本文轉載自“安在”微信公眾號

零信任作為近年來(lái)在安全圈持續火熱的概念之一，自誕生起就被譽(yù)為能夠解決“一切安全問(wèn)題”的終極手段。據Gartner的研究顯示，零信任網(wǎng)絡(luò )接入（ZTNA）將成為全球增長(cháng)最快的網(wǎng)絡(luò )安全細分市場(chǎng)，在2022年增長(cháng)36%。而在《零信任發(fā)展洞察報告（2022）》顯示，我國金融與電信行業(yè)在近三年落地零信任的企業(yè)逐年增長(cháng)，越來(lái)越多的企業(yè)認可零信任架構所提供的安全防護能力。

此外，由于國內HW行動(dòng)涉及的單位越來(lái)越廣，對抗演練越來(lái)越貼近實(shí)際情況，很多企業(yè)的VPN設備及暴露在外部的應用被打穿，導致系統被攻破。因此，VPN設備已經(jīng)等同于非常危險的基礎設施。在此背景下，各甲方企業(yè)不得不尋找VPN的替代品，零信任成為企業(yè)的第一選擇。

在供給側方面，據《零信任發(fā)展洞察報告（2022）》顯示，國內零信任供應商圍繞網(wǎng)絡(luò )環(huán)境安全、終端安全、應用安全和負載、數據安全及安全管理這六大領(lǐng)域建設，零信任生態(tài)環(huán)境已經(jīng)建立，大部分國內安全廠(chǎng)商的零信任能力基本成熟

然而，這也導致國內零信任賽道呈現擁擠態(tài)勢。由于疫情導致的遠程辦公和“去VPN”化讓零信任市場(chǎng)得到了發(fā)展的空間，越來(lái)越多的安全廠(chǎng)商加入零信任賽道。當下，至少有80%的廠(chǎng)商聲稱(chēng)擁有零信任相關(guān)產(chǎn)品，在零信任相關(guān)的各個(gè)領(lǐng)域中，都有安全廠(chǎng)商在尋求突破。

雖然國內零信任市場(chǎng)已經(jīng)初具規模，但當下的零信任產(chǎn)品在成熟度方面還有進(jìn)步的空間。這是因為國內零信任起步較晚，國內安全市場(chǎng)環(huán)境與國際環(huán)境又有所不同，導致國內零信任產(chǎn)品參差不齊。據某廠(chǎng)商專(zhuān)家表示，由于零信任在國內發(fā)展較晚，多數廠(chǎng)商沿用過(guò)去的產(chǎn)品路徑開(kāi)發(fā)零信任產(chǎn)品，過(guò)去做網(wǎng)關(guān)的廠(chǎng)商，其零信任產(chǎn)品在網(wǎng)關(guān)方面比較強，同理，過(guò)去做終端的廠(chǎng)商其零信任產(chǎn)品在終端方面比較強。

組織建立零信任架構就像搭起一棟房屋，網(wǎng)關(guān)、端點(diǎn)、身份、軟件等等就像組成屋子的各個(gè)部分，任何一部分的缺失都會(huì )讓這間屋子失去遮風(fēng)擋雨的能力。因此，如何全面地推動(dòng)和建設零信任架構就成為很多組織和廠(chǎng)商的一個(gè)重要問(wèn)題。

對此，聯(lián)軟科技副總裁及聯(lián)合創(chuàng )始人張建耀表示，全網(wǎng)零信任是解決當下零信任架構不完整、不全面、不均衡的主要方式之一。

全網(wǎng)零信任是什么？

眾所周知，零信任概念早在2010年就被Forrester的分析師John Kindervag所提出。起初這一概念并沒(méi)有得到廣泛推廣，直到云計算開(kāi)始發(fā)展，微服務(wù)，大數據，移動(dòng)計算等新一代信息化建設得到發(fā)展動(dòng)力，組織的傳統物理網(wǎng)絡(luò )邊界變得模糊，零信任開(kāi)始得到重視。2017年谷歌對外宣布其基于零信任架構實(shí)踐的新一代企業(yè)網(wǎng)絡(luò )安全架構Beyound Corp項目成功完成，這為零信任在大型，新型企業(yè)網(wǎng)絡(luò )的實(shí)踐提供參考架構。這一最佳實(shí)踐為零信任理念發(fā)展的助推劑，也進(jìn)一步促進(jìn)了零信任市場(chǎng)的形成。

