行持續的身份驗證，任何使用者都不應受到信任，即“持續驗證，永不信任”。

在這一策略下，企業網路將不會預設信任任何來自內外網的人、裝置和系統，而是會基於實時的身份認證和授權重新構建網路訪問信任體系，身份認證的過程也將不再侷限在網路的邊界，從而保證訪問企業網路的身份、裝置、軟體均為可信，同時進一步保證企業網路繫系統的終端安全，鏈路安全以及訪問控制安全。

換句話說，“零信任”打破了 “內部等於可信任”、“外部等於不可信任”的傳統舊安全觀念。

舉一個簡單的例子：在傳統的邊界網路安全框架下，駭客一旦透過某種手段獲取到了企業內網許可權（比如賬號和密碼），那麼直到相關的管理員發現之前，他都可以在企業網路內橫行無忌，肆意盜取企業核心資訊甚至對系統進行破壞。

但如果企業採用了“零信任”安全策略，那麼駭客將無法單純地憑藉帳號密碼攻入企業內網，而是會被要求驗證其他的身份資訊，比如企業可以要求賬號與裝置MAC碼對應，或者需要簡訊或者郵件的驗證等等，這些策略由企業方視情況制定。這樣一來，駭客進行惡意攻擊的難度將會大大提升，很多針對企業網路的攻擊在這一步就會被拒之門外。

為什麼企業要部署“零信任”

企業部署“零信任”當然是基於對於資訊保安的迫切需要。

具體到實際的落地，則是希望對越來越模糊的網路邊界進行重構，而對網路邊界的重構主要集中在以下三個方面：

●建立基於應用的安全邊界：打破傳統基於防火牆的網路邊界，建立基於應用的更細粒度的訪問策略管理。

●建立基於身份的接入驗證：身份許可權動態管控，所有成員身份無差別信任與驗證。

●建立基於安全的資料保護：終端資料、應用分級隔離，企業資料透過加密隧道傳輸。

蒲公英零信任方案的核心特徵

蒲公英零信任架構主要透過對訪問身份許可權的動態管控，對訪問成員持續進行信任評估和動態的訪問控制，最終實現業務安全訪問。具體到方案本身的結構，則是從成員身份、網路管控、終端安全三方面進行整合，保障企業辦公網路安全，提升辦公效率。

蒲公英的相關功能主要包括：

●自定義訪問策略

組網內成員的訪問許可權、訪問內容、訪問時間均可進行自定義設定，滿足使用者多場景使用，透過策略控制保障組網內資源訪問安全。

●角色許可權管理

支援多角色許可權管理，建立二級管理賬號對應不同角色即可賦予對應的操作許可權，輕鬆分工，高效管理。

●多因子帳號安全認證

對訪問身份許可權進行持續信任評估，除基礎的賬號身份認證後，增加手機、郵箱OTP認證以及動態令牌MFA認證；根據使用者常用使用習慣制定不同等級的安全認證，幫助組網成員接入身份安全。

●終端裝置信任體系

對終端裝置建立信任裝置體系，對不符合安全要求的裝置保持持續驗證安全狀態。

●安全日誌審計

管理員、終端成員、不同角色管理員的行為日誌及時間實時記錄，做到成員行為可追溯。

蒲公英零信任在場景應用下的優勢

●遠端移動辦公趨勢下的簡單部署，快速接入

隨著遠端辦公及移動辦公越來越普及，外部訪問量激增，而企業訪問邊界的模糊化和訪問裝置的可信度管控缺失，導致企業資料安全面臨較大挑戰。但大部分企業基於已有的網路架構無法瞬時改變，這時蒲公英基於SD-WAN的零信任安全訪問就能快速接入，重建企業網路訪問邊界，加強網路安全。

●混合雲業務部署模式下的資料安全保障

現在大部分企業的業務部署選擇混合雲的方式，內網資料外網訪問難，外網資料安全保障難已成為大多企業的難題。零信任提倡對於所有身份進行授權訪問，並動態監控授權身份的訪問行為，所有賬號無差別信任與認證，保障網路安全訪問。

●數字化轉型趨勢下重塑企業安全邊界

企業數字化轉型已成為必然的趨勢，這種情況下，業務平臺及員工身份屬性的多樣化將越來越強烈。零信任在此基礎下可重塑信任體系及訪問策略，有效內外訪問成員的安全屬性進行監控。