企業(yè)實(shí)現(xiàn)零信任網(wǎng)絡(luò)能夠獲得什么效果?實(shí)施零信任網(wǎng)絡(luò)使得企業(yè)網(wǎng)絡(luò)安全水平提升、合規(guī)審計(jì)能力提升、生產(chǎn)效率提升，其可作為網(wǎng)絡(luò)安全體系的“骨架”連接其他安全技術(shù)，筆者認(rèn)為零信任網(wǎng)絡(luò)是更符合發(fā)展潮流的IT設(shè)施建設(shè)方案。

網(wǎng)絡(luò)安全水平提升

零信任網(wǎng)絡(luò)實(shí)現(xiàn)了身份、設(shè)備、應(yīng)用的動(dòng)態(tài)信任評(píng)估體系，并通過(guò)信任評(píng)估進(jìn)行作用于資源訪問(wèn)路徑上持續(xù)的訪問(wèn)控制。零信任技術(shù)使得網(wǎng)絡(luò)平臺(tái)具備層次化的、一致的、持續(xù)的訪問(wèn)控制能力。

以資源為中心的安全保護(hù)

在邊界防護(hù)體系中，安全產(chǎn)品堆砌在網(wǎng)絡(luò)邊界，意圖建立起一道防線阻隔網(wǎng)絡(luò)攻擊，內(nèi)網(wǎng)則成為信任區(qū)，內(nèi)網(wǎng)的東西向流量缺少最基礎(chǔ)的訪問(wèn)控制能力。這種體系下內(nèi)網(wǎng)計(jì)算機(jī)失陷后，攻擊者能夠利用設(shè)備固有的信任和已授予用戶的信任來(lái)進(jìn)一步橫向移動(dòng)、訪問(wèn)資源。

零信任網(wǎng)絡(luò)則以資源保護(hù)為核心訴求規(guī)劃防護(hù)體系，通過(guò)在所有資源訪問(wèn)路徑上建立訪問(wèn)控制點(diǎn)，收斂了資源暴露面，綜合資源訪問(wèn)過(guò)程中包括身份、設(shè)備、環(huán)境、時(shí)間在內(nèi)的所有網(wǎng)絡(luò)空間因素對(duì)訪問(wèn)行為進(jìn)行可信度判斷，以此為依據(jù)從網(wǎng)絡(luò)可見(jiàn)性、資源可見(jiàn)性、資源訪問(wèn)權(quán)限三個(gè)層級(jí)進(jìn)行訪問(wèn)控制。

身份和認(rèn)證的統(tǒng)一管理

典型的企業(yè)IT系統(tǒng)建設(shè)呈現(xiàn)煙囪式，各個(gè)系統(tǒng)相互獨(dú)立，企業(yè)成員需要在每個(gè)系統(tǒng)上建立賬號(hào)，弱密碼、各系統(tǒng)用同一個(gè)密碼、密碼長(zhǎng)期不更改等問(wèn)題無(wú)法根除。當(dāng)人員流動(dòng)、人員職責(zé)變更時(shí)賬號(hào)身份管理出現(xiàn)疏漏難以避免，導(dǎo)致人員權(quán)限膨脹，遺留大量僵尸賬號(hào)等問(wèn)題。在面對(duì)網(wǎng)絡(luò)攻擊時(shí)，這些失控身份將成為攻擊者滲透企業(yè)的切入點(diǎn)，獲取資源的入口。企業(yè)可以通過(guò)建設(shè)IAM系統(tǒng)，對(duì)身份統(tǒng)一管理，建立多因子、SSO認(rèn)證，緩解身份失控風(fēng)險(xiǎn)，強(qiáng)化認(rèn)證強(qiáng)度和可信度。然而IAM系統(tǒng)是基于應(yīng)用層進(jìn)行訪問(wèn)控制，無(wú)法防護(hù)對(duì)操作系統(tǒng)、中間件等的攻擊。

零信任網(wǎng)絡(luò)在圍繞資源建立了訪問(wèn)控制點(diǎn)后，進(jìn)一步實(shí)現(xiàn)以身份為中心訪問(wèn)控制策略。工程實(shí)踐上，零信任架構(gòu)能夠與IAM系統(tǒng)對(duì)接，集成現(xiàn)有身份和訪問(wèn)管理能力，實(shí)質(zhì)上擴(kuò)展了IMA的作用邊界，將其對(duì)應(yīng)用層的保護(hù)延伸到網(wǎng)絡(luò)接入層。

