【51CTO.com原創(chuàng)稿件】傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)把不同的網(wǎng)絡(luò)劃分為不同的區(qū)域，不同區(qū)域之間使用防火墻進(jìn)行隔離。每個(gè)區(qū)域都被授予某種程度的信任，它決定了哪些網(wǎng)絡(luò)資源允許被訪問(wèn)。這種安全建設(shè)思路提供了非常強(qiáng)大的縱深防御能力。

但是，隨著云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等技術(shù)的快速發(fā)展，企業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的不斷推進(jìn)，傳統(tǒng)的內(nèi)外網(wǎng)邊界模糊，企業(yè)已經(jīng)無(wú)法基于傳統(tǒng)的物理邊界進(jìn)行安全建設(shè)。傳統(tǒng)的安全建設(shè)思路已經(jīng)很難去適應(yīng)企業(yè)的快速成長(zhǎng)和業(yè)務(wù)的快速變化。例如在移動(dòng)辦公場(chǎng)景下，員工、供應(yīng)商、合作伙伴需要從全球各個(gè)位置安全地接入企業(yè)內(nèi)網(wǎng)進(jìn)行訪問(wèn)。此外，應(yīng)用的移動(dòng)化、數(shù)據(jù)中心的云化也不斷地帶來(lái)更多的安全問(wèn)題。面對(duì)日益復(fù)雜的安全威脅，企業(yè)需要構(gòu)筑全新的網(wǎng)絡(luò)安全架構(gòu)。在此背景下，零信任應(yīng)運(yùn)而生，成為網(wǎng)絡(luò)安全發(fā)展的必然趨勢(shì)。

先來(lái)說(shuō)說(shuō)，什么是零信任？

2010年，F(xiàn)orrester的分析師約翰.金德維格（John Kindervag）正式提出"零信任模型"。關(guān)于零信任，他提到了三個(gè)核心觀點(diǎn)：不再以一個(gè)清晰的邊界，來(lái)劃分信任或不信任的設(shè)備；不再有信任或不信任的網(wǎng)絡(luò)，不再有信任或不信任的用戶。

其研究報(bào)告指出，將網(wǎng)絡(luò)安全融入網(wǎng)絡(luò)建設(shè)，默認(rèn)安全也是IT基礎(chǔ)設(shè)施的一部分，采用零信任網(wǎng)絡(luò)架構(gòu)可實(shí)現(xiàn)：

1）分割--網(wǎng)絡(luò)細(xì)粒度分區(qū)，對(duì)網(wǎng)絡(luò)采取細(xì)粒度的區(qū)域劃分，來(lái)隔絕安全事件的蔓延和發(fā)生。

2）平行--構(gòu)建多個(gè)平行的流量交換和監(jiān)測(cè)點(diǎn) Microcore and perimeter（MCAP），作為每個(gè)區(qū)域的流量交換、監(jiān)測(cè)和安全防御點(diǎn)。

3）集中化--集中化地對(duì)網(wǎng)絡(luò)和安全進(jìn)行管理 Segmentation gateway（SG）， 集合和防火墻、IPS、WAF、NAC、內(nèi)容過(guò)濾網(wǎng)關(guān)……SG定義全局的策略和流量分配。

2011年到2017年，谷歌花了6年時(shí)間才遷移到BeyondCorp零信任環(huán)境。期間谷歌不得不重新定義和調(diào)整其職位角色及分類，建立起全新的主控庫(kù)存服務(wù)以跟蹤設(shè)備，并重新設(shè)計(jì)用戶身份驗(yàn)證及訪問(wèn)控制策略。此后，國(guó)內(nèi)外廠商紛紛推出自己的零信任產(chǎn)品或架構(gòu)，零信任逐漸流行起來(lái)。

零信任是實(shí)現(xiàn)精益信任的第一步

就網(wǎng)絡(luò)安全而言，零信任模式引入了一些新的思考角度，同時(shí)也解決了很多以前難以解決的問(wèn)題。但是，在零信任的研究和落地過(guò)程中，仍有很多疑問(wèn)沒(méi)有解決。核心疑問(wèn)之一就是零信任理念中"從不信任 , 總是驗(yàn)證"，信任是否總是為"零"？因?yàn)樾湃问菢I(yè)務(wù)訪問(wèn)的基石，業(yè)務(wù)訪問(wèn)又是業(yè)務(wù)開(kāi)展的第一步，如果信任總是為"零"，那么業(yè)務(wù)訪問(wèn)的需求如何進(jìn)行？零信任如何與業(yè)務(wù)系統(tǒng)、已有安全建設(shè)兼容……對(duì)此，國(guó)際權(quán)威 IT 研究分析機(jī)構(gòu) Gartner 在研究報(bào)告《Zero Trust Is an Initial Step on the Roadmap to CARTA》指出 , "Zero trust isn't the goal,lean trust is.（零信任不是目標(biāo)，精益信任才是。）"。換句話說(shuō)，零信任是實(shí)現(xiàn)精益信任的第一步。精益信任以風(fēng)險(xiǎn)和信任為中心，重構(gòu)網(wǎng)絡(luò)安全架構(gòu)，通過(guò)信任的精益控制，實(shí)現(xiàn)風(fēng)險(xiǎn)的精益管理。

