网络安全的新基石，从“零信任”开始

2020 年注定要和一个词紧紧联系在一起，那就是安全。

新冠疫情全球蔓延，几乎让所有人都开始谨慎地减少外出，与他人保持社交距离。与之对应的是，人们有了更多的时间花费在电子设备和网络世界当中。

相比较于病毒肆虐所造成的人身健康的威胁，网络世界的安全威胁则显得更难以察觉。但随着企业和个人越来越多地将自身最重要的数据资产存放在网络端和云端，网络安全的威胁也正在变得棘手和严重起来。

2 月底，SaaS 服务商微盟的业务数据遭到内部员工故意删库，导致 300 万个平台商家的小程序全部宕机，众多商家损失惨重，同时微盟市值大幅缩水。这一事件被业内视为企业数据安全的拐点性事件。

4 月初，受疫情影响而出现用户量暴增的远程视频软件 Zoom，却被曝出重大安全漏洞，引发股东集体诉讼。漏屋偏逢连夜雨，最近 Zoom 又被曝出 53 万条用户网络凭证挂在暗网低价出售。尽管 Zoom 数据泄露原因被指向是黑客的撞库攻击，但由于 Zoom 这一视频会议软件会涉及会议内容、摄像头、远程桌面等隐私问题，此次数据泄露再次引发媒体和众多企业组织的抵制和禁用。

结合之前众多国内企业在用户数据安全、隐私保护上的暴露出的种种问题，我们会发现网络安全仍然是企业在产品开发和运营当中的一大短板。

而现在，远程协同办公的兴起也让企业内网正在面临着新的安全威胁，由传统的 VPN 和防火墙构成的网络安全架构，已经难以满足企业员工的大量外网的接入需要。

一种早在 10 年前就提出，一直在蓄势发展的“零信任安全”，成为当下可供企业网络安全选择的新架构。

不信任，才是迈向最佳安全性的第一步？

关于信任的一场安全危机，最早可能就来自于古希腊神话中的“特洛伊木马”。希腊人制定的木马计划，骗取了特洛伊人的信任。木马被他们自己迎接进了特洛伊城，而希腊人则从内部将其攻破。这一经典战术启发了互联网时代最猖狂的网络攻击，通过在正常的程序中植入木马程序，就可以实现对被感染计算机的远程控制。

对现在很多企业的数据中心，传统意义上的网络安全就是通过一系列防火墙或者杀毒软件的手段来防御这些外部威胁。但是如果是具有正当凭证以及权限的用户进入系统，这些外围防御系统就会自动放过，而系统内部则隐含着对他们的信任关系，也就很难阻止这些用户的不良行为。

一种是用户账户被盗取后的黑客侵害行为；一种是用户本人的侵害行为，就如微盟内部员工的“删库”，而这样的内部损害也可能更为严重。

真正能够做到系统内部的数据保护，目前最可行的一种方式就是零信任网络访问的模式。这一安全架构将改变企业数据保护的现有规则。

所谓零信任网络访问（Zero-Trust Network Access，简称“ZTNA)”），是在 2010 年由研究机构 Forrester 副总裁兼首席分析师约翰·金德瓦格（John Kindervag）提出。意思是：不能信任出入网络的任何内容。应通过强身份验证技术保护数据，创建一种以数据为中心的全新边界。简单说就是“从不信任，总是验证”。

为什么企业需要进行零信任网络访问呢？

首先是全球经济因为网络安全问题导致的损失在逐年增加，预计到 2021 年因网络网络犯罪所致全球经济损失总额将达 6 万亿美元。而世界上重大的数据泄露事件都是由于黑客攻破企业防火墙之后，在内部网络拥有全部访问权限而畅通无阻造成的。

尽管企业的信息网络安全的支出每年都在增加，但是传统的安全方法难以应对日趋严峻的安全威胁态势，转变旧的安全边界的防护思维和方法成为破题之策。

另外，最重要的一个变化就是企业的安全边界正在模糊。受到企业数字化转型和云计算业务增长的影响，以防火墙和 VPN 为代表的传统安全技术构建的企业边界正在被云业务的场景模式给瓦解。众多的外部访问扩大了向企业内部渗透的攻击威胁。

这样“内部等于可信任”和“外部等于不可信任”的传统网络安全观念就需要打破，而零信任网络访问的“验证才信任”的优势也就突显出来了。

如何实现零信任网络安全？

零信任网络访问，需要企业根据用户、所处位置和其他数据等条件，建立微隔离和细粒度边界规则，来确定是否可以信任向企业特定范围访问权限发起请求的用户、主机或者是应用。实现零信任网络访问，要做到：第一，要确认用户身份，通过交叉验证确保是用户本人的登录操作；第二，要保证用户所用终端是否安全；第三，建立条件限制策略，明确访问权限。第四、访问控制需要符合最小权限原则进行细粒度授权，基于尽量多的属性进行信任和风险度量，实现动态自适应访问控制。

