01 碎片化網(wǎng)絡(luò)帶來的挑戰(zhàn)

任何一款有價值、有意義的產(chǎn)品，一定是滿足了某些特定需求，或是解決了某些特定問題。做產(chǎn)品就是要找到這種最本質(zhì)、最核心的問題，也就是我們通常說的0到1的問題。所以，當(dāng)我們起心動念要去定義一個跟零信任相關(guān)的安全產(chǎn)品時，就先得想清楚我們到底要解決什么核心問題？滿足什么核心需求？

隨著云計(jì)算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等基礎(chǔ)技術(shù)的革新，政府和企業(yè)的辦公網(wǎng)、生產(chǎn)網(wǎng)都出現(xiàn)了巨大變化——網(wǎng)絡(luò)越來越碎片化了。一個企業(yè)同時使用多個云服務(wù)、多個數(shù)據(jù)中心、多個辦公職場已經(jīng)非常普遍，再加上移動辦公、分支機(jī)構(gòu)、渠道合作伙伴遠(yuǎn)程協(xié)同，遠(yuǎn)程連接業(yè)務(wù)資源，這讓我們的辦公網(wǎng)、生產(chǎn)網(wǎng)變得越來越像是一個私有的互聯(lián)網(wǎng)。

在碎片化網(wǎng)絡(luò)里，網(wǎng)絡(luò)通信本不是問題，有很多技術(shù)和方法都可以實(shí)現(xiàn)，但安全治理卻出現(xiàn)了很多新的挑戰(zhàn)。

1、暴露面越來越多：網(wǎng)絡(luò)逐漸碎片化，意味著需要通過不可信網(wǎng)絡(luò)進(jìn)行數(shù)據(jù)傳輸?shù)木W(wǎng)絡(luò)通道就越來越多，導(dǎo)致了不可信網(wǎng)絡(luò)的暴露面增多，攻擊者可用來滲透的入口也持續(xù)增多。

2、統(tǒng)一安全管控變得更難：大多數(shù)企業(yè)都有自己的集中身份管理、單點(diǎn)登錄系統(tǒng)等等，有些對安全有更高要求的企業(yè)還有終端DLP系統(tǒng)、終端集中管控系統(tǒng)、統(tǒng)一威脅分析系統(tǒng)、態(tài)勢感知系統(tǒng)。在碎片化網(wǎng)絡(luò)中如果想全局統(tǒng)一進(jìn)行管控，就需要讓這些系統(tǒng)跟每一個獨(dú)立網(wǎng)絡(luò)都能通信，要讓所有分布在各個網(wǎng)絡(luò)碎片中的終端可以訪問這些系統(tǒng)，把各類安全數(shù)據(jù)發(fā)送到這些系統(tǒng)上來，以及從中心系統(tǒng)把安全策略分發(fā)到每個網(wǎng)絡(luò)碎片中去，這勢必又要把這些系統(tǒng)暴露在外。這樣雖然實(shí)現(xiàn)了統(tǒng)一管控，但暴露面又增加了，安全風(fēng)險也與日俱增。

在碎片化的網(wǎng)絡(luò)里，統(tǒng)一管控和減少暴露面怎么才能共存？這是個很大的挑戰(zhàn)。

3、網(wǎng)絡(luò)IP地址與人的關(guān)聯(lián)越來越弱：現(xiàn)在的網(wǎng)絡(luò)環(huán)境越來越繁雜，在碎片化的網(wǎng)絡(luò)中使用了大量的IP地址轉(zhuǎn)換和動態(tài)IP技術(shù)，網(wǎng)絡(luò)地址跟人或終端的關(guān)聯(lián)性越來越弱，這讓原來的網(wǎng)絡(luò)安全產(chǎn)品的實(shí)際效果大不如前。安全的本質(zhì)問題是人的問題，但傳統(tǒng)的網(wǎng)絡(luò)安全產(chǎn)品大多基于網(wǎng)絡(luò)流量進(jìn)行威脅檢測和阻斷，IP地址現(xiàn)在跟人和終端沒有關(guān)聯(lián)，即便是檢測到了威脅，僅僅憑借一個源IP，即找不到真正有惡意企圖的人，又不敢直接封禁IP，因?yàn)闆]準(zhǔn)這一封禁，就把一群人都封禁了。

