本文轉載自“安在”微信公眾號

零信任作為近年來在安全圈持續(xù)火熱的概念之一，自誕生起就被譽為能夠解決“一切安全問題”的終極手段。據(jù)Gartner的研究顯示，零信任網(wǎng)絡接入（ZTNA）將成為全球增長最快的網(wǎng)絡安全細分市場，在2022年增長36%。而在《零信任發(fā)展洞察報告（2022）》顯示，我國金融與電信行業(yè)在近三年落地零信任的企業(yè)逐年增長，越來越多的企業(yè)認可零信任架構所提供的安全防護能力。

此外，由于國內(nèi)HW行動涉及的單位越來越廣，對抗演練越來越貼近實際情況，很多企業(yè)的VPN設備及暴露在外部的應用被打穿，導致系統(tǒng)被攻破。因此，VPN設備已經(jīng)等同于非常危險的基礎設施。在此背景下，各甲方企業(yè)不得不尋找VPN的替代品，零信任成為企業(yè)的第一選擇。

在供給側方面，據(jù)《零信任發(fā)展洞察報告（2022）》顯示，國內(nèi)零信任供應商圍繞網(wǎng)絡環(huán)境安全、終端安全、應用安全和負載、數(shù)據(jù)安全及安全管理這六大領域建設，零信任生態(tài)環(huán)境已經(jīng)建立，大部分國內(nèi)安全廠商的零信任能力基本成熟

然而，這也導致國內(nèi)零信任賽道呈現(xiàn)擁擠態(tài)勢。由于疫情導致的遠程辦公和“去VPN”化讓零信任市場得到了發(fā)展的空間，越來越多的安全廠商加入零信任賽道。當下，至少有80%的廠商聲稱擁有零信任相關產(chǎn)品，在零信任相關的各個領域中，都有安全廠商在尋求突破。

雖然國內(nèi)零信任市場已經(jīng)初具規(guī)模，但當下的零信任產(chǎn)品在成熟度方面還有進步的空間。這是因為國內(nèi)零信任起步較晚，國內(nèi)安全市場環(huán)境與國際環(huán)境又有所不同，導致國內(nèi)零信任產(chǎn)品參差不齊。據(jù)某廠商專家表示，由于零信任在國內(nèi)發(fā)展較晚，多數(shù)廠商沿用過去的產(chǎn)品路徑開發(fā)零信任產(chǎn)品，過去做網(wǎng)關的廠商，其零信任產(chǎn)品在網(wǎng)關方面比較強，同理，過去做終端的廠商其零信任產(chǎn)品在終端方面比較強。

組織建立零信任架構就像搭起一棟房屋，網(wǎng)關、端點、身份、軟件等等就像組成屋子的各個部分，任何一部分的缺失都會讓這間屋子失去遮風擋雨的能力。因此，如何全面地推動和建設零信任架構就成為很多組織和廠商的一個重要問題。

對此，聯(lián)軟科技副總裁及聯(lián)合創(chuàng)始人張建耀表示，全網(wǎng)零信任是解決當下零信任架構不完整、不全面、不均衡的主要方式之一。

全網(wǎng)零信任是什么？

眾所周知，零信任概念早在2010年就被Forrester的分析師John Kindervag所提出。起初這一概念并沒有得到廣泛推廣，直到云計算開始發(fā)展，微服務，大數(shù)據(jù)，移動計算等新一代信息化建設得到發(fā)展動力，組織的傳統(tǒng)物理網(wǎng)絡邊界變得模糊，零信任開始得到重視。2017年谷歌對外宣布其基于零信任架構實踐的新一代企業(yè)網(wǎng)絡安全架構Beyound Corp項目成功完成，這為零信任在大型，新型企業(yè)網(wǎng)絡的實踐提供參考架構。這一最佳實踐為零信任理念發(fā)展的助推劑，也進一步促進了零信任市場的形成。

據(jù)張建耀介紹，全網(wǎng)零信任就是基于谷歌的實踐得來的。全網(wǎng)零信任本質上與其他零信任產(chǎn)品沒有太大區(qū)別，冠以全網(wǎng)二字是因為當下80%的零信任產(chǎn)品基于互聯(lián)網(wǎng)側去訪問服務器和內(nèi)網(wǎng)資源，對于外網(wǎng)、云訪問等場景力有不逮。而聯(lián)軟是具備從辦公區(qū)域的內(nèi)網(wǎng)、外網(wǎng)、云等全場景訪問的安全供應商，其所帶來的全網(wǎng)零信任架構更加綜合、全面。