零信任网络访问需要依靠多因子身份认证、身份与访问管理、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。

众多企业的 IT 部门已经在其网络环境中部署了多因子身份验证、身份与访问管理和权限管理通，常会采取软件定义边界（SDP）和微隔离技术，来有效阻隔服务器或者网段之间的访问权限。

软件定义边界凭借更细粒度的控制、更灵活的扩展、更高的可靠性，正在改变传统的远程连接方式。而网络微隔离是在传统的区域架构下，进一步细分区域内的网络以增强安全性。微隔离常用于数据中心网络中，以细分区域内的应用程序，可以实现对工作流级别的细粒度隔离和可视化管理，正在成为虚拟化环境下网络隔离优选方案。

当然，建立零信任安全环境，不仅仅是实现这一单点技术，而是要在这些技术的应用中始终贯彻“无验证即不信任”的理念。

零信任作为一种全新的安全理念，应该成为企业决策者未来坚持推行的举措。据旧金山计算机安全研究所的统计，60％到 80％的网络滥用事件来自内部网络，对内部人的信任所造成的危害程度，远远超过黑客攻击和病毒造成的损失。企业需要调整思维方式，让零信任理念也成为管理者和员工自觉遵守的行为准则。

实际上，零信任架构更适合于企业在向云端迁移的环境中搭建。而那些有着复杂 IT 环境和大量旧系统的大型企业，需要把零信任架构迁移看做是多阶段、长时间的一项整体工程来对待。零信任架构作为企业整体数字转型战略的一部分，实现那些有助于在云迁移过程中达成零信任的技术，然后淘汰掉那些老旧的遗留系统。

也就是先有整体设计，再采取相应技术。

零信任网络安全的应用实践

2018 年，Gartner 提出零信任是进行持续自适应的风险和信任评估（CARTA）的第一步。零信任要按照需要对不同身份（设备、用户和网络流量）授予区别化和最小化的访问权限，并通过持续认证改变“通过认证即被信任”的防护模式。

国内外企业基于对零信任安全框架的理解，开展了技术探索和布局。

在软件定义边界上，谷歌的 Beyond Corp 基于设备、用户、动态访问控制和行为感知策略实现其零信任构想，所有流量通过统一的访问代理来实现认证和授权，实时更新信息库中的用户、设备、状态、历史用户行为可信度等相关信息，利用动态的多轮打分机制对请求来源进行信任层级划分，从而进一步实现层级内的最小权限控制。

笔者这里就有一个比较惨痛的教训。我一直在尝试找回一个十多年前注册的 Gmail 账户，但因为使用的手机号码已经注销，因此通过其他任何方式验证，我也始终无法再找回该账户。这可能也意味着谷歌的零信任验证实在是过于谨慎了。

此外，像思科、Verizon 以及国内的云深互联等企业都推出了基于零信任的 SDP 服务方案。

在微隔离技术上，网络安全初创企业 Illumio 的自适应安全平台以微隔离技术为基础，在分隔策略配置方面，应用人工智能学习网络流量模式，提供多种便捷配置模式和可视化展示。国内的蔷薇灵动、山石网科等企业也在微隔离、可视化安全解决方案上进行积极探索。

根据 Gartner 在《零信任网络访问市场指南》做出的战略规划假设，到 2022 年，80％向生态合作伙伴开放的新数字业务应用将通过零信任网络访问接入；到 2023 年，将有 60％的企业将淘汰大部分的 VPN，而使用零信任网络访问。

当前，在我国企业数字化转型和业务上云等趋势的推动下，业务模式转换和迁移上云将为零信任网络安全提供实践的平台，进而可以充分利用内部业务、数据、设备等信息，形成持续、动态和细粒度的零信任安全防护方案。

同时对于传统的安全厂商而言，积极推动全新的网络安全技术和安全理念的变革，将零信任理念与传统身份管理与访问控制等技术融合，发挥传统安全厂商在身份管理领域的深耕优势，推动零信任理念与传统技术的深度融合，这样基于零信任的动态身份管理和访问权限控制解决方案才有望加速落地。

正如前面微盟、Zoom 案例所体现的，如果企业在网络安全上没有给予足够的重视，在网络安全意识和理念上仍然沿用传统的技术思路，就会因为一次的失误而引发极为严重的安全危机和巨大的经营风险。

在事关企业的生存与发展大事面前，将网络安全当作企业的生命线也不为过，而推动零信任模式的网络安全体系升级也就必须提上众多企业的议事日程了。