與零信任的"從不信任,總是驗(yàn)證"理念不同，在精益信任中，強(qiáng)調(diào)"精確而足夠"的信任，主張信任的精益控制。業(yè)務(wù)以信任為基石，所有業(yè)務(wù)交互，都需要主客體間的信任。并且，信任與風(fēng)險(xiǎn)相伴相生，風(fēng)險(xiǎn)是信任的必然產(chǎn)物。網(wǎng)絡(luò)安全無(wú)法實(shí)現(xiàn)"零"風(fēng)險(xiǎn)，信任與風(fēng)險(xiǎn)的反饋控制是安全的實(shí)質(zhì)。精準(zhǔn)的控制需要基于多源信息，持續(xù)評(píng)估風(fēng)險(xiǎn)，然后根據(jù)風(fēng)險(xiǎn)水平和安全需求，精益地建立、調(diào)整信任。

深信服的精益信任

毫無(wú)疑問(wèn)，投入對(duì)零信任技術(shù)體系的研究，建設(shè)以零信任模型為技術(shù)思想的新時(shí)代背景下的新型安全體系，是擁有戰(zhàn)略眼光的網(wǎng)絡(luò)安全企業(yè)自然應(yīng)該早早謀定的大事。作為一家有遠(yuǎn)見(jiàn)的安全廠商，深信服在國(guó)內(nèi)先人一步推出了基于精益信任落地方案。

在2019深信服創(chuàng)新大會(huì)上，深信服正式發(fā)布了其精益信任安全解決方案。深信服精益信任在零信任的基礎(chǔ)上實(shí)現(xiàn)了增強(qiáng)，深信服認(rèn)為，零信任解決了破碎的邊界問(wèn)題，但是安全并不是由任意一個(gè)安全產(chǎn)品就能夠獨(dú)自解決的，安全一定是需要聯(lián)動(dòng)和協(xié)作的。零信任需要和其他安全的設(shè)備進(jìn)行聯(lián)動(dòng)，形成互補(bǔ)的、統(tǒng)一的安全體系。

深信服精益信任解決方案基于信任和風(fēng)險(xiǎn)的閉環(huán)，以aTrust平臺(tái)為核心，整合了終端安全、邊界安全、態(tài)勢(shì)感知和外網(wǎng)已有的安全設(shè)備，進(jìn)行統(tǒng)一聯(lián)動(dòng)，形成自主調(diào)優(yōu)、快速處置的統(tǒng)一安全體系，最終實(shí)現(xiàn)內(nèi)外網(wǎng)"精確而足夠"的信任。

如上圖所示，在精益信任解決方案中，用戶的訪問(wèn)請(qǐng)求和信任判斷將大致經(jīng)歷如下過(guò)程：

1) 所有來(lái)自用戶端的訪問(wèn)請(qǐng)求都需要先經(jīng)過(guò)"控制中心"的信任評(píng)估模塊，從身份、設(shè)備、環(huán)境、行為4大維度進(jìn)行信任評(píng)估，評(píng)估后授予相應(yīng)的信任等級(jí)。

2) 開(kāi)始業(yè)務(wù)訪問(wèn)后，用戶的后續(xù)訪問(wèn)也會(huì)通過(guò)態(tài)勢(shì)感知中心，實(shí)時(shí)地采集檢測(cè)流量，對(duì)用戶行為進(jìn)行分析，通報(bào)動(dòng)態(tài)威脅，隨后將流量、行為、資源風(fēng)險(xiǎn)結(jié)果反饋給"控制中心"。

3) 同時(shí)，在整個(gè)通信過(guò)程中，"終端檢測(cè)與響應(yīng)"平臺(tái)會(huì)從操作系統(tǒng)、文件系統(tǒng)、應(yīng)用程序、進(jìn)程狀態(tài)等層面，持續(xù)評(píng)估終端環(huán)境，并將評(píng)估結(jié)果反饋給"控制中心"。