內(nèi)網(wǎng)互聯(lián)網(wǎng)化的過程中，暴露面問題、統(tǒng)一管控問題、網(wǎng)絡(luò)地址與人無關(guān)問題，是最硬核的需要解決的三個問題。

02 我們距離零信任還有多遠(yuǎn)？

零信任是一套安全原則，給出了一個安全網(wǎng)絡(luò)應(yīng)該具備的特性，比如：隔離、隱藏、白名單模式、以身份為中心的策略、最小授權(quán)、動態(tài)信任等等，讓安全回歸到人和數(shù)據(jù)本質(zhì)。按照這套原則，理論上是已經(jīng)解決了上述三個問題。但零信任概念里并沒有一個標(biāo)準(zhǔn)的實(shí)現(xiàn)方法，這就是零信任讓大家覺得非常認(rèn)可，但又非常困惑的原因，也是零信任市場目前特別熱鬧的原因。

典型的企業(yè)安全接入方案

大部分企業(yè)在網(wǎng)絡(luò)安全接入方面采用的都是這樣一套全家桶方案：終端準(zhǔn)入+VPN+IAM+SSO+堡壘機(jī)（或應(yīng)用網(wǎng)關(guān)）+防火墻+專線+威脅分析系統(tǒng)，IAM分別與準(zhǔn)入、VPN、SSO、堡壘機(jī)打通，用統(tǒng)一身份進(jìn)行認(rèn)證授權(quán)。通常已經(jīng)上了安全接入全家桶方案的企業(yè)，往往對零信任的理解更加容易困惑，為什么已經(jīng)全副武裝了還要搞零信任？

如果我們要找到產(chǎn)品的意義，就不能假設(shè)客戶環(huán)境中什么安全措施都沒有，而是需要思考在這種“全副武裝”的環(huán)境下，我們離零信任還有多遠(yuǎn)，找到這個差距，也就找到了產(chǎn)品存在的價值。

首當(dāng)其沖是暴露面問題，很明顯VPN就是一個典型的互聯(lián)網(wǎng)暴露面，近幾年VPN的0day漏洞層出不窮，成為了攻擊熱點(diǎn)。但我們說的暴露面不僅僅是互聯(lián)網(wǎng)暴露面，而是指不可信網(wǎng)絡(luò)的暴露面，這里還包括內(nèi)網(wǎng)中的暴露面，內(nèi)網(wǎng)中的暴露面問題就更多了。

在網(wǎng)絡(luò)上，訪問控制一般分成兩層來管控，一個是應(yīng)用層，我們可以通過IAM、SSO、堡壘機(jī)或應(yīng)用網(wǎng)關(guān)，基于用戶統(tǒng)一身份進(jìn)行訪問控制和審計(jì)；另一個是網(wǎng)絡(luò)層，一般通過防火墻進(jìn)行訪問控制，通過流量日志進(jìn)行審計(jì)。

這其中有個明顯的問題，雖然應(yīng)用層我們可以用統(tǒng)一身份進(jìn)行管控和審計(jì)，但網(wǎng)絡(luò)層我們只能基于網(wǎng)絡(luò)數(shù)據(jù)包來進(jìn)行管控和審計(jì)，眾所周知，網(wǎng)絡(luò)協(xié)議是不帶身份的，零信任中以身份為中心的原則在這里出現(xiàn)了斷層。攻擊者一旦進(jìn)入內(nèi)網(wǎng)，不能指望他按照我們設(shè)計(jì)的那樣通過IAM、SSO、堡壘機(jī)，用正常流程來訪問業(yè)務(wù)資源，并且只在應(yīng)用層進(jìn)行攻擊。攻擊者完全可以在網(wǎng)絡(luò)層對所有網(wǎng)絡(luò)可達(dá)的業(yè)務(wù)資源或終端進(jìn)行攻擊，比如直接攻擊IAM、SSO等等，沒有任何阻攔。