全網(wǎng)零信任的全面性意味著它幾乎適合所有行業(yè)，特別是對網(wǎng)絡支撐運營要求較高的用戶，例如金融、政府、運營商等等。從場景來看，全網(wǎng)零信任分為三大場景，第一大場景是針對內(nèi)網(wǎng)設備接入，也就是將傳統(tǒng)的網(wǎng)絡準入控制升級為基于零信任架構的內(nèi)網(wǎng)訪問控制。這個場景的覆蓋面最大，因為大部分企業(yè)和大部分員工都會通過內(nèi)網(wǎng)接入。第二大場景是傳統(tǒng)的遠程接入場景，無論是分支機構還是遠程辦公的BYOD，都可以通過全網(wǎng)零信任架構進行統(tǒng)一的管控和檢測。第三大場景是混合云場景，以零信任架構對用戶接入云平臺應用的各個環(huán)節(jié)，包括安全認證、身份識別等進行控制。

全網(wǎng)零信任同其他零信任產(chǎn)品最大的區(qū)別在于其核心組件具備內(nèi)網(wǎng)網(wǎng)絡準入控制的能力。常見的零信任產(chǎn)品對待內(nèi)網(wǎng)設備和外網(wǎng)設備的策略是一致的，即在設備通過SDP網(wǎng)關時對其驗證。這種驗證方法雖然有效，但細粒度并不夠。對此，聯(lián)軟的全網(wǎng)零信任仿照谷歌的實踐類型，將內(nèi)網(wǎng)網(wǎng)絡準入同互聯(lián)網(wǎng)側接入策略分隔開。設備接入前需要先驗證基礎安全，才能允許接入內(nèi)網(wǎng)。細粒度的進一步增加讓全網(wǎng)零信任的控制性更強，更能精準把控組織內(nèi)網(wǎng)和設備準入安全。

聯(lián)軟科技的三大優(yōu)勢

通過上述介紹可以看出，全網(wǎng)零信任相對于其他零信任產(chǎn)品來說更為全面，對組織的安全也更有保障。但對于用戶來說，一款產(chǎn)品或解決方案的好壞不單單只參考其性能，還要考慮包括成本、落地等很多因素，對此，張建耀表示，聯(lián)軟在全網(wǎng)零信任方面有三大優(yōu)勢。首先聯(lián)軟是中國端點安全的領導者，具備大量的用戶積累。同時，由于聯(lián)軟的全網(wǎng)零信任架構基于企業(yè)安全平臺（ESPP）之上，在這個平臺上還包括SDP、EMM、NAC、EPP、EDR以及DLP等等。因此，企業(yè)想要升級零信任就變得非常簡單。對于內(nèi)網(wǎng)準入控制而言，組織只需要進行一次升級就可以順利過渡到全網(wǎng)零信任架構，而對于外網(wǎng)來說，組織需要一步步替換掉所有VPN，然后將原有的VPN訪問切換到基于零信任架構的SDP框架中。

第二個優(yōu)勢是聯(lián)軟解決核心問題的能力。企業(yè)在建設零信任的過程中，真正的痛點是數(shù)據(jù)安全。對此，聯(lián)軟通過沙箱和虛擬化的技術形成了一系列的數(shù)據(jù)安全方案，能夠真正解決用戶的數(shù)據(jù)安全問題。另外，基于零信任架構的復雜性和豐富性，企業(yè)若想實現(xiàn)SDP、IAM以及微隔離等全方面的零信任，就需要從身份問題入手。對此，聯(lián)軟在全網(wǎng)零信任架構后增加了一個簡化版的IAM，利用IAM的密碼、雙因素等方面的功能進一步解決身份問題。同時，聯(lián)軟還將IAM訪問哪些業(yè)務系統(tǒng)，應用哪些數(shù)據(jù)等配置方面交給專業(yè)的IAM廠商，在促進國內(nèi)零信任生態(tài)發(fā)展的同時，最大程度保障組織身份安全。

第三個優(yōu)勢就是聯(lián)軟在生態(tài)方面的優(yōu)勢，聯(lián)軟同很多業(yè)內(nèi)頭部的安全企業(yè)合作，并參與了很多標準的建設。聯(lián)軟是最早一批的CSA聯(lián)盟成員，并深度參與過早期的SDP標準建設。此外，聯(lián)軟還同華為、Forrester等企業(yè)發(fā)布了《零信任最佳實踐》白皮書，就零信任架構的關鍵價值，零信任架構的識別部署以及應用案例等進行了深入的討論。

在標準方面，聯(lián)軟還參與了國家信息中心的《政務外網(wǎng)終端一機兩用安全管控技術指南》標準的編寫。國家信息中心作為主管部門，在監(jiān)管全國政務外網(wǎng)中發(fā)現(xiàn)政務系統(tǒng)存在著大量的“跨網(wǎng)訪問”現(xiàn)象，政務外網(wǎng)終端可同時連接外網(wǎng)和互聯(lián)網(wǎng)，存在著極大的風險。在“一機兩用”標準的推動下，各政務利用零信任架構將政務外網(wǎng)與互聯(lián)網(wǎng)相互隔離，解決了政務系統(tǒng)的跨網(wǎng)攻擊、數(shù)據(jù)泄露等安全隱患。在參與建立標準的過程中，聯(lián)軟的全網(wǎng)零信任得到了充分的實踐經(jīng)驗，在政企用戶中也得到了廣泛的認可。

