2019-11-01 16:00

　　“零信任”是约翰金德维首席分析师提出的，提出三个关键原则：一是不应该区分网络位置，二是所有的访问控制都应该是最小权限且严格限制，三是所有的访问都应当被记录和跟踪。他提出之后，在2011-2017年之间谷歌在自己的企业网进行了零信任的实现。2014年12月谷歌发表多篇论文阐述自身零架构的实施情况和相关方式，到2017年时谷歌beyondCorp全面落地，在这个时间点业界大厂商看到明确在谷歌巨型企业落地的案例，然后快速跟进，包括思科、亚马逊、微软等这些举头企业。2018年开始到现在，我们的中央部委、国家机关和中大型企业也开始探索和实践零信任安全架构。

　　为什么需要零信任？谷歌的痛点在哪里？可以从机构业务发展历程去看：传统安全理念是构建一个边界，专注于边界防护就好了，因为边界之内是安全的。在这样传统安全理念之下，业务发展简单的情况下安全是好建设的，但是业务是一成不变的，企业和机构需要建设越来越多的办事处或者子公司，或者门打算以及网点。这种情况下相当于原来的边界不再纯粹，上面有更多出口。

　　同时，因为我们分支或者办事处等安全人员从业意识和安全技能是参差不齐，分布的安全设备和总部也不尽相同，这种其他下如何做好分公司分布层面上统一安全建设成为了一个有难度的命题。

　　我们也看到近些年来比如移动金融应用类白皮书很有名证明说明了这点，移动应用在金融行业几乎成为了标配，典型的是手机银行。移动办公和移动生产越来越多，我们遇到典型业务是金融的信用卡开卡、保险办理等等。

　　还有一个比较关键的点是数据中心的云化，我们看到头部大型金融机构会建设自己的金融私有云，同时它会利用安全和技术的先进优势去建设金融行业云，提供给这些中小金融机构去使用，帮助它们去做金融业务的发展，这也有利的辅助了我们在移动互联时代金融业务的创新与发展。

　　我们看到传统的边界不再纯粹了，它变得模糊甚至趋于破碎，这种情况下传统的安全架构难以适应企业的快速发展。以金融行业为例，像“十三五”规划里提到，后续还会有像区块链、物联网、人工智能等等，这些新的金融科技也会促使带来更多安全问题。

　　谷歌在2011年决定建，在那前后它到底遇到什么问题？它遇到几个问题：第一个痛点，它不仅自身有多来点分支机构的建设，同时谷歌是全球最有名的并购狂魔，从2006年到现在并购近200家公司，2010年一年就达48家。比较典型的有YouTube、摩托罗拉这种。第二个痛点，谷歌的移动办公，包括业务系统移动化，也就是移动应用，使得它她入终端的类型和接入终端的位置变得非常复杂，传统边界出口越来越多，非常难管理。第三个痛点，对它当时冲击比较大的是APT攻击，现在我们大家对APT都有了解，它是一种攻击理念，不是单纯的攻击方法或者攻击技术，攻击者有组织有纪律的利用武器库去入侵，摸着我们企业开放越来越多的边界，去入侵到企业内部，然后潜伏下来，去寻找或者窥视更有价值的业务系统或者相关企业生产资料及资源，去做盗窃或者破坏行动。

　　比如近几年APT网络武器库泄露也使得网络武器从军工级别走向民用化，比如“永恒之蓝”直接导致勒索病毒和挖矿病毒大范围横行。2009年谷歌遇到“极光行动”，员工从终端里入侵进去，后面又入侵了gmail服务器，盗取了邮件服务器机密长达数月之久。最关键的是谷歌安全体系难以回答清楚到底能不能防御住下一次“极光行动”

　　我们回过头来看看传统的安全架构到底有什么问题：

　　传统企业网安全架构是通过网络位置划分性能区域，比如分成办公区、访客区等，但总体有一个原则是一致的，就是外部不受信任，区域内部属于信任特权网络，意味着只要他一旦渗透到信任里面就可以一路畅通无阻。另外，企业内网部署大量安全设备，但是设备与设备间缺乏信息共享和安全联动，不仅带来运维困难，而且还会导致设备大量堆叠，但是安全在实质上是处于一种割裂的状态。

