零信任概念的提出，徹底顛覆了原來(lái)基于邊界安全的防護(hù)模型，近年來(lái)受到了國(guó)內(nèi)外網(wǎng)絡(luò)安全業(yè)界的追捧。所謂零信任顧名思義就是“從不信任”，那么企業(yè)是否需要摒棄原有已經(jīng)建立或正在搭建的傳統(tǒng)基于邊界防護(hù)的安全模型，而向零信任安全模型進(jìn)行轉(zhuǎn)變呢？零信任是企業(yè)安全建設(shè)中必須經(jīng)歷的安全防護(hù)體系技術(shù)革新，但它必然要經(jīng)歷一個(gè)長(zhǎng)期探索實(shí)踐的過(guò)程。

　　一、零信任的主要安全模型分析

　　云計(jì)算和大數(shù)據(jù)時(shí)代，網(wǎng)絡(luò)安全邊界泛化，內(nèi)外部威脅越來(lái)越大，傳統(tǒng)的邊界安全架構(gòu)難以應(yīng)對(duì)，零信任安全架構(gòu)應(yīng)運(yùn)而生。作為企業(yè)，該如何選擇“零信任”安全解決方案，為企業(yè)解決目前面臨的安全風(fēng)險(xiǎn)？

       目前“零信任”安全模型較成熟的包括安全訪問(wèn)服務(wù)邊緣（SASE）模型和零信任邊緣（ZTE）模型等。以這兩種模型為例，首先要先了解目前模型的區(qū)別，探討各自的發(fā)展趨勢(shì)，再選擇適合企業(yè)的落地實(shí)施方案。

       對(duì) SASE 模型，身份驅(qū)動(dòng)、云架構(gòu)、支撐所有邊緣以及網(wǎng)絡(luò)服務(wù)提供點(diǎn)（PoP）分布是其主要特征。SASE 模型擴(kuò)展了身份的定義，將原有的用戶、組、角色分配擴(kuò)展到了設(shè)備、應(yīng)用程序、服務(wù)、物聯(lián)網(wǎng)、網(wǎng)絡(luò)邊緣位置、網(wǎng)絡(luò)源頭等，這些要素都被歸納成了身份，所有這些與網(wǎng)絡(luò)連接相關(guān)聯(lián)的服務(wù)都由身份驅(qū)動(dòng)。與傳統(tǒng)的廣域網(wǎng)不同，SASE 不會(huì)強(qiáng)制將流量回傳到數(shù)據(jù)中心進(jìn)行檢索，而是將檢查引擎帶到附近的 PoP 點(diǎn)，客戶端將網(wǎng)絡(luò)流量發(fā)到 PoP 點(diǎn)進(jìn)行檢查，并轉(zhuǎn)發(fā)到互聯(lián)網(wǎng)或骨干網(wǎng)轉(zhuǎn)發(fā)到其他 SASE 客戶端，從而消除網(wǎng)絡(luò)回傳所造成的延遲。SASE 可提供廣域網(wǎng)和安全即服務(wù)（SECaaS），即提供所有云服務(wù)特有的功能，實(shí)現(xiàn)最大效率、方便地適應(yīng)業(yè)務(wù)需求，并將所有功能都放置在 PoP 點(diǎn)上。

       SASE 模型的優(yōu)點(diǎn)在于能夠提供全面、靈活、一致的安全服務(wù) , 同時(shí)降低整體安全建設(shè)成本，整合供應(yīng)商和廠家的資源，為客戶提供高效的云服務(wù)。通過(guò)基于云的網(wǎng)絡(luò)安全服務(wù)可簡(jiǎn)化 IT 基礎(chǔ)架構(gòu)，減少 IT 團(tuán)隊(duì)管理及運(yùn)維安全產(chǎn)品的數(shù)量，降低后期運(yùn)維的復(fù)雜性，極大地提高了工作效率。SASE 模型并利用云技術(shù)為企業(yè)優(yōu)化性能、簡(jiǎn)化用戶驗(yàn)證流程，并對(duì)未授權(quán)的數(shù)據(jù)進(jìn)行保護(hù)。

       SASE 模型強(qiáng)調(diào)網(wǎng)絡(luò)和安全緊耦合，網(wǎng)絡(luò)和安全同步建設(shè)，為正在準(zhǔn)備搭建安全體系的企業(yè)提供了較為理想的路徑。反之，已經(jīng)搭建或正在搭建安全體系過(guò)程中的企業(yè)，如果要重構(gòu)企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)，是個(gè)極大的挑戰(zhàn)，也是一筆不小的投入。所以，SASE 模型可能更適用于面對(duì)終端用戶的零售行業(yè)，為這類企業(yè)提供完整的安全服務(wù)，不需要企業(yè)在每一個(gè)分支節(jié)點(diǎn)上搭建一整套安全體系，便于統(tǒng)一管理并降低建設(shè)成本。

