隨著全球數(shù)字化和萬物互聯(lián)的加速，傳統(tǒng)網(wǎng)絡(luò)安全邊界將消失，外部網(wǎng)絡(luò)攻擊逐漸加劇，以“零信任”理念重構(gòu)安全防御體系越來越多地被認(rèn)可與重視。日前，全球網(wǎng)絡(luò)安全領(lǐng)導(dǎo)企業(yè) Palo Alto Networks（派拓網(wǎng)絡(luò)）舉行線上媒體會(huì)，推出包括SaaS安全、高級(jí)URL過濾、DNS安全、云身份引擎及新型機(jī)器學(xué)習(xí)防火墻在內(nèi)的五項(xiàng)重要?jiǎng)?chuàng)新功能，以幫助客戶輕松在其網(wǎng)絡(luò)安全棧中采用零信任架構(gòu)。派拓網(wǎng)絡(luò)大中華區(qū)總裁陳文俊和派拓網(wǎng)絡(luò)中國區(qū)商業(yè)市場(chǎng)技術(shù)總監(jiān)張晨出席會(huì)議，與媒體分享了近期派拓網(wǎng)絡(luò)業(yè)務(wù)發(fā)展動(dòng)態(tài)和其推出的全面零信任網(wǎng)絡(luò)。

派拓網(wǎng)絡(luò)大中華區(qū)總裁 陳文俊

派拓網(wǎng)絡(luò)中國區(qū)商業(yè)市場(chǎng)技術(shù)總監(jiān) 張晨

為什么選擇零信任網(wǎng)絡(luò)？

零信任代表了新一代的網(wǎng)絡(luò)安全防護(hù)理念。派拓網(wǎng)絡(luò)中國區(qū)商業(yè)市場(chǎng)技術(shù)總監(jiān)張晨介紹，零信任概念的核心思想是企業(yè)不再主動(dòng)相信網(wǎng)絡(luò)中的任何一個(gè)人，或者任何一個(gè)設(shè)備，或者任何一個(gè)應(yīng)用，除非他能夠證明他現(xiàn)在的身份，以及他的訪問意圖。這完全顛覆了原來企業(yè)以邊界為主要防線的網(wǎng)絡(luò)安全概念。派拓網(wǎng)絡(luò)大中華區(qū)總裁陳文俊介紹，零信任的概念是在2010年由美國的John Kindervag提出，在國外一些發(fā)達(dá)地區(qū)發(fā)展得比較快，已經(jīng)有一些使用的案例。在國內(nèi)，零信任安全2015年開始興起，隨著移動(dòng)互聯(lián)網(wǎng)的高速發(fā)展，近年來越來越多的大型互聯(lián)網(wǎng)公司開始部署零信任，在企業(yè)客戶內(nèi)部，零信任也逐漸被關(guān)注與重視，慢慢在國內(nèi)興起。

現(xiàn)階段，云技術(shù)的廣泛應(yīng)用，可能導(dǎo)致各種人員通過不同方式接入企業(yè)網(wǎng)絡(luò)，打破了傳統(tǒng)網(wǎng)絡(luò)邊界，純內(nèi)部系統(tǒng)組成的企業(yè)數(shù)據(jù)中心不再存在，為企業(yè)網(wǎng)絡(luò)安全防護(hù)帶來新的挑戰(zhàn)，所以急需一種能適應(yīng)云服務(wù)的全新架構(gòu)，而零信任架構(gòu)能滿足這個(gè)需求。另一方面，勒索攻擊這幾年一直呈爆炸式增長(zhǎng)。據(jù)派拓網(wǎng)絡(luò)報(bào)告，2020年勒索病毒的攻擊比2019年增加了171個(gè)百分點(diǎn)，企業(yè)支付的最高贖金從2019年的500萬美金提高到2020年的1000萬美金。如果僅僅依靠現(xiàn)有安全方法并不足以應(yīng)對(duì)愈趨嚴(yán)峻的安全態(tài)勢(shì)，而零信任模型恰好能得到更好的效果。

派拓網(wǎng)絡(luò)推出全面零信任網(wǎng)絡(luò)安全

零信任這個(gè)概念如何在企業(yè)環(huán)境下有力地開展，勢(shì)必要借助很多技術(shù)手段。應(yīng)該從哪些方面來考慮企業(yè)的網(wǎng)絡(luò)安全，張晨給出了以下四個(gè)方面的維度：

首先，很多企業(yè)會(huì)借助SaaS類的應(yīng)用來快速開展新業(yè)務(wù)，因?yàn)檫@是非常便捷的。所以SaaS的安全，也即人們說的影子IT，其安全隱患會(huì)成為現(xiàn)在企業(yè)中越來越重要的一部分。

其次是Web類的安全。以前對(duì)攻擊的防范是靠不斷更新病毒定義碼、更新攻擊特征庫來實(shí)現(xiàn)，但是現(xiàn)在很多Web攻擊應(yīng)用的手段非常高明，傳統(tǒng)防范方式已無法應(yīng)對(duì)。