據張建耀介紹，全網(wǎng)零信任就是基于谷歌的實(shí)踐得來(lái)的。全網(wǎng)零信任本質(zhì)上與其他零信任產(chǎn)品沒(méi)有太大區別，冠以全網(wǎng)二字是因為當下80%的零信任產(chǎn)品基于互聯(lián)網(wǎng)側去訪(fǎng)問(wèn)服務(wù)器和內網(wǎng)資源，對于外網(wǎng)、云訪(fǎng)問(wèn)等場(chǎng)景力有不逮。而聯(lián)軟是具備從辦公區域的內網(wǎng)、外網(wǎng)、云等全場(chǎng)景訪(fǎng)問(wèn)的安全供應商，其所帶來(lái)的全網(wǎng)零信任架構更加綜合、全面。

全網(wǎng)零信任的全面性意味著(zhù)它幾乎適合所有行業(yè)，特別是對網(wǎng)絡(luò )支撐運營(yíng)要求較高的用戶(hù)，例如金融、政府、運營(yíng)商等等。從場(chǎng)景來(lái)看，全網(wǎng)零信任分為三大場(chǎng)景，第一大場(chǎng)景是針對內網(wǎng)設備接入，也就是將傳統的網(wǎng)絡(luò )準入控制升級為基于零信任架構的內網(wǎng)訪(fǎng)問(wèn)控制。這個(gè)場(chǎng)景的覆蓋面最大，因為大部分企業(yè)和大部分員工都會(huì )通過(guò)內網(wǎng)接入。第二大場(chǎng)景是傳統的遠程接入場(chǎng)景，無(wú)論是分支機構還是遠程辦公的BYOD，都可以通過(guò)全網(wǎng)零信任架構進(jìn)行統一的管控和檢測。第三大場(chǎng)景是混合云場(chǎng)景，以零信任架構對用戶(hù)接入云平臺應用的各個(gè)環(huán)節，包括安全認證、身份識別等進(jìn)行控制。

全網(wǎng)零信任同其他零信任產(chǎn)品最大的區別在于其核心組件具備內網(wǎng)網(wǎng)絡(luò )準入控制的能力。常見(jiàn)的零信任產(chǎn)品對待內網(wǎng)設備和外網(wǎng)設備的策略是一致的，即在設備通過(guò)SDP網(wǎng)關(guān)時(shí)對其驗證。這種驗證方法雖然有效，但細粒度并不夠。對此，聯(lián)軟的全網(wǎng)零信任仿照谷歌的實(shí)踐類(lèi)型，將內網(wǎng)網(wǎng)絡(luò )準入同互聯(lián)網(wǎng)側接入策略分隔開(kāi)。設備接入前需要先驗證基礎安全，才能允許接入內網(wǎng)。細粒度的進(jìn)一步增加讓全網(wǎng)零信任的控制性更強，更能精準把控組織內網(wǎng)和設備準入安全。

聯(lián)軟科技的三大優(yōu)勢

通過(guò)上述介紹可以看出，全網(wǎng)零信任相對于其他零信任產(chǎn)品來(lái)說(shuō)更為全面，對組織的安全也更有保障。但對于用戶(hù)來(lái)說(shuō)，一款產(chǎn)品或解決方案的好壞不單單只參考其性能，還要考慮包括成本、落地等很多因素，對此，張建耀表示，聯(lián)軟在全網(wǎng)零信任方面有三大優(yōu)勢。首先聯(lián)軟是中國端點(diǎn)安全的領(lǐng)導者，具備大量的用戶(hù)積累。同時(shí)，由于聯(lián)軟的全網(wǎng)零信任架構基于企業(yè)安全平臺（ESPP）之上，在這個(gè)平臺上還包括SDP、EMM、NAC、EPP、EDR以及DLP等等。因此，企業(yè)想要升級零信任就變得非常簡(jiǎn)單。對于內網(wǎng)準入控制而言，組織只需要進(jìn)行一次升級就可以順利過(guò)渡到全網(wǎng)零信任架構，而對于外網(wǎng)來(lái)說(shuō)，組織需要一步步替換掉所有VPN，然后將原有的VPN訪(fǎng)問(wèn)切換到基于零信任架構的SDP框架中。

