2020年注定要和一個(gè)詞緊緊聯(lián)系在一起，那就是安全。

新冠疫情全球蔓延，幾乎讓所有人都開始謹(jǐn)慎地減少外出，與他人保持社交距離。與之對(duì)應(yīng)的是，人們有了更多的時(shí)間花費(fèi)在電子設(shè)備和網(wǎng)絡(luò)世界當(dāng)中。

相比較于病毒肆虐所造成的人身健康的威脅，網(wǎng)絡(luò)世界的安全威脅則顯得更難以察覺。但隨著企業(yè)和個(gè)人越來(lái)越多地將自身最重要的數(shù)據(jù)資產(chǎn)存放在網(wǎng)絡(luò)端和云端，網(wǎng)絡(luò)安全的威脅也正在變得棘手和嚴(yán)重起來(lái)。

2月底，SaaS服務(wù)商微盟的業(yè)務(wù)數(shù)據(jù)遭到內(nèi)部員工故意刪庫(kù)，導(dǎo)致300萬(wàn)個(gè)平臺(tái)商家的小程序全部宕機(jī)，眾多商家損失慘重，同時(shí)微盟市值大幅縮水。這一事件被業(yè)內(nèi)視為企業(yè)數(shù)據(jù)安全的拐點(diǎn)性事件。 

4月初，受疫情影響而出現(xiàn)用戶量暴增的遠(yuǎn)程視頻軟件Zoom，卻被曝出重大安全漏洞，引發(fā)股東集體訴訟。漏屋偏逢連夜雨，最近Zoom又被曝出53萬(wàn)條用戶網(wǎng)絡(luò)憑證掛在暗網(wǎng)低價(jià)出售。盡管Zoom數(shù)據(jù)泄露原因被指向是黑客的撞庫(kù)攻擊，但由于Zoom這一視頻會(huì)議軟件會(huì)涉及會(huì)議內(nèi)容、攝像頭、遠(yuǎn)程桌面等隱私問(wèn)題，此次數(shù)據(jù)泄露再次引發(fā)媒體和眾多企業(yè)組織的抵制和禁用。

結(jié)合之前眾多國(guó)內(nèi)企業(yè)在用戶數(shù)據(jù)安全、隱私保護(hù)上的暴露出的種種問(wèn)題，我們會(huì)發(fā)現(xiàn)網(wǎng)絡(luò)安全仍然是企業(yè)在產(chǎn)品開發(fā)和運(yùn)營(yíng)當(dāng)中的一大短板。

而現(xiàn)在，遠(yuǎn)程協(xié)同辦公的興起也讓企業(yè)內(nèi)網(wǎng)正在面臨著新的安全威脅，由傳統(tǒng)的VPN和防火墻構(gòu)成的網(wǎng)絡(luò)安全架構(gòu)，已經(jīng)難以滿足企業(yè)員工的大量外網(wǎng)的接入需要。

一種早在10年前就提出，一直在蓄勢(shì)發(fā)展的“零信任安全”，成為當(dāng)下可供企業(yè)網(wǎng)絡(luò)安全選擇的新架構(gòu)。

不信任，才是邁向最佳安全性的第一步?

關(guān)于信任的一場(chǎng)安全危機(jī)，最早可能就來(lái)自于古希臘神話中的“特洛伊木馬”。希臘人制定的木馬計(jì)劃，騙取了特洛伊人的信任。木馬被他們自己迎接進(jìn)了特洛伊城，而希臘人則從內(nèi)部將其攻破。這一經(jīng)典戰(zhàn)術(shù)啟發(fā)了互聯(lián)網(wǎng)時(shí)代最猖狂的網(wǎng)絡(luò)攻擊，通過(guò)在正常的程序中植入木馬程序，就可以實(shí)現(xiàn)對(duì)被感染計(jì)算機(jī)的遠(yuǎn)程控制。 

對(duì)現(xiàn)在很多企業(yè)的數(shù)據(jù)中心，傳統(tǒng)意義上的網(wǎng)絡(luò)安全就是通過(guò)一系列防火墻或者殺毒軟件的手段來(lái)防御這些外部威脅。但是如果是具有正當(dāng)憑證以及權(quán)限的用戶進(jìn)入系統(tǒng)，這些外圍防御系統(tǒng)就會(huì)自動(dòng)放過(guò)，而系統(tǒng)內(nèi)部則隱含著對(duì)他們的信任關(guān)系，也就很難阻止這些用戶的不良行為。