我們已經(jīng)部署的各種威脅檢測系統(tǒng)，如：SOC、SIEM、態(tài)勢感知等等，它們不能保障網(wǎng)絡(luò)的安全嗎？很可惜，這些系統(tǒng)會遇到IP地址與身份無關(guān)的問題，無論是模式匹配、上下文分析、行為基線分析、威脅情報(bào)分析、威脅溯源，都只能基于IP地址來做，基于IP的行為數(shù)據(jù)只代表了一個人的行為片段，無法代表一個人的完整行為，所以在這種環(huán)境下安全分析能力會大打折扣。另外，即便分析出來某個IP有威脅，怎么封禁？封了這個IP，攻擊者下次更換一個IP還是一樣進(jìn)來。

問題還可能變得更復(fù)雜，上圖所示的網(wǎng)絡(luò)中，所有人在訪問業(yè)務(wù)資源之前都先接入到總部職場的辦公網(wǎng)中，通過這種犧牲帶寬和體驗(yàn)的方式強(qiáng)制所有人在訪問業(yè)務(wù)的時候都先經(jīng)過統(tǒng)一身份認(rèn)證和授權(quán)，同時確保認(rèn)證系統(tǒng)不在互聯(lián)網(wǎng)暴露。假設(shè)有多個職場，每個職場也有自己的業(yè)務(wù)資源，部署在不同的地方，業(yè)務(wù)訪問是在多職場之間，多方向同時進(jìn)行。要讓所有人都能使用統(tǒng)一的身份和管控策略，我們就不得不把IAM、SSO這些系統(tǒng)都放到互聯(lián)網(wǎng)上才行，但這又會產(chǎn)生新的暴露面。

我們的一個客戶，非常關(guān)心敏感數(shù)據(jù)流出的問題，在每個終端上都部署了DLP客戶端，原來都在局域網(wǎng)內(nèi)使用，可以通過網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)強(qiáng)制要求入網(wǎng)時DLP客戶端必須開啟，DLP日志服務(wù)器也部署在局域網(wǎng)內(nèi)，能采集到的所有終端的DLP日志。疫情期間，員工都居家辦公了，遠(yuǎn)程接入，網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)失效，怎么才能讓員工在任何地方都必須開啟DLP？同時還能在不暴露DLP日志服務(wù)器的前提下，讓分布在任意地方的終端把DLP日志實(shí)時傳到日志服務(wù)器上？

很顯然，客戶對網(wǎng)絡(luò)準(zhǔn)入的需求已經(jīng)發(fā)生了轉(zhuǎn)變，客戶現(xiàn)在需要的是場景準(zhǔn)入，而不再是物理網(wǎng)絡(luò)準(zhǔn)入。當(dāng)訪問互聯(lián)網(wǎng)時，員工在任意地點(diǎn)都能隨時訪問，當(dāng)訪問業(yè)務(wù)資源時，無論在哪都必須符合安全要求，經(jīng)過認(rèn)證授權(quán)才可訪問。

03 實(shí)現(xiàn)零信任的關(guān)鍵技術(shù)問題

可見，要實(shí)現(xiàn)零信任，在技術(shù)層必須解決兩個核心問題：

1. 在網(wǎng)絡(luò)上，需要同時滿足網(wǎng)絡(luò)碎片化、統(tǒng)一安全管控和分析以及網(wǎng)絡(luò)零暴露。

2. 網(wǎng)絡(luò)層也需要身份化，要以統(tǒng)一身份為核心打通認(rèn)證、授權(quán)、接入、網(wǎng)絡(luò)層訪問控制、應(yīng)用層訪問控制、用戶行為分析、敏感數(shù)據(jù)訪問審計(jì)、威脅場景化分析、帳號終端實(shí)時處置全過程。

先來看看第一個問題。現(xiàn)在我們面臨的是一個既要在物理網(wǎng)絡(luò)上碎片化，又在安全策略編排上集中化的問題。什么技術(shù)能實(shí)現(xiàn)與物理位置無關(guān)、同時又能集中編排？——云計(jì)算。

