企業(yè)實(shí)現(xiàn)零信任網(wǎng)絡(luò)能夠獲得什么效果?實(shí)施零信任網(wǎng)絡(luò)使得企業(yè)網(wǎng)絡(luò)安全水平提升、合規(guī)審計能力提升、生產(chǎn)效率提升，其可作為網(wǎng)絡(luò)安全體系的“骨架”連接其他安全技術(shù)，筆者認(rèn)為零信任網(wǎng)絡(luò)是更符合發(fā)展潮流的IT設(shè)施建設(shè)方案。

網(wǎng)絡(luò)安全水平提升

零信任網(wǎng)絡(luò)實(shí)現(xiàn)了身份、設(shè)備、應(yīng)用的動態(tài)信任評估體系，并通過信任評估進(jìn)行作用于資源訪問路徑上持續(xù)的訪問控制。零信任技術(shù)使得網(wǎng)絡(luò)平臺具備層次化的、一致的、持續(xù)的訪問控制能力。

以資源為中心的安全保護(hù)

在邊界防護(hù)體系中，安全產(chǎn)品堆砌在網(wǎng)絡(luò)邊界，意圖建立起一道防線阻隔網(wǎng)絡(luò)攻擊，內(nèi)網(wǎng)則成為信任區(qū)，內(nèi)網(wǎng)的東西向流量缺少最基礎(chǔ)的訪問控制能力。這種體系下內(nèi)網(wǎng)計算機(jī)失陷后，攻擊者能夠利用設(shè)備固有的信任和已授予用戶的信任來進(jìn)一步橫向移動、訪問資源。

零信任網(wǎng)絡(luò)則以資源保護(hù)為核心訴求規(guī)劃防護(hù)體系，通過在所有資源訪問路徑上建立訪問控制點(diǎn)，收斂了資源暴露面，綜合資源訪問過程中包括身份、設(shè)備、環(huán)境、時間在內(nèi)的所有網(wǎng)絡(luò)空間因素對訪問行為進(jìn)行可信度判斷，以此為依據(jù)從網(wǎng)絡(luò)可見性、資源可見性、資源訪問權(quán)限三個層級進(jìn)行訪問控制。

身份和認(rèn)證的統(tǒng)一管理

典型的企業(yè)IT系統(tǒng)建設(shè)呈現(xiàn)煙囪式，各個系統(tǒng)相互獨(dú)立，企業(yè)成員需要在每個系統(tǒng)上建立賬號，弱密碼、各系統(tǒng)用同一個密碼、密碼長期不更改等問題無法根除。當(dāng)人員流動、人員職責(zé)變更時賬號身份管理出現(xiàn)疏漏難以避免，導(dǎo)致人員權(quán)限膨脹，遺留大量僵尸賬號等問題。在面對網(wǎng)絡(luò)攻擊時，這些失控身份將成為攻擊者滲透企業(yè)的切入點(diǎn)，獲取資源的入口。企業(yè)可以通過建設(shè)IAM系統(tǒng)，對身份統(tǒng)一管理，建立多因子、SSO認(rèn)證，緩解身份失控風(fēng)險，強(qiáng)化認(rèn)證強(qiáng)度和可信度。然而IAM系統(tǒng)是基于應(yīng)用層進(jìn)行訪問控制，無法防護(hù)對操作系統(tǒng)、中間件等的攻擊。

零信任網(wǎng)絡(luò)在圍繞資源建立了訪問控制點(diǎn)后，進(jìn)一步實(shí)現(xiàn)以身份為中心訪問控制策略。工程實(shí)踐上，零信任架構(gòu)能夠與IAM系統(tǒng)對接，集成現(xiàn)有身份和訪問管理能力，實(shí)質(zhì)上擴(kuò)展了IMA的作用邊界，將其對應(yīng)用層的保護(hù)延伸到網(wǎng)絡(luò)接入層。

設(shè)備的集中管理

企業(yè)的辦公環(huán)境正變得越來越復(fù)雜，員工需要能使用公司配發(fā)資產(chǎn)、個人自帶設(shè)備或者移動設(shè)備訪問企業(yè)資產(chǎn)，這對企業(yè)網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)。企業(yè)IT和安全人員需要面對設(shè)備黑洞，有多少員工自帶辦公設(shè)備、哪個設(shè)備現(xiàn)在是誰在用、某個IP是誰的什么設(shè)備，當(dāng)應(yīng)急響應(yīng)事件發(fā)生時如何快速定位到誰的設(shè)備出現(xiàn)異常。EPP、EDR、CWPP等主機(jī)防護(hù)安全產(chǎn)品能夠?qū)υO(shè)備資產(chǎn)進(jìn)行管理，但是缺少將設(shè)備資產(chǎn)與企業(yè)數(shù)字身份關(guān)聯(lián)的能力。

