近年來，隨著企業(yè)網(wǎng)絡(luò)安全意識的提升，“零信任”概念逐漸深入人心，作為一種新型的網(wǎng)絡(luò)安全策略，越來越多的企業(yè)開始探尋“零信任”網(wǎng)絡(luò)的奧秘，并嘗試采用“零信任”策略重構(gòu)企業(yè)網(wǎng)絡(luò)安全邊界。

　　近日，貝銳旗下智能組網(wǎng)整體解決方案品牌“蒲公英”正式推出了“蒲公英零信任網(wǎng)絡(luò)1.0”解決方案，該方案旨在幫助企業(yè)重構(gòu)網(wǎng)絡(luò)安全邊界，進而提供更加安全，更具針對性的智能組網(wǎng)整體解決方案。

　　借此機會，筆者想要在這里對“零信任”概念以及“蒲公英零信任網(wǎng)絡(luò)”進行一番具體的解析，幫助有需求的企業(yè)管理者更好的理解“零信任”這一概念，順應(yīng)網(wǎng)絡(luò)空間安全至上的大潮。

　　何為“零信任”？

　　傳統(tǒng)的網(wǎng)絡(luò)安全是基于防火墻的邊界防御，是有明顯的物理邊界的，而對于企業(yè)來說，這一邊界的內(nèi)側(cè)就是我們所熟知的“內(nèi)網(wǎng)”。

　　在傳統(tǒng)的網(wǎng)絡(luò)安全策略中，內(nèi)網(wǎng)是完全可信的。但隨著云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)等新興技術(shù)的不斷興起，企業(yè)的IT架構(gòu)邊界正在不斷模糊，網(wǎng)絡(luò)安全的物理邊界正逐漸消失，“內(nèi)網(wǎng)=安全可信”這一等式正在受到嚴重的調(diào)整。

　　為了適應(yīng)這樣的變化趨勢，企業(yè)也需要調(diào)整IT網(wǎng)絡(luò)安全策略，以應(yīng)對同樣在持續(xù)發(fā)展中的網(wǎng)絡(luò)安全威脅。因此，“零信任”應(yīng)運而生。

　　“零信任”這一概念于2010年由一位名為Forrester Research的分析師提出，它代表了一種新一代的網(wǎng)絡(luò)安全防護理念和策略，提出不久就被包括谷歌、思科等在內(nèi)的諸多大廠所采納。

　　“零信任”的優(yōu)勢

　　用一句通俗的話來解釋“零信任”，那就是對網(wǎng)絡(luò)中的任何一個訪客進行持續(xù)的身份驗證，任何用戶都不應(yīng)受到信任，即“持續(xù)驗證，永不信任”。

　　在這一策略下，企業(yè)網(wǎng)絡(luò)將不會默認信任任何來自內(nèi)外網(wǎng)的人、設(shè)備和系統(tǒng)，而是會基于實時的身份認證和授權(quán)重新構(gòu)建網(wǎng)絡(luò)訪問信任體系，身份認證的過程也將不再局限在網(wǎng)絡(luò)的邊界，從而保證訪問企業(yè)網(wǎng)絡(luò)的身份、設(shè)備、軟件均為可信，同時進一步保證企業(yè)網(wǎng)絡(luò)系系統(tǒng)的終端安全，鏈路安全以及訪問控制安全。

　　換句話說，“零信任”打破了 “內(nèi)部等于可信任”、“外部等于不可信任”的傳統(tǒng)舊安全觀念。

　　舉一個簡單的例子：在傳統(tǒng)的邊界網(wǎng)絡(luò)安全框架下，黑客一旦通過某種手段獲取到了企業(yè)內(nèi)網(wǎng)權(quán)限（比如帳號和密碼），那么直到相關(guān)的管理員發(fā)現(xiàn)之前，他都可以在企業(yè)網(wǎng)絡(luò)內(nèi)橫行無忌，肆意盜取企業(yè)核心信息甚至對系統(tǒng)進行破壞。

　　但如果企業(yè)采用了“零信任”安全策略，那么黑客將無法單純的憑借帳號密碼攻入企業(yè)內(nèi)網(wǎng)，而是會被要求驗證其他的身份信息，比如企業(yè)可以要求帳號與設(shè)備MAC碼對應(yīng)，或者需要短信或者郵件的驗證等等，這些策略由企業(yè)方視情況制定。這樣一來，黑客進行惡意攻擊的難度將會大大提升，很多針對企業(yè)網(wǎng)絡(luò)的攻擊在這一步就會被拒之門外。