第二個(gè)優(yōu)勢是聯(lián)軟解決核心問(wèn)題的能力。企業(yè)在建設零信任的過(guò)程中，真正的痛點(diǎn)是數據安全。對此，聯(lián)軟通過(guò)沙箱和虛擬化的技術(shù)形成了一系列的數據安全方案，能夠真正解決用戶(hù)的數據安全問(wèn)題。另外，基于零信任架構的復雜性和豐富性，企業(yè)若想實(shí)現SDP、IAM以及微隔離等全方面的零信任，就需要從身份問(wèn)題入手。對此，聯(lián)軟在全網(wǎng)零信任架構后增加了一個(gè)簡(jiǎn)化版的IAM，利用IAM的密碼、雙因素等方面的功能進(jìn)一步解決身份問(wèn)題。同時(shí)，聯(lián)軟還將IAM訪(fǎng)問(wèn)哪些業(yè)務(wù)系統，應用哪些數據等配置方面交給專(zhuān)業(yè)的IAM廠(chǎng)商，在促進(jìn)國內零信任生態(tài)發(fā)展的同時(shí)，最大程度保障組織身份安全。

第三個(gè)優(yōu)勢就是聯(lián)軟在生態(tài)方面的優(yōu)勢，聯(lián)軟同很多業(yè)內頭部的安全企業(yè)合作，并參與了很多標準的建設。聯(lián)軟是最早一批的CSA聯(lián)盟成員，并深度參與過(guò)早期的SDP標準建設。此外，聯(lián)軟還同華為、Forrester等企業(yè)發(fā)布了《零信任最佳實(shí)踐》白皮書(shū)，就零信任架構的關(guān)鍵價(jià)值，零信任架構的識別部署以及應用案例等進(jìn)行了深入的討論。

在標準方面，聯(lián)軟還參與了國家信息中心的《政務(wù)外網(wǎng)終端一機兩用安全管控技術(shù)指南》標準的編寫(xiě)。國家信息中心作為主管部門(mén)，在監管全國政務(wù)外網(wǎng)中發(fā)現政務(wù)系統存在著(zhù)大量的“跨網(wǎng)訪(fǎng)問(wèn)”現象，政務(wù)外網(wǎng)終端可同時(shí)連接外網(wǎng)和互聯(lián)網(wǎng)，存在著(zhù)極大的風(fēng)險。在“一機兩用”標準的推動(dòng)下，各政務(wù)利用零信任架構將政務(wù)外網(wǎng)與互聯(lián)網(wǎng)相互隔離，解決了政務(wù)系統的跨網(wǎng)攻擊、數據泄露等安全隱患。在參與建立標準的過(guò)程中，聯(lián)軟的全網(wǎng)零信任得到了充分的實(shí)踐經(jīng)驗，在政企用戶(hù)中也得到了廣泛的認可。

除了政企行業(yè)，聯(lián)軟的全網(wǎng)零信任在金融、運營(yíng)商等行業(yè)都得了落地和實(shí)踐。據張建耀介紹，在金融行業(yè)中，有7成以上的企業(yè)應用了聯(lián)軟的準入系統，近20萬(wàn)個(gè)實(shí)踐案例讓這些用戶(hù)在向零信任轉型的過(guò)程中，優(yōu)先考慮聯(lián)軟的全網(wǎng)零信任架構。

全網(wǎng)零信任如何落地

當然，由于各行業(yè)及企業(yè)的實(shí)際情況不同，在落地零信任時(shí)所關(guān)注和考慮的重點(diǎn)也不同，多行業(yè)案例雖然能夠證明產(chǎn)品的廣泛性，但對于用戶(hù)而言，如何切實(shí)解決問(wèn)題才是重點(diǎn)。對此，張建耀表示，聯(lián)軟經(jīng)過(guò)多年的實(shí)踐和探索，已經(jīng)初步形成了一套完整的零信任落地方案。