一種是用戶賬戶被盜取后的黑客侵害行為；一種是用戶本人的侵害行為，就如微盟內(nèi)部員工的“刪庫(kù)”，而這樣的內(nèi)部損害也可能更為嚴(yán)重。

真正能夠做到系統(tǒng)內(nèi)部的數(shù)據(jù)保護(hù)，目前最可行的一種方式就是零信任網(wǎng)絡(luò)訪問(wèn)的模式。這一安全架構(gòu)將改變企業(yè)數(shù)據(jù)保護(hù)的現(xiàn)有規(guī)則。

所謂零信任網(wǎng)絡(luò)訪問(wèn)(Zero-Trust Network Access，簡(jiǎn)稱“ZTNA)”)，是在2010年由研究機(jī)構(gòu)Forrester副總裁兼首席分析師約翰·金德瓦格(John Kindervag)提出。意思是：不能信任出入網(wǎng)絡(luò)的任何內(nèi)容。應(yīng)通過(guò)強(qiáng)身份驗(yàn)證技術(shù)保護(hù)數(shù)據(jù)，創(chuàng)建一種以數(shù)據(jù)為中心的全新邊界。簡(jiǎn)單說(shuō)就是“從不信任，總是驗(yàn)證”。

為什么企業(yè)需要進(jìn)行零信任網(wǎng)絡(luò)訪問(wèn)呢?

首先是全球經(jīng)濟(jì)因?yàn)榫W(wǎng)絡(luò)安全問(wèn)題導(dǎo)致的損失在逐年增加，預(yù)計(jì)到2021年因網(wǎng)絡(luò)網(wǎng)絡(luò)犯罪所致全球經(jīng)濟(jì)損失總額將達(dá)6萬(wàn)億美元。而世界上重大的數(shù)據(jù)泄露事件都是由于黑客攻破企業(yè)防火墻之后，在內(nèi)部網(wǎng)絡(luò)擁有全部訪問(wèn)權(quán)限而暢通無(wú)阻造成的。

盡管企業(yè)的信息網(wǎng)絡(luò)安全的支出每年都在增加，但是傳統(tǒng)的安全方法難以應(yīng)對(duì)日趨嚴(yán)峻的安全威脅態(tài)勢(shì)，轉(zhuǎn)變舊的安全邊界的防護(hù)思維和方法成為破題之策。

另外，最重要的一個(gè)變化就是企業(yè)的安全邊界正在模糊。受到企業(yè)數(shù)字化轉(zhuǎn)型和云計(jì)算業(yè)務(wù)增長(zhǎng)的影響，以防火墻和VPN為代表的傳統(tǒng)安全技術(shù)構(gòu)建的企業(yè)邊界正在被云業(yè)務(wù)的場(chǎng)景模式給瓦解。眾多的外部訪問(wèn)擴(kuò)大了向企業(yè)內(nèi)部滲透的攻擊威脅。

這樣“內(nèi)部等于可信任”和“外部等于不可信任”的傳統(tǒng)網(wǎng)絡(luò)安全觀念就需要打破，而零信任網(wǎng)絡(luò)訪問(wèn)的“驗(yàn)證才信任”的優(yōu)勢(shì)也就突顯出來(lái)了。

如何實(shí)現(xiàn)零信任網(wǎng)絡(luò)安全?

零信任網(wǎng)絡(luò)訪問(wèn)，需要企業(yè)根據(jù)用戶、所處位置和其他數(shù)據(jù)等條件，建立微隔離和細(xì)粒度邊界規(guī)則，來(lái)確定是否可以信任向企業(yè)特定范圍訪問(wèn)權(quán)限發(fā)起請(qǐng)求的用戶、主機(jī)或者是應(yīng)用。實(shí)現(xiàn)零信任網(wǎng)絡(luò)訪問(wèn)，要做到：第一，要確認(rèn)用戶身份，通過(guò)交叉驗(yàn)證確保是用戶本人的登錄操作;第二，要保證用戶所用終端是否安全;第三，建立條件限制策略，明確訪問(wèn)權(quán)限；第四、訪問(wèn)控制需要符合最小權(quán)限原則進(jìn)行細(xì)粒度授權(quán)，基于盡量多的屬性進(jìn)行信任和風(fēng)險(xiǎn)度量，實(shí)現(xiàn)動(dòng)態(tài)自適應(yīng)訪問(wèn)控制。