　　為什么企業(yè)要部署“零信任”

　　企業(yè)部署“零信任”當然是基于對于信息安全的迫切需要。

　　具體到實際的落地，則是希望對越來越模糊的網(wǎng)絡(luò)邊界進行重構(gòu)，而對網(wǎng)絡(luò)邊界的重構(gòu)主要集中在以下三個方面：

　　●建立基于應(yīng)用的安全邊界：打破傳統(tǒng)基于防火墻的網(wǎng)絡(luò)邊界，建立基于應(yīng)用的更細粒度的訪問策略管理。

　　●建立基于身份的接入驗證：身份權(quán)限動態(tài)管控，所有成員身份無差別信任與驗證。

　　●建立基于安全的數(shù)據(jù)保護：終端數(shù)據(jù)、應(yīng)用分級隔離，企業(yè)數(shù)據(jù)通過加密隧道傳輸。

　　蒲公英零信任方案的核心特征

　　蒲公英零信任架構(gòu)主要通過對訪問身份權(quán)限的動態(tài)管控，對訪問成員持續(xù)進行信任評估和動態(tài)的訪問控制，最終實現(xiàn)業(yè)務(wù)安全訪問。具體到方案本身的結(jié)構(gòu)，則是從成員身份、網(wǎng)絡(luò)管控、終端安全三方面進行整合，保障企業(yè)辦公網(wǎng)絡(luò)安全，提升辦公效率。

       蒲公英的相關(guān)功能主要包括：

　　●自定義訪問策略

　　組網(wǎng)內(nèi)成員的訪問權(quán)限、訪問內(nèi)容、訪問時間均可進行自定義設(shè)置，滿足用戶多場景使用，通過策略控制保障組網(wǎng)內(nèi)資源訪問安全。

　　●角色權(quán)限管理

　　支持多角色權(quán)限管理，創(chuàng)建二級管理帳號對應(yīng)不同角色即可賦予對應(yīng)的操作權(quán)限，輕松分工，高效管理。

　　●多因子帳號安全認證

　　對訪問身份權(quán)限進行持續(xù)信任評估，除基礎(chǔ)的帳號身份認證后，增加手機、郵箱OTP認證以及動態(tài)令牌MFA認證；根據(jù)用戶常用使用習(xí)慣制定不同等級的安全認證，幫助組網(wǎng)成員接入身份安全。

　　●終端設(shè)備信任體系

　　對終端設(shè)備建立信任設(shè)備體系，對不符合安全要求的設(shè)備保持持續(xù)驗證安全狀態(tài)。

　　●安全日志審計

　　管理員、終端成員、不同角色管理員的行為日志及時間實時記錄，做到成員行為可追溯。

　　蒲公英零信任在場景應(yīng)用下的優(yōu)勢

　　●遠程移動辦公趨勢下的簡單部署，快速接入

　　隨著遠程辦公及移動辦公越來越普及，外部訪問量激增，而企業(yè)訪問邊界的模糊化和訪問設(shè)備的可信度管控缺失，導(dǎo)致企業(yè)數(shù)據(jù)安全面臨較大挑戰(zhàn)。但大部分企業(yè)基于已有的網(wǎng)絡(luò)架構(gòu)無法瞬時改變，這時蒲公英基于SD-WAN的零信任安全訪問就能快速接入，重建企業(yè)網(wǎng)絡(luò)訪問邊界，加強網(wǎng)絡(luò)安全。

　　●混合云業(yè)務(wù)部署模式下的數(shù)據(jù)安全保障

　　現(xiàn)在大部分企業(yè)的業(yè)務(wù)部署選擇混合云的方式，內(nèi)網(wǎng)數(shù)據(jù)外網(wǎng)訪問難，外網(wǎng)數(shù)據(jù)安全保障難已成為大多企業(yè)的難題。零信任提倡對于所有身份進行授權(quán)訪問，并動態(tài)監(jiān)控授權(quán)身份的訪問行為，所有帳號無差別信任與認證，保障網(wǎng)絡(luò)安全訪問。

　　●數(shù)字化轉(zhuǎn)型趨勢下重塑企業(yè)安全邊界

　　企業(yè)數(shù)字化轉(zhuǎn)型已成為必然的趨勢，這種情況下，業(yè)務(wù)平臺及員工身份屬性的多樣化將越來越強烈。零信任在此基礎(chǔ)下可重塑信任體系及訪問策略，有效內(nèi)外訪問成員的安全屬性進行監(jiān)控。