首先是組織引入零信任安全的最佳時(shí)機。當下有許多企業(yè)受制于安全環(huán)境和國內監管壓力，不得不采納零信任架構。但零信任架構需要完整可用，而完整意味著(zhù)成本。對此，張建耀認為，企業(yè)推動(dòng)零信任需要一個(gè)時(shí)機，這個(gè)時(shí)機來(lái)自于組織數字化轉型時(shí)所遇到包括云化、移動(dòng)化導致訪(fǎng)問(wèn)不可控、身份不可辨、資源不可查等等問(wèn)題。以“去VPN”為例，組織可以通過(guò)替換VPN來(lái)逐步將零信任納入安全架構中。然后再一個(gè)系統一個(gè)系統逐步推動(dòng)零信任的建設，最終形成整體的零信任架構。

其次是做好總體規劃。零信任架構不是一款產(chǎn)品，一套針對性地解決方案，而是徹底地改變整個(gè)組織的訪(fǎng)問(wèn)場(chǎng)景和網(wǎng)絡(luò )環(huán)境，因此，在建設零信任之前，組織需要提前做好總體規劃，確定零信任架構的最終狀態(tài)，不能摸著(zhù)石頭過(guò)河。但是，在總體規劃向實(shí)際落地的過(guò)程中有兩個(gè)難點(diǎn)，第一是數據安全，大多數零信任方案是沒(méi)有考慮數據安全的，特別是在云化和移動(dòng)化之后，組織需要考慮如何保護數據，如何讓數據落地等等。第二是信創(chuàng )，信創(chuàng )所帶來(lái)的操作系統給很多零信任產(chǎn)品帶來(lái)了兼容性方面的挑戰，零信任廠(chǎng)商既要滿(mǎn)足Windows、Mac，還要滿(mǎn)足信創(chuàng )系統，其架構系統的復雜度非常高。

張建耀表示，上述經(jīng)驗雖然是一家之言，但也是聯(lián)軟通過(guò)大量客戶(hù)總結和累積的經(jīng)驗。目前，聯(lián)軟的內網(wǎng)準入設備裝機量已經(jīng)達到2000萬(wàn)臺終端，升級到全網(wǎng)零信任架構的用戶(hù)也非常廣泛。換言之，聯(lián)軟的全網(wǎng)零信任架構不僅得到了實(shí)踐經(jīng)驗，其架構的領(lǐng)先性也得到了證實(shí)。

尾聲

2023年被不少專(zhuān)家和廠(chǎng)商認為是零信任的“發(fā)展大年”，其根本在于一方面越來(lái)越多的企業(yè)加入云化和移動(dòng)化，企業(yè)對于身份權限的要求越來(lái)越高；另一方面是疫情結束后各廠(chǎng)商無(wú)論是安服還是線(xiàn)下?tīng)I銷(xiāo)都可以正常開(kāi)展。

對于國內零信任越來(lái)越火熱的趨勢，張建耀表示，聯(lián)軟已經(jīng)做好了充足的準備。在信創(chuàng )方面，聯(lián)軟目前已經(jīng)適配了國內主流的操作系統例如統信、麒麟等等；在數據安全方面，聯(lián)軟已經(jīng)能夠解決客戶(hù)的大部分場(chǎng)景；在安全分析方面，聯(lián)軟此前發(fā)布的EDR等相關(guān)產(chǎn)品已經(jīng)能夠幫助用戶(hù)解決安全分析、入侵檢測、防勒索、防釣魚(yú)等等；在IAM方面，聯(lián)軟已經(jīng)將其融入到全網(wǎng)零信任的框架中。即便如此，張建耀認為，聯(lián)軟還有進(jìn)一步發(fā)展的空間，未來(lái)，聯(lián)軟科技將在這四個(gè)方面繼續布局，為用戶(hù)提供能力更強大的全網(wǎng)零信任產(chǎn)品。

期待全網(wǎng)零信任的推出能夠改變國內零信任市場(chǎng)環(huán)境，讓用戶(hù)能夠更便捷、更全面地應用零信任架構及產(chǎn)品，讓更多企業(yè)的安全架構步入零信任的新階段。