从“边界信任”到“零信任”，安全访问的“决胜局”正提前上演 – 作者:腾讯安全

“数字宇宙造成的伤害，将变成物理伤害。”——“爱因斯坦-罗森桥”虫洞

对大多数人来说，对数字化变革的切身体验从未像2020年新冠疫情爆发以来这般强烈。这一年，各类“无接触”新业态争相冒头，企业竞相入局。

然而，不可否认是，满载机遇的2020暗合着更多不确定性叠加的挑战。当网络安全事件足以导致数字资产和大规模服务停摆，甚至危及大众人身安全之时，新冠疫情大流行之下，网络安全赛道的异常热闹似乎在意料之中。企业强抓机遇展开安全排兵布阵之际，那些精准瞄准业务场景痛点且具有高融通性的优质理念和技术也迎来健壮发展。零信任正是其中之一。

谨慎而理性的资本向来对市场趋势有着极强的敏锐度。圣诞节前三天，以零信任安全为主打的科技公司Zscaler以206.78美元/股的价格在美股市场收盘，较之年初涨幅已达344.69%。而中国采招网数据则显示，近年来已出现了70个含有零信任关键词的招投标项目。

很显然，在经历十年起落后，零信任这一看上去既熟悉又陌生的理念架构，正以“永不信任、持续验证”的核心，迎来健壮的“扎根”生长之势，将在与“边界信任”的新一轮“决胜局”中，成为网络安全界未来三年内可预见的新增长极。

01 从“边界信任”失效到“零信任”上场

自1995年首次推出开始，世界最大IT研究与顾问咨询公司Gartner发布的技术成熟度曲线（Hype Cycle）已是各产业界预测各类新科技的成熟演变速度并作出相关决策的“智慧锦囊”和风向标。

在这一曲线中，从2010年Forrester首席分析师 John Kindervag首次以“永不信任，始终验证”的理念，提出零信任模型（Zero Trust Model）以来，零信任安全从概念到落地实践的路径同样也不例外。Google内部推行到云安全联盟CSA的SDP（即软件定义边界），再到各大厂商的纷纷入局，零信任正在跨过泡沫破裂低谷，进入稳步爬升的市场成熟期。

此外，Gartner在近日发布的《SASE Will Improve Your Distributed Security Everywhere》报告中指出，聚焦基于集中化策略控制来简化安全性的SASE新型架构将迎来巅峰发展，作为其重要支撑模块的零信任安全访问也将借势加快向新一轮发展红利期迈进。

而这一趋势的背后其实暗藏着一场企业系统访问安全需求的持续深化变迁。数字化纵深发展的时代背景似乎让任何事情变得不再割裂：“云大物移”之于数字化企业已非简单的技术应用，而更是整个网络空间环境的重塑。

当混合云、自带设备BYOD、远程协作、在家办公WFX成为企业运作新常态，业务系统的内外界线不断模糊化和无界化。合作伙伴和第三方供应商的加入，以及移动办公、物联网等场景随疫情大流行的加速扩延，带来更高效业务运营的同时，也造就了更为开放、复杂且具有更多不确定性的网络环境。

众所周知，传统安全访问架构是以网络为中心的边界信任架构。其在安全攻防中表现出的被动性和静态性，使得其在资源消耗、灵活性差等方面的弊端在新网络环境下被成倍放大。

较之传统边界安全模型，零信任安全架构最大的特别之处就在于“没有默认的信任，只有默认的威胁”。

在这一架构中，企业系统的任何一次访问都是以身份为中心的单次通道，“信任”都是从零开始的，且持续处于动态评估和调整的状态。这一主动、自动化的防御策略是颠覆着访问控制的范式，引导现有安全体系逐步走向“身份中心化”，是适应当下网络环境安全需求的必然转变。

当边界控件已无法阻止攻击者在获得初始访问权限后的横向活动，“永不信任、持续验证”的零信任落地赛道已经准备就绪。借助强安全验证简化网络内外层级信任放行的做法，零信任安全体系正以各行业纷纷入局的强大落地阵容，提前进入规模化应用的新周期。

02 “永不信任”的落地新局正加速生成

2009年12月中旬，在经历了一场名为极光行动（Operation Aurora）的高度复杂APT攻击后，Google开启了重新设计员工与设备访问内部应用安全架构的尝试。历经多年的实践与修正，对于Google员工来说，受防火墙保护的企业级应用已不复存在，在咖啡厅亦或是在家中都能与在公司办公楼如出一辙地访问内部应用，早已是再平常不过的日常。

而这一常态的实现其实是得益于一个名为BeyondCorp的安全新模式。该模式摒弃了将网络隔离作为防护敏感资源的主要机制。取而代之的是，将访问控制权从边界转移到个人设备与用户上，从而使得员工无论身在何处都能安全地访问企业资源。Google BeyondCorp也至此成为业内所称道的零信任网络最早的落地实践成果。

目前来看，零信任作为解决网络访问信任问题切实可行的思路，已成为全球头部互联网机构及公司的共识理念。腾讯安全专家曹静就曾在腾讯安全管理者俱乐部沙龙上提及，零信任不仅可以替换VPN，实现无边界的办公和运维场景；还可针对云上业务系统的安全访问，隐藏互联网暴露面以阻断黑客攻击。

可以预见，零信任作为适应新网络空间环境的一种新理念，大有网络安全发展主流之势。各领域对其“呼声”的不断攀升，也使逐渐成为各类安全主体近年来布局实践的重点。以腾讯为例，早在2016年，腾讯就开始在内部率先落地实践零信任理念，并将其拓展到了腾讯云的安全能力打造中，护航腾讯云上客户访问。腾讯云也凭借这一完备的ZTNA（零信任安全访问）能力获Gartner《SASE Will Improve Your Distributed Security Everywhere》报告推荐。