除了政企行業(yè)，聯(lián)軟的全網(wǎng)零信任在金融、運營商等行業(yè)都得了落地和實踐。據(jù)張建耀介紹，在金融行業(yè)中，有7成以上的企業(yè)應用了聯(lián)軟的準入系統(tǒng)，近20萬個實踐案例讓這些用戶在向零信任轉型的過程中，優(yōu)先考慮聯(lián)軟的全網(wǎng)零信任架構。

全網(wǎng)零信任如何落地

當然，由于各行業(yè)及企業(yè)的實際情況不同，在落地零信任時所關注和考慮的重點也不同，多行業(yè)案例雖然能夠證明產(chǎn)品的廣泛性，但對于用戶而言，如何切實解決問題才是重點。對此，張建耀表示，聯(lián)軟經(jīng)過多年的實踐和探索，已經(jīng)初步形成了一套完整的零信任落地方案。

首先是組織引入零信任安全的最佳時機。當下有許多企業(yè)受制于安全環(huán)境和國內(nèi)監(jiān)管壓力，不得不采納零信任架構。但零信任架構需要完整可用，而完整意味著成本。對此，張建耀認為，企業(yè)推動零信任需要一個時機，這個時機來自于組織數(shù)字化轉型時所遇到包括云化、移動化導致訪問不可控、身份不可辨、資源不可查等等問題。以“去VPN”為例，組織可以通過替換VPN來逐步將零信任納入安全架構中。然后再一個系統(tǒng)一個系統(tǒng)逐步推動零信任的建設，最終形成整體的零信任架構。

其次是做好總體規(guī)劃。零信任架構不是一款產(chǎn)品，一套針對性地解決方案，而是徹底地改變整個組織的訪問場景和網(wǎng)絡環(huán)境，因此，在建設零信任之前，組織需要提前做好總體規(guī)劃，確定零信任架構的最終狀態(tài)，不能摸著石頭過河。但是，在總體規(guī)劃向實際落地的過程中有兩個難點，第一是數(shù)據(jù)安全，大多數(shù)零信任方案是沒有考慮數(shù)據(jù)安全的，特別是在云化和移動化之后，組織需要考慮如何保護數(shù)據(jù)，如何讓數(shù)據(jù)落地等等。第二是信創(chuàng)，信創(chuàng)所帶來的操作系統(tǒng)給很多零信任產(chǎn)品帶來了兼容性方面的挑戰(zhàn)，零信任廠商既要滿足Windows、Mac，還要滿足信創(chuàng)系統(tǒng)，其架構系統(tǒng)的復雜度非常高。

張建耀表示，上述經(jīng)驗雖然是一家之言，但也是聯(lián)軟通過大量客戶總結和累積的經(jīng)驗。目前，聯(lián)軟的內(nèi)網(wǎng)準入設備裝機量已經(jīng)達到2000萬臺終端，升級到全網(wǎng)零信任架構的用戶也非常廣泛。換言之，聯(lián)軟的全網(wǎng)零信任架構不僅得到了實踐經(jīng)驗，其架構的領先性也得到了證實。

尾聲

2023年被不少專家和廠商認為是零信任的“發(fā)展大年”，其根本在于一方面越來越多的企業(yè)加入云化和移動化，企業(yè)對于身份權限的要求越來越高；另一方面是疫情結束后各廠商無論是安服還是線下營銷都可以正常開展。

對于國內(nèi)零信任越來越火熱的趨勢，張建耀表示，聯(lián)軟已經(jīng)做好了充足的準備。在信創(chuàng)方面，聯(lián)軟目前已經(jīng)適配了國內(nèi)主流的操作系統(tǒng)例如統(tǒng)信、麒麟等等；在數(shù)據(jù)安全方面，聯(lián)軟已經(jīng)能夠解決客戶的大部分場景；在安全分析方面，聯(lián)軟此前發(fā)布的EDR等相關產(chǎn)品已經(jīng)能夠幫助用戶解決安全分析、入侵檢測、防勒索、防釣魚等等；在IAM方面，聯(lián)軟已經(jīng)將其融入到全網(wǎng)零信任的框架中。即便如此，張建耀認為，聯(lián)軟還有進一步發(fā)展的空間，未來，聯(lián)軟科技將在這四個方面繼續(xù)布局，為用戶提供能力更強大的全網(wǎng)零信任產(chǎn)品。

期待全網(wǎng)零信任的推出能夠改變國內(nèi)零信任市場環(huán)境，讓用戶能夠更便捷、更全面地應用零信任架構及產(chǎn)品，讓更多企業(yè)的安全架構步入零信任的新階段。