　　谷歌是比较有个性的公司或者纠其本质从头再来，比如安卓操作系统。当它遇到问题时也在思考到底该怎么解决问题，既然可信网络和不可信网络混杂，没有办法很好的安全控制，为什么不能化繁为简，只允许网络中只有可信的流量才能通过，问题迎刃而解。所以零信任网络安全架构主要由三大理念和五大基本原则组成：1、信任最小化，所有用户、设备和网络流量都应该被认证、授权和加密。2、网络无特权化，不管是内网还是外网，始终都是充满威胁的，不应该依据网络位置去信任。3、权限动态化。主张应该基于尽量多的数据源，比如用户、设备、环境、信息、行为等。

　　谷歌建立了全生命周期的数据清单数据库以及用户群组数据库，通过全生命周期数据库的建设，把不管在谷歌大楼内部还是在星巴克咖啡店等，都相同的需要通过访问代理跟身份认证系统进行对接，判断用户身份以及终端环境，然后再来去确认它的访问的权限，然后在过程中动态的做相关的调整，实现无边界的网络。

　　我们看到前面传统的安全架构存在两大问题，第一，模糊甚至破碎的边界，第二，割裂的安全。零信任架构通过全面身份化、多源信任评估、动态访问控制解决了边界模糊和边界破碎的问题，但是安全问题不是一个方案、一个产品能够完全解决的，深信服精益信任的理念认为，我们应该在零信任基础上和各种安全设备进行融合和联动，形成统一互补的安全体系，构建统一安全

　　二、深信服精益信任统一安全架构

　　精益信任aTrunst平台架构其中最重要是两部分，安全控制中心和安全控制网管。所有用户访问都统一通过安全接入网关检测，以及终端做判定，最后授予相应的权限。

　　aTrunst在业务访问过程中主张先访问资源再验证身份，转变为先验证身份再访问资源。比如一个业务系统开放给5个部门里的20个人使用，传统的方式是把这5个部门里的2000个人都可以访问到这个业务系统，只不过他没有用户名和密码，这访问面和攻击面是非常巨大的，带来了巨大的威胁。

　　统一身份认证组件上提供了统一身份认证、身份管理和单点登陆sso能力，更重要的是和aTrunst联动，基于全生命周期的管理，比如一个员工进入离职中的状态，他的安全策略就会进行相应调整，达到更高的安全系数，降低安全风险。

　　在全面身份化还会遇到一个巨大的难题，就是谁应该访问哪些业务系统是很难搞清楚的，可以基于用户访问行为和全面身份化流量，通过智能生成ACL访问报告，帮助管理员做权限细化。

　　多源信任评估实现动态访问信任授权，安全评估基于多维度漏斗，基本是几个层次，一个是相对传统的基于特征的识别方式，还有一个是无特征的利用深度学习和机器学习的方式，以及沙盒，利用大数据的优势跟大数据分析平台进行联动，实现更强的秒级威胁情报的响应和检测。行为检测分析层面上通过对流量进行分析，能够做到内网的各种访问，包括攻击行为和用户访问行为进行更实时的、更可视的监控，同时，对于用户长期的行为进行基线建设，发现更多衍生风险。

　　动态权限基于主体、环境、身份这三个部分，比如用户密码是60%的身份，用户名密码加短信是80%，加上生物识别是百分之百的身份。身份确认之后，对于环境的层面上，你的终端是不是安全，有没有打补丁，有没有漏洞和木马，在身份和环境可信之后非常重要的是行为，有没有做扫描和攻击的行为，有没有大量下载财务系统或者研发图纸系统里的文件资料等等行为。基于三个可信评估出来的信任等级，再结合资源应用分级精密等级能够实现动态访问控制。

　　在统一安全层面上aTrunst架构主张能够和各个安全产品进行联动，保持非常开放、灵活的架构，包括并不仅能够和LDAP等进行联动，促使安全从割裂走向融合。我们将内网流量逐步身份化、可视化之后，使安全从黑盒走向可视可控。

　　aTrunst主张零信任不应当是一个巨无霸，也不应当是一个一蹴而就的东西，它应该和机构及企业各个业务发展阶段结合起来去匹配，按需提供。比如基本的包含控制中心和可信代理两个组件，如果有移动办公可以增加移动办公相关的安全组件，包括终端安全威胁以及内网行为分析等等都是可以自由的去做调整。最后能够和机构、企业共同发展业务，相辅相成，能够一起为客户的业务做保驾护航。

　　今天我的分享就到这里！