4) "控制中心"按照策略動(dòng)態(tài)調(diào)整授權(quán)等級(jí)，最終，由"控制中心"統(tǒng)一進(jìn)行風(fēng)險(xiǎn)計(jì)算、信任評(píng)估、動(dòng)態(tài)授權(quán)和權(quán)限管理。

深信服指出，精益信任實(shí)現(xiàn)的關(guān)鍵點(diǎn)在于五大方面：全面身份化、多源信任評(píng)估、動(dòng)態(tài)訪問(wèn)控制、統(tǒng)一安全、可成長(zhǎng)，從以上過(guò)程不難看出，深信服精益信任解決防范正是由這些關(guān)鍵點(diǎn)組成。

其中可成長(zhǎng)性體現(xiàn)在，精益信任可根據(jù)企業(yè)的不同發(fā)展階段在功能上選擇性部署。同時(shí)在私有化、云化等多種部署場(chǎng)景下，與終端檢測(cè)響應(yīng)、安全感知平臺(tái)等產(chǎn)品對(duì)接聯(lián)動(dòng)，自適應(yīng)的去匹配企業(yè)發(fā)展的各個(gè)場(chǎng)景和階段,從而為企業(yè)打造一個(gè)量身定制的統(tǒng)一安全體系。

立足用戶需求，打造精益信任方案

說(shuō)了這么多關(guān)于深信服精益信任的事兒，也許此時(shí)有人會(huì)問(wèn)了：深信服精益信任對(duì)用戶究竟有哪些價(jià)值呢？這些價(jià)值可以總結(jié)成三點(diǎn)，"融合易落地"，"更高效實(shí)現(xiàn)保護(hù)"，"統(tǒng)一自動(dòng)化運(yùn)維"。

首先，該方案能夠充分將用戶的改造成本控制在較低范圍。因?yàn)樯钚欧嫘湃蔚腶Trust平臺(tái)可以將各類安全產(chǎn)品融合聯(lián)動(dòng)，包括EDR、IAM、UEBA等系統(tǒng)，不需要采購(gòu)新的安全設(shè)備，即可實(shí)現(xiàn)統(tǒng)一的安全，用戶可結(jié)合組織的安全現(xiàn)狀，在較低成本下，構(gòu)建容易落地的精益信任方案。

其次，通過(guò)多源信息評(píng)估和訪問(wèn)行為身份化手段，在每一次訪問(wèn)行為中嵌入代表身份的標(biāo)識(shí)，極大地收縮攻擊面，減小了企業(yè)用戶關(guān)鍵資源被入侵的概率。同時(shí)利用信任的動(dòng)態(tài)控制，實(shí)現(xiàn)訪問(wèn)安全保護(hù)和業(yè)務(wù)需求的動(dòng)態(tài)平衡，為用戶提供更有效的、面向未來(lái)的安全保護(hù)。

最后，對(duì)于數(shù)據(jù)、計(jì)算資源集中，內(nèi)外部大量用戶頻繁訪問(wèn)的復(fù)雜場(chǎng)景，精益信任能夠結(jié)合業(yè)務(wù)需求實(shí)現(xiàn)高度融合的安全防護(hù)和便捷統(tǒng)一的自動(dòng)化運(yùn)維。

舉個(gè)例子，大型企業(yè)內(nèi)部通常有很多業(yè)務(wù)系統(tǒng)和安全設(shè)備，若采取零信任安全架構(gòu)，則需要對(duì)現(xiàn)有業(yè)務(wù)進(jìn)行較大改造，現(xiàn)有安全設(shè)備對(duì)接起來(lái)也將存在各種問(wèn)題。若采用深信服精益信任解決方案，優(yōu)勢(shì)則相當(dāng)明顯。因?yàn)樯钚欧嫘湃畏桨覆粌H能與已有業(yè)務(wù)資產(chǎn)的訪問(wèn)權(quán)限和身份信息自動(dòng)化對(duì)接，另外針對(duì)業(yè)務(wù)系統(tǒng)，也能建立統(tǒng)一身份認(rèn)證和單點(diǎn)登錄策略，根據(jù)業(yè)務(wù)安全等級(jí)建立相應(yīng)的信任等級(jí)評(píng)估和調(diào)整策略。而后，通過(guò)特有標(biāo)簽庫(kù)機(jī)制，對(duì)接已有安全設(shè)備日志和實(shí)時(shí)流量，感知全局安全風(fēng)險(xiǎn)。最后，基于風(fēng)險(xiǎn)調(diào)整信任的等級(jí)，進(jìn)行自動(dòng)化處置?；?quot;融合易落地"，"全面身份化"，"統(tǒng)一自動(dòng)化運(yùn)維"的特點(diǎn)，深信服精益信任提供更全面更易用的安全價(jià)值。

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】