2020年有個經常碰到的詞兒，那就是「零信任」。

業界關于零信任的探討和認可也從不吝嗇：

「網絡安全的新基石」

「無邊界化時代的安全架構」

「在不可信網絡中構建安全邊界」

……

還有各類零信任研討會、各大門派的「零信任」白皮書等等。從概念提出到逐步落地實踐，「從不信任，永遠驗證」的零信任走了十年了，未來還將繼續往前走。事實證明，賽博世界需要零信任，企業安全需要零信任。

盡管如此，仍舊有很多用戶在困惑，零信任那么好，該怎么落地應用呢？只有大型企業才用得起零信任嗎？……為幫助用戶尋求到這些問題的答案，我們把負責零信任架構的工程師給抓來了。

 

“業務”隱身

企業對外發布業務時，業務系統直接暴露在互聯網中，很容易被黑客攻擊。尤其是在云計算、移動/遠程辦公常態化的今天，內外網界限模糊，即使是在內網發布的敏感系統，如OA、HR、CRM、ERP等，隨著企業規模的擴大、員工角色及終端的多樣性，其安全性也無法有效保障。

零信任可提供安全代理訪問服務，用戶能不能訪問、能訪問哪些業務系統都要經過零信任的策略控制，通過策略審核后才能訪問業務系統。相當于對外隱藏了業務，極大地減少黑客的攻擊。

 

SPA（Single Packet Authorization）即單包授權，是SDP（軟件定義邊界）的核心功能。在啟用SPA時，零信任代理網關會在SSL連接握手時進行認證授權，只有通過特定客戶端（攜帶授信的SPA種子/握手口令的客戶端）發送認證報文信息給服務器，服務器認證通過后，才能響應連接請求，從而實現真正的網絡隱身。

▲SPA單包授權安全機制實現「網絡隱身」

 

這就好比添加微信好友時，別人可以隨意通過手機號、微信號、群聊等方式向你發起好友申請?，F在，你把這些添加方式都關閉，只保留共同好友分享名片這一方式，共同好友就好比SPA種子，具備共同好友則默認此人是可信的，能放心通過。

通過SPA單包授權技術，保證了只有具備合法SPA種子的客戶端才能與零信任代理網關建立連接實現對業務系統的訪問。

 

終端動態環境檢測和業務準入

解決了業務的隱身問題，訪問業務的終端成了新的“暴露面”，終端感染惡意程序、異常登錄、不授信的網絡環境等等都可能威脅到終端要訪問的業務系統的安全。因此，需要對終端設備進行持續的信任評估。

零信任提供全過程的終端環境動態檢測與業務準入，對需要通過零信任來訪問業務系統的終端啟動上線準入功能，進行24小時動態安檢，一旦發現終端不符合安全要求，則禁止登錄。

同時，基于業務應用的不同敏感度，零信任可為用戶設置不同的業務準入策略，比如訪問高敏感應用，需要限定指定終端和指定的網絡環境；訪問中敏感應用，只需限定指定終端；訪問一般敏感應用，可以不限制終端和網絡環境。

▲終端環境動態檢測與業務準入

 

業務動態準入是貫穿業務訪問的全過程的，以確保終端環境只有處于指定安全級別時才能訪問對應的業務系統，如果不滿足要求，可以訪問低敏感度的應用。既保障了敏感業務的安全性，也不影響用戶訪問一般敏感應用。

 

動態ACL

動態ACL（動態訪問權限控制）是零信任信任評估理念落地的關鍵，只有實現了根據信任評估結果對訪問權限進行動態調整，信任評估才有意義。當終端環境或訪問行為不滿足安全基線時，會自動收回對應權限。

零信任在靜態權限配置基礎上，基于環境、行為、身份等綜合信息動態調整訪問權限，以應對終端環境變化導致的異常訪問。

當同樣的終端和用戶從指定網絡環境切換到不授信的外部網絡時，即可實時收回僅能在指定網絡環境訪問的高敏感應用訪問權限，確保高敏感應用的安全。

相反，如果終端一開始不符合高敏感應用的訪問要求，可以通過增強認證等方式提高信任等級從而獲得高敏感應用訪問權限。

▲零信任動態訪問權限控制

 

作為一種全新的理念和架構，零信任在企業進行安全建設和訪問控制上能起到很好的指導作用，實現對重要數據和核心應用的高強度安全保護。

零信任在縮小暴露面隱藏業務、終端動態安全檢測、動態自適應認證、動態訪問控制、分級保護業務、數據防泄密等方面具備優勢，可覆蓋多場景遠程辦公、內網權限控制、內外網統一訪問控制、多云多數據中心安全訪問等應用場景。

 

深信服零信任安全架構

作為國內較早探索零信任應用的企業之一，深信服推出了零信任安全架構及相應的解決方案和產品，基于“以身份為中心，可信訪問、智能權限、極簡運維”的理念，通過新一代網絡隱身、動態自適應認證、全周期終端環境檢測、動態業務準入、動態訪問控制、多源信任評估等核心能力，幫助用戶實現流量身份化、權限智能化、訪問控制動態化、運維管理極簡化的新一代網絡安全架構轉型。

▲深信服零信任安全架構

 

與其他同類方案相比，深信服零信任安全架構具備更輕量、易落地以及可持續成長的優勢：

1. 更輕量：一套平臺即可滿足從接入安全到數據安全的多場景零信任安全建設需求。

2. 易落地：一體化交付、對現網改動小。同時，憑借長期在遠程辦公領域的積淀，深信服推出輕量易用的零信任遠程辦公解決方案——零信任“VPN”，助力用戶快速實現零信任落地。

3. 可持續成長：可通過聯動其他安全組件、桌面云等構建覆蓋全場景、智能聯動的完整零信任安全架構，保持安全能力持續深化，以應對日益復雜的安全需求，實現全面零信任。

 

目前，深信服零信任已在金融、運營商、互聯網企業、大型制造業、教育、政府科研、企事業單位等各行各業落地實施，其輕量級、易落地、可持續成長的優勢將被越來越多的用戶認可。