      ZTE 模型的重點(diǎn)在零信任。一是數(shù)據(jù)中心零信任，即資源訪問(wèn)的零信任，二是邊緣零信任，即所有邊緣的零信任訪問(wèn)安全。其實(shí)可以理解為SASE 模型納入了零信任的模塊，本質(zhì)上是一個(gè)概念。ZTE 模型強(qiáng)調(diào)網(wǎng)絡(luò)和安全解耦，先解決遠(yuǎn)程訪問(wèn)問(wèn)題，再解決網(wǎng)絡(luò)架構(gòu)重構(gòu)問(wèn)題。

　　二、華潤(rùn)醫(yī)藥商業(yè)集團(tuán)零信任的實(shí)踐

　　華潤(rùn)醫(yī)藥商業(yè)集團(tuán)有限公司（以下簡(jiǎn)稱“公司”）作為華潤(rùn)下屬的大型醫(yī)藥流通企業(yè)，在全國(guó)分布百余家分子公司，近千家藥店，日常業(yè)務(wù)經(jīng)營(yíng)都離不開(kāi)信息化基礎(chǔ)支撐，所以網(wǎng)絡(luò)安全工作尤為重要。近年來(lái)各央企在網(wǎng)絡(luò)安全建設(shè)方面均積極響應(yīng)國(guó)家號(hào)召及相關(guān)法律法規(guī)要求，完善網(wǎng)絡(luò)安全防護(hù)能力，公司同樣十分重視網(wǎng)絡(luò)安全建設(shè)，目前同國(guó)內(nèi)主流安全廠商合作，建立了以態(tài)勢(shì)感知為核心，貫穿邊界與終端的縱深防御體系，并通過(guò)連續(xù)兩年參與攻防演練，不斷提升網(wǎng)絡(luò)安全人員專業(yè)水平，通過(guò)攻防實(shí)戰(zhàn)進(jìn)一步優(yōu)化網(wǎng)絡(luò)安全建設(shè)。

      但公司在涉及云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等技術(shù)領(lǐng)域時(shí)，現(xiàn)有的網(wǎng)絡(luò)邊界泛化給企業(yè)帶來(lái)的安全風(fēng)險(xiǎn)不可控，傳統(tǒng)的基于邊界的網(wǎng)絡(luò)安全架構(gòu)和解決方案難以適應(yīng)現(xiàn)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施，而零信任能夠有效幫助公司在數(shù)字化轉(zhuǎn)型中解決難以解決的問(wèn)題。

      公司選擇了 SASE（安全訪問(wèn)服務(wù)邊緣）和ZTE（零信任邊緣）兩種模型并行的解決方案為企業(yè)摸索“零信任”網(wǎng)絡(luò)安全架構(gòu)推進(jìn)的方向。

       公司分支企業(yè)眾多，幾乎覆蓋全國(guó)范圍，存在安全管控難、處置難、安全性低、資源靈活性差等問(wèn)題，并缺少整體統(tǒng)一的長(zhǎng)效運(yùn)營(yíng)機(jī)制。基于以上問(wèn)題，公司參考了 SASE 模型的解決方案，將原有的傳統(tǒng)廣域網(wǎng)鏈接數(shù)據(jù)中心的訪問(wèn)形式變?yōu)镻oP 點(diǎn)廣域網(wǎng)匯聚的網(wǎng)絡(luò)架構(gòu)方案，由統(tǒng)一的運(yùn)營(yíng)服務(wù)商提供網(wǎng)絡(luò)鏈路及全面的安全服務(wù)。但并不是完全重構(gòu)原有的網(wǎng)絡(luò)架構(gòu)，而是分為三類情況使用不同的方案。

        第一類是改變網(wǎng)絡(luò)安全管理方式，主要針對(duì)區(qū)域公司。由于大部分區(qū)域公司已經(jīng)搭建了相對(duì)成熟的安全體系，只將原有的傳統(tǒng)廣域網(wǎng)鏈路改為就近接入運(yùn)營(yíng)商 PoP 點(diǎn)，并將原有的雙線冗余線路的備用線路使用軟件定義廣域網(wǎng)（SD-WAN）技術(shù)進(jìn)行替換，并通過(guò)服務(wù)質(zhì)量（QoS）機(jī)制將主營(yíng)業(yè)務(wù)與辦公業(yè)務(wù)進(jìn)行合理切分，大大提高了網(wǎng)絡(luò)使用效率，降低費(fèi)用成本，并且可以通過(guò)統(tǒng)一的管理平臺(tái)對(duì)廣域網(wǎng)進(jìn)行管理，統(tǒng)一下發(fā)配置安全策略，提高整體安全管控和處置。

        第二類是逐層匯聚、分層管理，主要針對(duì)二、三級(jí)分支機(jī)構(gòu)。這類單位安全體系雖已建設(shè)，但還未達(dá)到較高的程度，通過(guò)就近接入 PoP 點(diǎn)或匯聚到區(qū)域公司，由運(yùn)營(yíng)商提供部分安全服務(wù)或由區(qū)域公司進(jìn)行統(tǒng)一管控。

