网络安全的新基石，从“零信任”开始(3)

实际上，零信任架构更适合于企业在向云端迁移的环境中搭建。而那些有着复杂IT环境和大量旧系统的大型企业，需要把零信任架构迁移看做是多阶段、长时间的一项整体工程来对待。零信任架构作为企业整体数字转型战略的一部分，实现那些有助于在云迁移过程中达成零信任的技术，然后淘汰掉那些老旧的遗留系统。

也就是先有整体设计，再采取相应技术。

零信任网络安全的应用实践

2018年，Gartner 提出零信任是进行持续自适应的风险和信任评估（CARTA）的第一步。零信任要按照需要对不同身份（设备、用户和网络流量）授予区别化和最小化的访问权限，并通过持续认证改变“通过认证即被信任”的防护模式。

国内外企业基于对零信任安全框架的理解，开展了技术探索和布局。

在软件定义边界上，谷歌的Beyond Corp基于设备、用户、动态访问控制和行为感知策略实现其零信任构想，所有流量通过统一的访问代理来实现认证和授权，实时更新信息库中的用户、设备、状态、历史用户行为可信度等相关信息，利用动态的多轮打分机制对请求来源进行信任层级划分，从而进一步实现层级内的最小权限控制。

笔者这里就有一个比较惨痛的教训。我一直在尝试找回一个十多年前注册的Gmail账户，但因为使用的手机号码已经注销，因此通过其他任何方式验证，我也始终无法再找回该账户。这可能也意味着谷歌的零信任验证实在是过于谨慎了。

此外，像思科、Verizon以及国内的云深互联等企业都推出了基于零信任的SDP服务方案。

在微隔离技术上，网络安全初创企业Illumio的自适应安全平台以微隔离技术为基础，在分隔策略配置方面，应用人工智能学习网络流量模式，提供多种便捷配置模式和可视化展示。国内的蔷薇灵动、山石网科等企业也在微隔离、可视化安全解决方案上进行积极探索。

根据Gartner在《零信任网络访问市场指南》做出的战略规划假设，到2022年，80％向生态合作伙伴开放的新数字业务应用将通过零信任网络访问接入；到2023年，将有60％的企业将淘汰大部分的VPN，而使用零信任网络访问。

当前，在我国企业数字化转型和业务上云等趋势的推动下，业务模式转换和迁移上云将为零信任网络安全提供实践的平台，进而可以充分利用内部业务、数据、设备等信息，形成持续、动态和细粒度的零信任安全防护方案。

同时对于传统的安全厂商而言，积极推动全新的网络安全技术和安全理念的变革，将零信任理念与传统身份管理与访问控制等技术融合，发挥传统安全厂商在身份管理领域的深耕优势，推动零信任理念与传统技术的深度融合，这样基于零信任的动态身份管理和访问权限控制解决方案才有望加速落地。

正如前面微盟、Zoom案例所体现的，如果企业在网络安全上没有给予足够的重视，在网络安全意识和理念上仍然沿用传统的技术思路，就会因为一次的失误而引发极为严重的安全危机和巨大的经营风险。

在事关企业的生存与发展大事面前，将网络安全当作企业的生命线也不为过，而推动零信任模式的网络安全体系升级也就必须提上众多企业的议事日程了。

（编辑：ASP站长网）