零信任網(wǎng)絡(luò)訪問(wèn)需要依靠多因子身份認(rèn)證、身份與訪問(wèn)管理、編排、分析、加密、安全評(píng)級(jí)和文件系統(tǒng)權(quán)限等技術(shù)來(lái)做上述工作。 

眾多企業(yè)的IT部門已經(jīng)在其網(wǎng)絡(luò)環(huán)境中部署了多因子身份驗(yàn)證、身份與訪問(wèn)管理和權(quán)限管理通，常會(huì)采取軟件定義邊界(SDP)和微隔離技術(shù)，來(lái)有效阻隔服務(wù)器或者網(wǎng)段之間的訪問(wèn)權(quán)限。

軟件定義邊界憑借更細(xì)粒度的控制、更靈活的擴(kuò)展、更高的可靠性，正在改變傳統(tǒng)的遠(yuǎn)程連接方式。而網(wǎng)絡(luò)微隔離是在傳統(tǒng)的區(qū)域架構(gòu)下，進(jìn)一步細(xì)分區(qū)域內(nèi)的網(wǎng)絡(luò)以增強(qiáng)安全性。微隔離常用于數(shù)據(jù)中心網(wǎng)絡(luò)中，以細(xì)分區(qū)域內(nèi)的應(yīng)用程序，可以實(shí)現(xiàn)對(duì)工作流級(jí)別的細(xì)粒度隔離和可視化管理，正在成為虛擬化環(huán)境下網(wǎng)絡(luò)隔離優(yōu)選方案。

當(dāng)然，建立零信任安全環(huán)境，不僅僅是實(shí)現(xiàn)這一單點(diǎn)技術(shù)，而是要在這些技術(shù)的應(yīng)用中始終貫徹“無(wú)驗(yàn)證即不信任”的理念。

零信任作為一種全新的安全理念，應(yīng)該成為企業(yè)決策者未來(lái)堅(jiān)持推行的舉措。據(jù)舊金山計(jì)算機(jī)安全研究所的統(tǒng)計(jì)，60%到80%的網(wǎng)絡(luò)濫用事件來(lái)自內(nèi)部網(wǎng)絡(luò)，對(duì)內(nèi)部人的信任所造成的危害程度，遠(yuǎn)遠(yuǎn)超過(guò)黑客攻擊和病毒造成的損失。企業(yè)需要調(diào)整思維方式，讓零信任理念也成為管理者和員工自覺遵守的行為準(zhǔn)則。 

實(shí)際上，零信任架構(gòu)更適合于企業(yè)在向云端遷移的環(huán)境中搭建。而那些有著復(fù)雜IT環(huán)境和大量舊系統(tǒng)的大型企業(yè)，需要把零信任架構(gòu)遷移看做是多階段、長(zhǎng)時(shí)間的一項(xiàng)整體工程來(lái)對(duì)待。零信任架構(gòu)作為企業(yè)整體數(shù)字轉(zhuǎn)型戰(zhàn)略的一部分，實(shí)現(xiàn)那些有助于在云遷移過(guò)程中達(dá)成零信任的技術(shù)，然后淘汰掉那些老舊的遺留系統(tǒng)。

也就是先有整體設(shè)計(jì)，再采取相應(yīng)技術(shù)。

零信任網(wǎng)絡(luò)安全的應(yīng)用實(shí)踐

2018年，Gartner 提出零信任是進(jìn)行持續(xù)自適應(yīng)的風(fēng)險(xiǎn)和信任評(píng)估(CARTA)的第一步。零信任要按照需要對(duì)不同身份(設(shè)備、用戶和網(wǎng)絡(luò)流量)授予區(qū)別化和最小化的訪問(wèn)權(quán)限，并通過(guò)持續(xù)認(rèn)證改變“通過(guò)認(rèn)證即被信任”的防護(hù)模式。