从国内来看，2019年，工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》中，零信任安全首次被列入网络安全需要突破的关键技术。同年，中国信息通信研究院发布的《中国网络安全产业白皮书(2019年)》中，首次将零信任安全技术和5G、云安全等同列为我国网络安全重点细分领域技术。

而在零信任提出的十周年之际，云安全联盟大中华区（CSA）在2020云安全联盟大中华区大会上，联合腾讯安全、奇安信、天融信等发布的《2020中国零信任全景图》更是对这一趋势的最好印证。

包括腾讯、奇安信、天融信等在内的安全头部企业已从业务场景、产品服务、部署架构等维度，形成了零信任安全的能力布局。

以腾讯为例，利用安全评估和管控、统一身份管理和授权、零信任网关以及动态授权评估等组件，构建而成的腾讯零信任安全解决方案，帮助数字化转型企业应对用户接入面临的安全挑战，保护企业内的业务和数据的访问，确保用户身份安全。在此体系下，无论是远程办公、远程运维、全球业务加速还是多云接入的场景都可以获得快捷安全的接入体验。

也正是依托这一解决方案的能力，腾讯iOA才得以成功保障了7万员工和10万台终端在疫情期间的跨境、跨城远程办公安全。并帮助涵盖猿辅导在内的在线教育、金融、医疗、政务等多领域客户抵御住了远程办公安全防护的风险压力。

简言之，扎根于“无边界”网络环境，零信任完全具备加速落地的生长“土壤”。当新时代的安全治理已非靠被动的“修建堤坝抵御洪水”就能实现之时，零信任在访问安全新生态重构中表现出的价值优势，为其生成了一个加速落地的发展新局面。

03 新局之下，企业如何走向零信任实践深处？

事实上，无论是国内权威部门还是国际权威机构发布的政策或报告，都在肯定同一趋势：零信任安全的落地实践有着光明的前景与规模巨大的市场。然而，形势大好之下尚有一个不可否认的事实：就国内而言，零信任的应用之路尚处于导入期。

正如天融信科技集团解决方案中心副总经理谢琴曾指出，虽然企业CISO和厂商都对零信任寄予厚望，但因其搭建涉及到对企业现有网络体系进行大幅改造等因素的影响，加之千变万化的业务场景需求，决定了零信任的大规模落地实践无法在短期内一蹴而就。

如何破解建设瓶颈，深入零信任安全实践，以抓住这一广阔革新机遇，成为摆在数字化企业面前的共同之问。

零信任作为一种理念而非技术，几乎可以应用到所有涉及身份认证、行为分析、区域隔离、数据访问等的安全产品和架构体系。其落地实践首当其冲应当解决实现技术路径的问题。目前来看，由美国国家标准委员会NIST于2019年对外公布的“SIM”（SDP、IAM和MSG），已成为行业公认的实现零信任的三大技术路径。

“条条大路通罗马”，企业要做的就是结合自身传统安全体系、身份、账号、权限控制以及审计管理的现状，找到最适合自身业务系统的最优路径。

虽然在网络系统构建之初将零信任作为系统的原生“基因”是行业普遍认为最理想的构建之法，但零信任网络安全框架的搭建并没有唯一方法和标准。零信任安全实践并不意味着“推翻”，而是基于身份细颗粒度访问控制体系的整合叠加。

然而，这一“整合叠加”并非简单的“补丁”模式，甚至可能触及企业原有网络安全体系的根基，大量人力和成本投入真实可见。因此，企业领导人的支持在此过程中就显得尤为关键。对企业现有网络安全需求进行全盘分析，既是明晰零信任构建之路、制定策略的关键，也是能够成功说服领导人的有效之法。

当然，企业员工作为零信任安全框架的具体实施者，其能否实现思维方式的更新也是零信任安全体系能够发挥应有效能所不容忽视的因素。因此，围绕零信任安全资深专家的专业培训和教育成为企业零信任落地实践中不可或缺的重要部分，也是保持企业零信任安全架构以长期优化机制保有动态化、灵活化特征优势的关键所在。

当前，大量传统企业为配合数字化转型而进行的网络系统升级，给零信任安全体系的规模化应用带来了大好契机。但正如腾讯安全反病毒实验室负责人马劲松所言，在目前零信任产业市场呈现碎片化、生态分散化的大趋势下，零信任的发展亟需行业生态来规范引导。只有联合更多行业生态形成合力，携手生态伙伴在相应的场景、环节建立相应的安全体系，用实际行动勾勒出零信任这头“大象”的清晰轮廓，真正实现网络安全体系的转变。

而在此过程中，安全企业作为零信任安全方案和产品的提供者，其推动之力显然是零信任安全落地实践的重要引擎。只有通过安全企业不断深化对技术路径和方案的探索研究，才能让更多的企业更为精准地找到最适合自身业务场景的“零信任秘方”，让零信任不止于“理想愿景”，而是实实在在的新安全之法。有理由相信，诸如腾讯主导“服务访问过程持续保护参考框架”国际标准立项、联合多家机构企业成立国内第一个“零信任产业标准工作组”等的生态共融实践，将推动企业走向零信任安全应用落地的深处。

进入2021，企业因数百上千万数据暴露带来的实质性损失并不会消失。从“零”开始的新网络安全体系对数字时代安全的价值已不置可否。一定程度上甚至可以说，产业互联网能否安全前行，或许还要看企业在零信任安全方面的实践探索能有多深。

来源：freebuf.com 2021-01-14 14:45:59 by: 腾讯安全