零信任，未來網路安全體系的“骨架”

企業實現零信任網路能夠獲得什麼效果？實施零信任網路使得企業網路安全水平提升、合規審計能力提升、生產效率提升，其可作為網路安全體系的“骨架”連線其他安全技術，筆者認為零信任網路是更符合發展潮流的IT設施建設方案。

網路安全水平提升

零信任網路實現了身份、裝置、應用的動態信任評估體系，並透過信任評估進行作用於資源訪問路徑上持續的訪問控制。零信任技術使得網路平臺具備層次化的、一致的、持續的訪問控制能力。

以資源為中心的安全保護

在邊界防護體系中，安全產品堆砌在網路邊界，意圖建立起一道防線阻隔網路攻擊，內網則成為信任區，內網的東西向流量缺少最基礎的訪問控制能力。這種體系下內網計算機失陷後，攻擊者能夠利用裝置固有的信任和已授予使用者的信任來進一步橫向移動、訪問資源。

零信任網路則以資源保護為核心訴求規劃防護體系，透過在所有資源訪問路徑上建立訪問控制點，收斂了資源暴露面，綜合資源訪問過程中包括身份、裝置、環境、時間在內的所有網路空間因素對訪問行為進行可信度判斷，以此為依據從網路可見性、資源可見性、資源訪問許可權三個層級進行訪問控制。

身份和認證的統一管理

典型的企業IT系統建設呈現煙囪式，各個系統相互獨立，企業成員需要在每個系統上建立賬號，弱密碼、各系統用同一個密碼、密碼長期不更改等問題無法根除。當人員流動、人員職責變更時賬號身份管理出現疏漏難以避免，導致人員許可權膨脹，遺留大量殭屍賬號等問題。在面對網路攻擊時，這些失控身份將成為攻擊者滲透企業的切入點，獲取資源的入口。企業可以透過建設IAM系統，對身份統一管理，建立多因子、SSO認證，緩解身份失控風險，強化認證強度和可信度。然而IAM系統是基於應用層進行訪問控制，無法防護對作業系統、中介軟體等的攻擊。

零信任網路在圍繞資源建立了訪問控制點後，進一步實現以身份為中心訪問控制策略。工程實踐上，零信任架構能夠與IAM系統對接，整合現有身份和訪問管理能力，實質上擴充套件了IMA的作用邊界，將其對應用層的保護延伸到網路接入層。

裝置的集中管理

企業的辦公環境正變得越來越複雜，員工需要能使用公司配發資產、個人自帶裝置或者移動裝置訪問企業資產，這對企業網路安全帶來巨大挑戰。企業IT和安全人員需要面對裝置黑洞，有多少員工自帶辦公裝置、哪個裝置現在是誰在用、某個IP是誰的什麼裝置，當應急響應事件發生時如何快速定位到誰的裝置出現異常。EPP、EDR、CWPP等主機防護安全產品能夠對裝置資產進行管理，但是缺少將裝置資產與企業數字身份關聯的能力。

零信任網路為所有裝置建立標識，關聯裝置與使用者身份，將裝置狀態作為訪問控制策略的關鍵因素，納入信任度評價體系，不同裝置型別、不同裝置狀態計算出不同信任度，不同信任度設定合理的資源訪問許可權。在實踐中，裝置管理可以採用靈活的解決方案，例如對公司裝置資產頒發專用數字證書賦予唯一身份認證，員工自帶裝置則安裝客戶端軟體進行基線檢測。

與傳統安全產品形成互補

零信任體系能夠與傳統安全產品整合，或者直接使用傳統安全產品實現。以NIST抽象的零信任架構為例：策略決策點可與IAM系統對接實現身份資訊的獲取和認證授權，持續評估可結合UEBA、SOC、SIEM等系統實現，裝置資產的標識和保護可以使用EDR類產品，裝置資產可以安裝DLP類產品實現端到端的資源保護。

合規審計能力提升

滿足等保2.0的解決方案

等保2.0完善了我國網路安全建設標準，其提出的一箇中心三重防護思想與零信任思想高度契合。在CSA釋出的《SDP實現等保2.0合規技術指南白皮書》中，CSA中國區專家梳理了SDP與等保技術要求點的適用情況，零信任技術在等保2.0技術要求的網路架構、通訊傳輸、邊界安全、訪問控制、安全審計、身份鑑別等要求項上均有良好適用性。