用云的思維解決物理位置無關(guān)和集中管控問題

云的本質(zhì)是虛擬化，是一種通過虛擬化實(shí)現(xiàn)資源共享的技術(shù)。云把多個位于不同物理位置的服務(wù)器虛擬化，構(gòu)建在一個Overlay網(wǎng)絡(luò)中，租戶在這個Overlay網(wǎng)絡(luò)中集中對資源進(jìn)行編排，但實(shí)際業(yè)務(wù)分布在不同的物理服務(wù)器上，數(shù)據(jù)傳輸也實(shí)際在物理網(wǎng)絡(luò)中傳輸。對于租戶而言，無需再考慮物理資源和物理網(wǎng)絡(luò)。

我們對云的理解太狹隘了，云一定是在遠(yuǎn)端嗎?云一定都是服務(wù)資源的虛擬化嗎？PC端、手機(jī)端、物聯(lián)網(wǎng)終端不能是云的一部分嗎？云不能無處不在嗎？我們自己不能身在云中嗎？

按照這個思路，我們可以把虛擬化的范圍再擴(kuò)大一下，不僅僅是把IDC的服務(wù)器資源云化，而是把分布在各種云上、IDC、自建機(jī)房的業(yè)務(wù)資源，以及在任意位置PC端、手機(jī)端都云化，構(gòu)建在一個Overlay網(wǎng)絡(luò)中，那會是個什么景象？這樣的方式使得所有終端、所有業(yè)務(wù)資源的物理位置已經(jīng)不再重要，傳統(tǒng)的內(nèi)網(wǎng)已經(jīng)被云化了。

云化后的內(nèi)網(wǎng)會變成一個與物理位置無關(guān)，極簡的端到端網(wǎng)絡(luò)，在這個網(wǎng)絡(luò)里我們只聚焦跟安全相關(guān)的三個對象：人、終端、業(yè)務(wù)，所有策略、分析研判都基于這三個關(guān)鍵對象來制定和執(zhí)行。

端到端的極簡網(wǎng)絡(luò)

終端是人的延伸，一個具體的人和一個具體的終端構(gòu)成一個網(wǎng)絡(luò)實(shí)體。這個網(wǎng)絡(luò)里存在三種通信關(guān)系：人與業(yè)務(wù)、業(yè)務(wù)與業(yè)務(wù)、人與人。（我們需要認(rèn)識到，在網(wǎng)絡(luò)中訪問方向不是“十”字型，而是“工”字型，東西向流量有兩種方式，即人與人、業(yè)務(wù)與業(yè)務(wù)兩種方式。）

這些關(guān)系的編排就是授權(quán)策略，統(tǒng)一在控制中心進(jìn)行授權(quán)編排和細(xì)粒度策略實(shí)時計(jì)算，細(xì)粒度策略實(shí)時分發(fā)到端和業(yè)務(wù)側(cè)，用分布式策略引擎來執(zhí)行。

內(nèi)網(wǎng)互聯(lián)網(wǎng)化與集中管控共存的問題解決了，我們構(gòu)造的云化網(wǎng)絡(luò)可以跨越整個互聯(lián)網(wǎng)，連接任何位置的業(yè)務(wù)資源和終端，同時可以集中統(tǒng)一的對策略進(jìn)行編排。

接下來，我們再看看如何將這個網(wǎng)絡(luò)打造成私有的隱匿網(wǎng)絡(luò)。

在SDP的架構(gòu)里實(shí)現(xiàn)網(wǎng)絡(luò)隱身使用的是SPA單包授權(quán)技術(shù)，這是一種在會話建立前通過一個UDP單向包來實(shí)現(xiàn)身份驗(yàn)證和會話開關(guān)的技術(shù)，也是SDP最關(guān)鍵的技術(shù)。