零信任網(wǎng)絡(luò)為所有設(shè)備建立標(biāo)識，關(guān)聯(lián)設(shè)備與使用者身份，將設(shè)備狀態(tài)作為訪問控制策略的關(guān)鍵因素，納入信任度評價體系，不同設(shè)備類型、不同設(shè)備狀態(tài)計算出不同信任度，不同信任度設(shè)定合理的資源訪問權(quán)限。在實(shí)踐中，設(shè)備管理可以采用靈活的解決方案，例如對公司設(shè)備資產(chǎn)頒發(fā)專用數(shù)字證書賦予唯一身份認(rèn)證，員工自帶設(shè)備則安裝客戶端軟件進(jìn)行基線檢測。

與傳統(tǒng)安全產(chǎn)品形成互補(bǔ)

零信任體系能夠與傳統(tǒng)安全產(chǎn)品集成，或者直接使用傳統(tǒng)安全產(chǎn)品實(shí)現(xiàn)。以NIST抽象的零信任架構(gòu)為例：策略決策點(diǎn)可與IAM系統(tǒng)對接實(shí)現(xiàn)身份信息的獲取和認(rèn)證授權(quán)，持續(xù)評估可結(jié)合UEBA、SOC、SIEM等系統(tǒng)實(shí)現(xiàn)，設(shè)備資產(chǎn)的標(biāo)識和保護(hù)可以使用EDR類產(chǎn)品，設(shè)備資產(chǎn)可以安裝DLP類產(chǎn)品實(shí)現(xiàn)端到端的資源保護(hù)。

合規(guī)審計能力提升

滿足等保2.0的解決方案

等保2.0完善了我國網(wǎng)絡(luò)安全建設(shè)標(biāo)準(zhǔn)，其提出的一個中心三重防護(hù)思想與零信任思想高度契合。在CSA發(fā)布的《SDP實(shí)現(xiàn)等保2.0合規(guī)技術(shù)指南白皮書》中，CSA中國區(qū)專家梳理了SDP與等保技術(shù)要求點(diǎn)的適用情況，零信任技術(shù)在等保2.0技術(shù)要求的網(wǎng)絡(luò)架構(gòu)、通信傳輸、邊界安全、訪問控制、安全審計、身份鑒別等要求項(xiàng)上均有良好適用性。

生產(chǎn)效率提升

位置無關(guān)的辦公體驗(yàn)

企業(yè)將信息系統(tǒng)、資源部署在私有或者云數(shù)據(jù)中心，員工通過辦公場所的有線固網(wǎng)、企業(yè)專有WIFI等方式接入網(wǎng)絡(luò)獲取工作所需資源。外出員工、企業(yè)分支機(jī)構(gòu)、合作伙伴則通過虛擬專用網(wǎng)與數(shù)據(jù)中心建立連接，進(jìn)行日常辦公和信息交互。用戶使用不同工具對資源進(jìn)行訪問。

在零信任網(wǎng)絡(luò)下，無論員工在辦公場所、機(jī)場、高鐵，無論資源在私有數(shù)據(jù)中心還是公有云上，其都能通過零信任網(wǎng)絡(luò)提供的“身份、設(shè)備、應(yīng)用”信任鏈訪問有權(quán)訪問的資源。

便捷的資源訪問

隨著企業(yè)數(shù)據(jù)中心和分支機(jī)構(gòu)增多，異地數(shù)據(jù)中心繁多，核心應(yīng)用上云，大量應(yīng)用第三方SaaS，其辦公環(huán)境愈發(fā)復(fù)雜，員工一項(xiàng)工作需要多種資源，所需資源分布在不同物理設(shè)施，工作時常要登錄多個系統(tǒng)，來回切換不同的虛擬專用網(wǎng)。

零信任網(wǎng)絡(luò)通過統(tǒng)一的認(rèn)證管理，使得員工一次登錄即可獲得應(yīng)有的應(yīng)用訪問權(quán)限，同時使用部署在不同位置的應(yīng)用，極大改善了工作效率和工作體驗(yàn)。