設(shè)備的集中管理

企業(yè)的辦公環(huán)境正變得越來(lái)越復(fù)雜，員工需要能使用公司配發(fā)資產(chǎn)、個(gè)人自帶設(shè)備或者移動(dòng)設(shè)備訪問(wèn)企業(yè)資產(chǎn)，這對(duì)企業(yè)網(wǎng)絡(luò)安全帶來(lái)巨大挑戰(zhàn)。企業(yè)IT和安全人員需要面對(duì)設(shè)備黑洞，有多少員工自帶辦公設(shè)備、哪個(gè)設(shè)備現(xiàn)在是誰(shuí)在用、某個(gè)IP是誰(shuí)的什么設(shè)備，當(dāng)應(yīng)急響應(yīng)事件發(fā)生時(shí)如何快速定位到誰(shuí)的設(shè)備出現(xiàn)異常。EPP、EDR、CWPP等主機(jī)防護(hù)安全產(chǎn)品能夠?qū)υO(shè)備資產(chǎn)進(jìn)行管理，但是缺少將設(shè)備資產(chǎn)與企業(yè)數(shù)字身份關(guān)聯(lián)的能力。

零信任網(wǎng)絡(luò)為所有設(shè)備建立標(biāo)識(shí)，關(guān)聯(lián)設(shè)備與使用者身份，將設(shè)備狀態(tài)作為訪問(wèn)控制策略的關(guān)鍵因素，納入信任度評(píng)價(jià)體系，不同設(shè)備類型、不同設(shè)備狀態(tài)計(jì)算出不同信任度，不同信任度設(shè)定合理的資源訪問(wèn)權(quán)限。在實(shí)踐中，設(shè)備管理可以采用靈活的解決方案，例如對(duì)公司設(shè)備資產(chǎn)頒發(fā)專用數(shù)字證書賦予唯一身份認(rèn)證，員工自帶設(shè)備則安裝客戶端軟件進(jìn)行基線檢測(cè)。

與傳統(tǒng)安全產(chǎn)品形成互補(bǔ)

零信任體系能夠與傳統(tǒng)安全產(chǎn)品集成，或者直接使用傳統(tǒng)安全產(chǎn)品實(shí)現(xiàn)。以NIST抽象的零信任架構(gòu)為例：策略決策點(diǎn)可與IAM系統(tǒng)對(duì)接實(shí)現(xiàn)身份信息的獲取和認(rèn)證授權(quán)，持續(xù)評(píng)估可結(jié)合UEBA、SOC、SIEM等系統(tǒng)實(shí)現(xiàn)，設(shè)備資產(chǎn)的標(biāo)識(shí)和保護(hù)可以使用EDR類產(chǎn)品，設(shè)備資產(chǎn)可以安裝DLP類產(chǎn)品實(shí)現(xiàn)端到端的資源保護(hù)。

合規(guī)審計(jì)能力提升

滿足等保2.0的解決方案

等保2.0完善了我國(guó)網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)，其提出的一個(gè)中心三重防護(hù)思想與零信任思想高度契合。在CSA發(fā)布的《SDP實(shí)現(xiàn)等保2.0合規(guī)技術(shù)指南白皮書》中，CSA中國(guó)區(qū)專家梳理了SDP與等保技術(shù)要求點(diǎn)的適用情況，零信任技術(shù)在等保2.0技術(shù)要求的網(wǎng)絡(luò)架構(gòu)、通信傳輸、邊界安全、訪問(wèn)控制、安全審計(jì)、身份鑒別等要求項(xiàng)上均有良好適用性。

生產(chǎn)效率提升

位置無(wú)關(guān)的辦公體驗(yàn)

企業(yè)將信息系統(tǒng)、資源部署在私有或者云數(shù)據(jù)中心，員工通過(guò)辦公場(chǎng)所的有線固網(wǎng)、企業(yè)專有WIFI等方式接入網(wǎng)絡(luò)獲取工作所需資源。外出員工、企業(yè)分支機(jī)構(gòu)、合作伙伴則通過(guò)虛擬專用網(wǎng)與數(shù)據(jù)中心建立連接，進(jìn)行日常辦公和信息交互。用戶使用不同工具對(duì)資源進(jìn)行訪問(wèn)。

在零信任網(wǎng)絡(luò)下，無(wú)論員工在辦公場(chǎng)所、機(jī)場(chǎng)、高鐵，無(wú)論資源在私有數(shù)據(jù)中心還是公有云上，其都能通過(guò)零信任網(wǎng)絡(luò)提供的“身份、設(shè)備、應(yīng)用”信任鏈訪問(wèn)有權(quán)訪問(wèn)的資源。

便捷的資源訪問(wèn)

隨著企業(yè)數(shù)據(jù)中心和分支機(jī)構(gòu)增多，異地?cái)?shù)據(jù)中心繁多，核心應(yīng)用上云，大量應(yīng)用第三方SaaS，其辦公環(huán)境愈發(fā)復(fù)雜，員工一項(xiàng)工作需要多種資源，所需資源分布在不同物理設(shè)施，工作時(shí)常要登錄多個(gè)系統(tǒng)，來(lái)回切換不同的虛擬專用網(wǎng)。

零信任網(wǎng)絡(luò)通過(guò)統(tǒng)一的認(rèn)證管理，使得員工一次登錄即可獲得應(yīng)有的應(yīng)用訪問(wèn)權(quán)限，同時(shí)使用部署在不同位置的應(yīng)用，極大改善了工作效率和工作體驗(yàn)。