在我們構(gòu)建的網(wǎng)絡(luò)里實(shí)現(xiàn)隱身，可以做到比SDP更徹底、更簡潔一些，因?yàn)槲覀冊诰W(wǎng)絡(luò)層、應(yīng)用層都是完全可控的，沒必要一定在上層來實(shí)現(xiàn)隱身，完全可以在更底層來實(shí)現(xiàn)。

在網(wǎng)絡(luò)層實(shí)現(xiàn)網(wǎng)絡(luò)隱身不是什么新鮮事，幾乎每個人每天都可以接觸到，例如：每個人家里的家庭網(wǎng)絡(luò)就是個隱匿網(wǎng)絡(luò)，我們每個人家里都有個家庭路由器，家里的電腦、電視都是通過這個路由器接入互聯(lián)網(wǎng)，但是我們不用擔(dān)心有人會從互聯(lián)網(wǎng)主動連接到家里的電腦或者電視上，因?yàn)槲覀儾]有在路由器上開放任何內(nèi)部IP地址和端口，這是個單向訪問網(wǎng)絡(luò)。那用同樣的方式，我們把原來開放的IP和端口停掉，把業(yè)務(wù)資源所在的業(yè)務(wù)局域網(wǎng)也都改造成這樣的單向訪問網(wǎng)絡(luò)，不就實(shí)現(xiàn)了網(wǎng)絡(luò)層的隱身嗎？而且這種隱身方式更為徹底，不光是業(yè)務(wù)資源隱藏起來了，零信任控制器、零信任網(wǎng)關(guān)都隱藏起來了，不光是應(yīng)用層隱藏了，網(wǎng)絡(luò)層也隱藏了。

另外，SPA又被稱為敲門協(xié)議，每次聽到“敲門協(xié)議”都會讓我想到一個畫面：一個小伙，在家里吃著火鍋唱著歌，突然聽到一陣敲門聲，跑到門口從貓眼里看到一個人畜無害的小姑娘，她說：“物業(yè)的，查水表！”于是，小伙把門打開了。突然兩側(cè)沖出來數(shù)個大漢，瞬間把這個小伙死死地摁倒在地上。

不是說好了要“永遠(yuǎn)不信任，始終在驗(yàn)證”嗎？

既然在TLS會話建立過程中，可以通過一個UDP單向包來實(shí)現(xiàn)身份驗(yàn)證和會話開關(guān)，那我們不如再徹底一點(diǎn)，把所有業(yè)務(wù)訪問數(shù)據(jù)包都改造成UDP單向包，使用逐包認(rèn)證、逐包加密的方式來實(shí)現(xiàn)網(wǎng)絡(luò)隱藏，讓未經(jīng)過認(rèn)證授權(quán)的終端，連三次握手的SYN包都發(fā)不過來。

對，小姑娘可以進(jìn)來，大漢們必須全堵在門外。

這樣第一個問題就解決了，再來看看如何破解第二個問題。

上文提到，對于政府和企業(yè)的辦公網(wǎng)、業(yè)務(wù)網(wǎng)來說，統(tǒng)一身份管理并不缺，網(wǎng)絡(luò)準(zhǔn)入、VPN接入、應(yīng)用層的訪問控制已經(jīng)可以實(shí)現(xiàn)用統(tǒng)一身份進(jìn)行管控，但網(wǎng)絡(luò)層基于統(tǒng)一身份的訪問控制是缺失的，零信任原則里以身份為中心的訪問管控在網(wǎng)絡(luò)層出現(xiàn)了斷層，而原因就是因?yàn)榫W(wǎng)絡(luò)協(xié)議本身都不帶身份屬性。

我們的解決方法非常簡單粗暴，但是很高效，我們直接在所有網(wǎng)絡(luò)層數(shù)據(jù)包都上加上了身份信息，讓網(wǎng)絡(luò)五元組變成網(wǎng)絡(luò)六元組，在網(wǎng)絡(luò)層每一個數(shù)據(jù)包里都增加一個身份的維度。