國(guó)內(nèi)外企業(yè)基于對(duì)零信任安全框架的理解，開展了技術(shù)探索和布局。

在軟件定義邊界上，谷歌的Beyond Corp基于設(shè)備、用戶、動(dòng)態(tài)訪問(wèn)控制和行為感知策略實(shí)現(xiàn)其零信任構(gòu)想，所有流量通過(guò)統(tǒng)一的訪問(wèn)代理來(lái)實(shí)現(xiàn)認(rèn)證和授權(quán)，實(shí)時(shí)更新信息庫(kù)中的用戶、設(shè)備、狀態(tài)、歷史用戶行為可信度等相關(guān)信息，利用動(dòng)態(tài)的多輪打分機(jī)制對(duì)請(qǐng)求來(lái)源進(jìn)行信任層級(jí)劃分，從而進(jìn)一步實(shí)現(xiàn)層級(jí)內(nèi)的最小權(quán)限控制。

筆者這里就有一個(gè)比較慘痛的教訓(xùn)。我一直在嘗試找回一個(gè)十多年前注冊(cè)的Gmail賬戶，但因?yàn)槭褂玫氖謾C(jī)號(hào)碼已經(jīng)注銷，因此通過(guò)其他任何方式驗(yàn)證，我也始終無(wú)法再找回該賬戶。這可能也意味著谷歌的零信任驗(yàn)證實(shí)在是過(guò)于謹(jǐn)慎了。

此外，像思科、Verizon以及國(guó)內(nèi)的云深互聯(lián)等企業(yè)都推出了基于零信任的SDP服務(wù)方案。

在微隔離技術(shù)上，網(wǎng)絡(luò)安全初創(chuàng)企業(yè)Illumio的自適應(yīng)安全平臺(tái)以微隔離技術(shù)為基礎(chǔ)，在分隔策略配置方面，應(yīng)用人工智能學(xué)習(xí)網(wǎng)絡(luò)流量模式，提供多種便捷配置模式和可視化展示。國(guó)內(nèi)的薔薇靈動(dòng)、山石網(wǎng)科等企業(yè)也在微隔離、可視化安全解決方案上進(jìn)行積極探索。 

根據(jù)Gartner在《零信任網(wǎng)絡(luò)訪問(wèn)市場(chǎng)指南》做出的戰(zhàn)略規(guī)劃假設(shè)，到2022年，80%向生態(tài)合作伙伴開放的新數(shù)字業(yè)務(wù)應(yīng)用將通過(guò)零信任網(wǎng)絡(luò)訪問(wèn)接入;到2023年，將有60%的企業(yè)將淘汰大部分的VPN，而使用零信任網(wǎng)絡(luò)訪問(wèn)。

當(dāng)前，在我國(guó)企業(yè)數(shù)字化轉(zhuǎn)型和業(yè)務(wù)上云等趨勢(shì)的推動(dòng)下，業(yè)務(wù)模式轉(zhuǎn)換和遷移上云將為零信任網(wǎng)絡(luò)安全提供實(shí)踐的平臺(tái)，進(jìn)而可以充分利用內(nèi)部業(yè)務(wù)、數(shù)據(jù)、設(shè)備等信息，形成持續(xù)、動(dòng)態(tài)和細(xì)粒度的零信任安全防護(hù)方案。

同時(shí)對(duì)于傳統(tǒng)的安全廠商而言，積極推動(dòng)全新的網(wǎng)絡(luò)安全技術(shù)和安全理念的變革，將零信任理念與傳統(tǒng)身份管理與訪問(wèn)控制等技術(shù)融合，發(fā)揮傳統(tǒng)安全廠商在身份管理領(lǐng)域的深耕優(yōu)勢(shì)，推動(dòng)零信任理念與傳統(tǒng)技術(shù)的深度融合，這樣基于零信任的動(dòng)態(tài)身份管理和訪問(wèn)權(quán)限控制解決方案才有望加速落地。

正如前面微盟、Zoom案例所體現(xiàn)的，如果企業(yè)在網(wǎng)絡(luò)安全上沒有給予足夠的重視，在網(wǎng)絡(luò)安全意識(shí)和理念上仍然沿用傳統(tǒng)的技術(shù)思路，就會(huì)因?yàn)橐淮蔚氖д`而引發(fā)極為嚴(yán)重的安全危機(jī)和巨大的經(jīng)營(yíng)風(fēng)險(xiǎn)。

在事關(guān)企業(yè)的生存與發(fā)展大事面前，將網(wǎng)絡(luò)安全當(dāng)作企業(yè)的生命線也不為過(guò)，而推動(dòng)零信任模式的網(wǎng)絡(luò)安全體系升級(jí)也就必須提上眾多企業(yè)的議事日程了。