第三，云平臺(tái)的使用，使很多新興的業(yè)務(wù)應(yīng)用遷移到了云平臺(tái)，對(duì)云端業(yè)務(wù)進(jìn)行訪問時(shí)，如何與企業(yè)自建數(shù)據(jù)中心內(nèi)部的服務(wù)器相互進(jìn)行快速的身份認(rèn)證的同步，也成為企業(yè)重新定義網(wǎng)絡(luò)安全當(dāng)中非常重要的一部分。

最后，防火墻部署的位置仍然是企業(yè)網(wǎng)絡(luò)安全整個(gè)架構(gòu)中非常重要的一個(gè)環(huán)節(jié)，如何把更先進(jìn)的機(jī)器學(xué)習(xí)、人工智能技術(shù)快速移植到防火墻這個(gè)硬件平臺(tái)本身，也成為企業(yè)網(wǎng)絡(luò)安全需要考慮的一部分。

派拓網(wǎng)絡(luò)從上述四個(gè)維度不斷去加強(qiáng)和優(yōu)化技術(shù)方案，能夠幫助客戶快速在企業(yè)網(wǎng)絡(luò)中實(shí)現(xiàn)零信任架構(gòu)。其推出的SaaS安全、高級(jí)URL過濾、DNS安全、云身份引擎和新型機(jī)器學(xué)習(xí)防火墻讓企業(yè)能夠輕松、有效地實(shí)施零信任網(wǎng)絡(luò)安全，并獲得四項(xiàng)重要優(yōu)勢(shì)：

（1）安全訪問正確的應(yīng)用：業(yè)界首款集成的云訪問安全代理（CASB），讓客戶主動(dòng)擴(kuò)展對(duì)所有SaaS應(yīng)用的安全訪問，包括那些前所未見的應(yīng)用。

（2）安全訪問正確的用戶：業(yè)界首款云身份引擎讓客戶在企業(yè)網(wǎng)絡(luò)、云和應(yīng)用中輕松驗(yàn)證和授權(quán)其用戶，不受身份存儲(chǔ)位置影響。

（3）增強(qiáng)安全性：高級(jí)URL過濾服務(wù)通過本地機(jī)器學(xué)習(xí)功能提供業(yè)界首創(chuàng)的零日網(wǎng)絡(luò)攻擊防御，擴(kuò)展的DNS安全功能可以防御其他解決方案無法防御的新興DNS攻擊。

（4）全面普及安全訪問：所有形式的防火墻（硬件、軟件和云端）均可使用這些新功能，無論用戶位于何處，均可進(jìn)行安全訪問。除了現(xiàn)有防火墻外，新型號(hào)機(jī)器學(xué)習(xí)下一代防火墻也能使用這些創(chuàng)新功能，以實(shí)現(xiàn)企業(yè)級(jí)零信任網(wǎng)絡(luò)安全——從小型分支機(jī)構(gòu)（使用PA-400系列）到大型園區(qū)和超大規(guī)模數(shù)據(jù)中心（使用PA-5450平臺(tái)）。

企業(yè)采取零信任架構(gòu)，需要關(guān)注哪些環(huán)節(jié)？

派拓網(wǎng)絡(luò)在去年的一項(xiàng)調(diào)查中發(fā)現(xiàn)，有將近一半的客戶已經(jīng)在自己的網(wǎng)絡(luò)中考慮和規(guī)劃零信任網(wǎng)絡(luò)。那么企業(yè)如果需要采取零信任架構(gòu)，當(dāng)前最需要關(guān)注哪些環(huán)節(jié)？企業(yè)實(shí)施零信任安全架構(gòu)時(shí)，是否存在比如成本方面的挑戰(zhàn)？對(duì)此張晨表示，企業(yè)一定要對(duì)自己的IT資產(chǎn)進(jìn)行優(yōu)先級(jí)別的排序，在這些數(shù)據(jù)、應(yīng)用、資產(chǎn)和相應(yīng)的運(yùn)行服務(wù)中，分別梳理出哪些是最重要最需要保護(hù)的。安全一定是從最重要的IT資產(chǎn)最先開始。其次還要梳理這些重要資產(chǎn)和訪問對(duì)象之間的訪問關(guān)系、訪問策略是否恰當(dāng)。有了梳理基礎(chǔ)之后，才會(huì)有的放矢地實(shí)施相應(yīng)的技術(shù)產(chǎn)品來進(jìn)行零信任架構(gòu)的落地。從最重要的IT資產(chǎn)開始，進(jìn)入到良性循環(huán)之后，再往下一步落實(shí)，這樣就可以在零信任的規(guī)劃和成本上做一個(gè)比較好的平衡。

張晨強(qiáng)調(diào)，零信任是安全建設(shè)的指導(dǎo)架構(gòu)和思想，在具體的技術(shù)監(jiān)控和技術(shù)落地層面，會(huì)涉及到很多不同的技術(shù)，它們之間并不是相互替代的，實(shí)際上也不存在所謂的單一產(chǎn)品，即零信任網(wǎng)關(guān)。建議企業(yè)在咨詢、規(guī)劃、梳理好業(yè)務(wù)訪問關(guān)系之后，有的放矢地根據(jù)企業(yè)需要的訪問關(guān)系和保護(hù)的IT資產(chǎn)，來有針對(duì)性地選擇簡(jiǎn)單、自動(dòng)化、高效、高精準(zhǔn)度的安全管理自動(dòng)化平臺(tái)。