降維打擊分兩種，一種是讓對手降低維度，另一種是自己升高維度。既然我們無法讓攻擊者降維，那我們就在網(wǎng)絡(luò)底層給自己升維。

這也就意味著，在這個能覆蓋全球的網(wǎng)絡(luò)的任何一個位置，我們都能看到是什么人、用什么終端、對什么業(yè)務(wù)、收發(fā)了什么數(shù)據(jù)包。也就是說，在網(wǎng)絡(luò)上任意一個點(diǎn)都可以基于帳號、終端、業(yè)務(wù)進(jìn)行權(quán)限控制和行為干預(yù)。

通過這種升維，基于身份的全鏈路管控能力就都有了，實(shí)現(xiàn)零信任的各種安全原則，就有了一個身份化的網(wǎng)絡(luò)基礎(chǔ)設(shè)施。

網(wǎng)絡(luò)流量包含了所有人對業(yè)務(wù)和數(shù)據(jù)的訪問行為，所以我們都想通過網(wǎng)絡(luò)流量來捕獲到所有威脅行為，但通過網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行威脅分析存在兩個不足：

 網(wǎng)絡(luò)數(shù)據(jù)包不帶身份信息，所以通過網(wǎng)絡(luò)流量不可能做到真正基于人或者終端的行為分析，無論是上下文關(guān)聯(lián)，還是用機(jī)器學(xué)習(xí)的方式找到人的行為基線，幾乎都不可能。

這個問題我們通過在網(wǎng)絡(luò)數(shù)據(jù)包上加上身份信息的方式已經(jīng)解決了。我們從網(wǎng)絡(luò)上捕獲到的流量日志無論是網(wǎng)絡(luò)層還是應(yīng)用層都會帶上身份信息。這樣所有采集到的數(shù)據(jù)都天然基于身份做了聚合，然后再基于這些聚合后的信息進(jìn)行基于人或終端的行為分析，不需要關(guān)心源IP是什么，所有分析結(jié)果都可溯源到人和端。

2、 業(yè)務(wù)資源可能會在應(yīng)用層加密，在網(wǎng)絡(luò)流量上看到的是加密后的數(shù)據(jù)，無法識別具體內(nèi)容。在某些場景下可以用應(yīng)用網(wǎng)關(guān)，用ssl證書對流量進(jìn)行卸載，雖可以做一些內(nèi)容識別，但是交付復(fù)雜，識別率也差強(qiáng)人意。

這個問題，我們通過用瀏覽器解決。我們在終端Agent上內(nèi)置一個安全瀏覽器，可以設(shè)置策略，要求終端用戶必須用內(nèi)置瀏覽器訪問一些特殊業(yè)務(wù)資源，禁止用其他瀏覽器訪問。瀏覽器是人與數(shù)據(jù)交互的末端，瀏覽器里全是明文信息，通過瀏覽器識別敏感數(shù)據(jù)可以無視所有網(wǎng)絡(luò)加密手段，因?yàn)槿丝偸且妹魑倪M(jìn)行信息傳遞的（用密文傳遞信息的人是無間道、是余則成，這里不做討論）。

通過這種方式我們可以輕松了解到：誰、用什么終端、在哪、訪問了什么業(yè)務(wù)資源、看到了什么敏感數(shù)據(jù)，反過來也能看到都有哪些敏感數(shù)據(jù)，都存儲在在哪些業(yè)務(wù)系統(tǒng)上，它們的整個數(shù)據(jù)流動過程是怎樣的。然后基于這些基礎(chǔ)數(shù)據(jù)，結(jié)合機(jī)器學(xué)習(xí)算法，識別異常的敏感數(shù)據(jù)訪問行為。

舉個例子：某企業(yè)全國有上百個銷售渠道，上千銷售人員每天都在使用CRM和工單系統(tǒng)銷售企業(yè)的產(chǎn)品或服務(wù)，銷售員需要錄入客戶的手機(jī)號、姓名、銀行賬號這些個人隱私信息。通過剛才說的方式，我們可以看到每個人都在哪、什么時間段、通過什么方式、訪問了哪些數(shù)據(jù)、訪問頻率以及數(shù)據(jù)量都是多少，然后用機(jī)器學(xué)習(xí)算法，計(jì)算每個人的敏感數(shù)據(jù)訪問行為基線。當(dāng)某個銷售員某天對敏感數(shù)據(jù)的訪問行為發(fā)生較大偏差時，比如：對于銷售員來說日常寫入敏感數(shù)據(jù)比較多，突然有一天他的讀取敏感數(shù)據(jù)的行為增加了，或者說對某單一類型數(shù)據(jù)訪問量過大，系統(tǒng)會自動讓這個帳號暫時退出網(wǎng)絡(luò)，對終端和人進(jìn)行多因素的二次身份校驗(yàn)，再次確認(rèn)身份；或者直接禁用這個帳號，那這個帳號無論在什么地方，使用什么終端，都無法再訪問這個業(yè)務(wù)資源。

04 安全云網(wǎng)能力結(jié)構(gòu)

講到這里，產(chǎn)品的功能架構(gòu)基本就清晰了，如下圖，這就是整個安全云網(wǎng)的功能結(jié)構(gòu)。

從能力分層上，至下而上分為四層：

底層是一套基于SDN技術(shù)的端到端隱匿網(wǎng)絡(luò)。讓業(yè)務(wù)資源和終端擺脫物理網(wǎng)絡(luò)限制，讓內(nèi)網(wǎng)互聯(lián)網(wǎng)化，構(gòu)建一個跨多個網(wǎng)絡(luò)的隱匿內(nèi)網(wǎng)，同時讓網(wǎng)絡(luò)層數(shù)據(jù)包具備身份維度，可以基于身份在任意網(wǎng)絡(luò)節(jié)點(diǎn)進(jìn)行管控或者行為捕獲，為上層能力提供基礎(chǔ)支撐；

第二層是安全接入和控制層。這一層遵循零信任原則來設(shè)計(jì)，用身份打通任意位置入網(wǎng)、網(wǎng)絡(luò)層控制、應(yīng)用層控制，細(xì)粒度授權(quán)、動態(tài)授權(quán)等等零信任相關(guān)的能力，同時開放各種接口，對接已建的安全系統(tǒng)。（BTW：安全云網(wǎng)不是一種零信任產(chǎn)品，而是一種符合零信任安全原則的云化安全網(wǎng)絡(luò)，未來所有安全產(chǎn)品都會依據(jù)自身定位，多多少少地滿足零信任安全原則，不存在獨(dú)立的零信任產(chǎn)品）

第三層是威脅檢測層。這里利用云網(wǎng)數(shù)據(jù)包身份化的優(yōu)勢，匯集各種帶有身份的數(shù)據(jù)，以人、端為中心對數(shù)據(jù)進(jìn)行聚合，同時利用機(jī)器學(xué)習(xí)算法對異常行為、威脅行為進(jìn)行研判、驗(yàn)證和處置；

4、第四層是智能化運(yùn)營層。云化網(wǎng)絡(luò)也好，零信任也好，威脅檢測也好，都不是安全的最終目標(biāo)。安全不是一個功能，不是一種狀態(tài)，而是一個持續(xù)且有周期的運(yùn)營過程，智能化運(yùn)營層就是在構(gòu)建這樣一個自適應(yīng)安全運(yùn)營過程。在這一層里我們整合下面每一層的能力，讓我們對整個網(wǎng)絡(luò)具備全面感知、全面管控的能力，對每一個網(wǎng)絡(luò)實(shí)體進(jìn)行實(shí)時的安全風(fēng)險評估，基于威脅場景自動化的對各類數(shù)據(jù)進(jìn)行關(guān)聯(lián)、溯源和研判。”

05 部署案例

這樣一整套安全云網(wǎng)，看起來功能不少，但如果構(gòu)建這么一個安全云網(wǎng)需要中斷業(yè)務(wù)、需要改造應(yīng)用、需要冒著風(fēng)險，這套方案也就失去了實(shí)際應(yīng)用的意義。

選擇用Overlay的方式構(gòu)建云化網(wǎng)絡(luò)的主要目的就是要讓安全運(yùn)營與數(shù)據(jù)通信徹底分離。網(wǎng)絡(luò)安全需要的是集中統(tǒng)一編排、研判和處置，而數(shù)據(jù)通信的環(huán)境現(xiàn)在卻越來越碎片化，這兩者的發(fā)展趨勢一個向左、一個向右，而我們非得在同一個網(wǎng)絡(luò)平面上把他們倆湊一塊，就會出現(xiàn)各種各樣的問題。大部分的網(wǎng)絡(luò)安全設(shè)備正是因?yàn)檫@個原因，導(dǎo)致安全能力被鎖死，再往上提升的空間已經(jīng)沒有多少。

通過構(gòu)建一個全新的云化網(wǎng)絡(luò)，在虛擬網(wǎng)絡(luò)里做安全的事情，在物理網(wǎng)絡(luò)上做數(shù)據(jù)通信的事情，這就是信域安全云網(wǎng)。

以下是一個部署案例：

這是一個相對比較大的網(wǎng)絡(luò)，接近一萬員工、上千業(yè)務(wù)資源、多個云、多個數(shù)據(jù)中心、多個異地職場。全網(wǎng)采用高可用多活架構(gòu)設(shè)計(jì)：控制平臺異地高可用集群，在兩個數(shù)據(jù)中心同時為所有終端用戶服務(wù)，每個物理區(qū)域都部署多個網(wǎng)關(guān)，每個業(yè)務(wù)資源同時由多個網(wǎng)關(guān)代理接入云網(wǎng)，終端根據(jù)鏈路質(zhì)量自動選擇最優(yōu)路徑。

整個云化網(wǎng)絡(luò)構(gòu)建耗時也就兩三個小時，并且是在工作日辦公時間完成部署，業(yè)務(wù)毫無感知。

云化網(wǎng)絡(luò)除了可以輕松突破物理位置限制、改造底層協(xié)議、編排所有策略，還可以輕松實(shí)現(xiàn)對業(yè)務(wù)無感知、全網(wǎng)高可用、彈性、交付簡單等等，基本上云的優(yōu)勢全都繼承過來了。

06 對網(wǎng)絡(luò)的認(rèn)知需要升級了！

在過往的認(rèn)知里，網(wǎng)絡(luò)就是由各種網(wǎng)線光纖、路由器、交換機(jī)、防火墻構(gòu)建成的網(wǎng)狀的數(shù)據(jù)通道，就像高速公路一樣將不同的服務(wù)器、終端連接在一起，完成數(shù)據(jù)的流通，在流動中讓數(shù)據(jù)產(chǎn)生價值。

未來的網(wǎng)絡(luò)需要面對業(yè)務(wù)互聯(lián)網(wǎng)化的趨勢，需要突破物理網(wǎng)絡(luò)限制，隨時隨地可以安全接入，同時它應(yīng)該是個身份化的隱匿網(wǎng)絡(luò)，能開放地對接各種安全能力，甚至為其他安全能力賦能，是持續(xù)安全運(yùn)營的安全網(wǎng)絡(luò)底座。

未來的網(wǎng)絡(luò)會進(jìn)化成一個智能的分布式生命體，網(wǎng)線光纖、路由器、交換機(jī)組成了這個生命體的骨架和脈絡(luò)。每一個終端、每一個資源就像是這個生命體的神經(jīng)元，承載了人的意識和有價值的數(shù)據(jù)。集中的控制中心就像小腦，用策略控制整個網(wǎng)絡(luò)的數(shù)據(jù)流通，以及對每個網(wǎng)絡(luò)實(shí)體的實(shí)時響應(yīng)。分析中心就像大腦，通過每一個神經(jīng)元感知整個網(wǎng)絡(luò)世界的所有活動，具備場景化的研判和處置邏輯，自動發(fā)現(xiàn)這個網(wǎng)絡(luò)世界里存在的異常和威脅，自動生成響應(yīng)策略，并向控制中心發(fā)出指令，對異?；蛲{點(diǎn)實(shí)時處置。

是時候向智能云網(wǎng)絡(luò)進(jìn)化了！