        第三類主要針對(duì)零售門(mén)店及小型分支機(jī)構(gòu)這類沒(méi)有能力搭建安全體系的單位。使用 SD-WAN 安全接入方案就近接入 PoP 點(diǎn)，由運(yùn)營(yíng)商提供整體的安全服務(wù)，從而降低安全建設(shè)成本并加強(qiáng)統(tǒng)一安全管控。通過(guò) SASE 模型的管理理念對(duì)網(wǎng)絡(luò)架構(gòu)進(jìn)行調(diào)整，提供全面、一致的安全服務(wù) , 同時(shí)降低整體安全建設(shè)成本，提高工作效率。

       近兩年，公司辦公受新冠疫情的影響，員工居家辦公成為常態(tài)化。作為虛擬專用網(wǎng)絡(luò)（VPN）產(chǎn)品的使用“大戶”，公司原有的 VPN 賬戶眾多 ,傳統(tǒng) VPN 在使用過(guò)程中已經(jīng)難以滿足當(dāng)前業(yè)務(wù)的需求，一些問(wèn)題逐漸暴露，經(jīng)常出現(xiàn)不同程度的安全風(fēng)險(xiǎn)。傳統(tǒng) VPN 架構(gòu)存在很多問(wèn)題，如權(quán)限基于角色固定分配，不夠靈活，在業(yè)務(wù)生成中及重保等特殊時(shí)期，粗放的權(quán)限管控?zé)o法達(dá)到對(duì)不同角色的業(yè)務(wù)人員及非法人員的訪問(wèn)控制。業(yè)務(wù)端口暴露在公網(wǎng)，本身即存在賬號(hào)冒用、惡意掃描、口令爆破等安全隱患。公司總部負(fù)責(zé) VPN 業(yè)務(wù)運(yùn)維，涉及下級(jí)單位 VPN 問(wèn)題均需要總部人員處理，諸如找回賬號(hào)密碼等細(xì)微而繁瑣的問(wèn)題占用了總部人員大量時(shí)間和精力。不同終端、瀏覽器對(duì)于傳統(tǒng) VPN 客戶端的兼容性不同，兼容性問(wèn)題也是經(jīng)常被員工吐槽的地方。在 VPN 使用中，基于互聯(lián)網(wǎng)的加密訪問(wèn)經(jīng)常因?yàn)榫W(wǎng)絡(luò)原因出現(xiàn)業(yè)務(wù)卡頓甚至掉線問(wèn)題。

       為此，公司參考了 ZTE 模型的解決方案，首先解決遠(yuǎn)程訪問(wèn)問(wèn)題。公司于 2021 年進(jìn)行了零信任安全建設(shè)試點(diǎn)，以零信任理念為指導(dǎo)，結(jié)合深信服軟件定義邊界（SDP）架構(gòu)的零信任產(chǎn)品，構(gòu)建了覆蓋全國(guó)辦公人員的零信任遠(yuǎn)程辦公平臺(tái)。

       SDP 架構(gòu)的零信任產(chǎn)品，對(duì)訪問(wèn)連接進(jìn)行先認(rèn)證、再連接，拒絕一切非法連接請(qǐng)求，有效縮小暴露面，避免業(yè)務(wù)被掃描探測(cè)以及應(yīng)用層分布式拒絕服務(wù)攻擊（DDoS）。通過(guò)單包認(rèn)證（SPA）授權(quán)安全機(jī)制實(shí)現(xiàn)業(yè)務(wù)隱身、服務(wù)隱身，保護(hù)辦公業(yè)務(wù)及設(shè)備自身。對(duì)于沒(méi)有安裝專有客戶端的電腦，服務(wù)器不會(huì)響應(yīng)來(lái)自任何客戶端的任何連接，無(wú)法打開(kāi)認(rèn)證界面及無(wú)法訪問(wèn)任何接口。具備自適應(yīng)身份認(rèn)證策略，異常用戶在異常網(wǎng)絡(luò)、異常時(shí)間、新設(shè)備訪問(wèn)重要敏感應(yīng)用或數(shù)據(jù)時(shí)，零信任平臺(tái)強(qiáng)制要求用戶進(jìn)行二次認(rèn)證、應(yīng)用增強(qiáng)認(rèn)證，確保用戶身份的可靠性。

       零信任的試點(diǎn)應(yīng)用，提升了公司的網(wǎng)絡(luò)安全性，簡(jiǎn)化了運(yùn)維。但基于公司現(xiàn)狀及規(guī)劃，試點(diǎn)工作還需進(jìn)一步同廠商進(jìn)行下一步的工作落地和探索。在使用體驗(yàn)優(yōu)化方面，由于 SDP 架構(gòu)的數(shù)據(jù)轉(zhuǎn)發(fā)鏈更多，零信任與 VPN 使用流暢度上差異不大，在用戶使用體驗(yàn)方面需要進(jìn)一步優(yōu)化。零信任安全體系需要全面支持互聯(lián)網(wǎng)協(xié)議第 6 版（IPV6），依據(jù)相關(guān)政策要求，需要進(jìn)行 IPV6 業(yè)務(wù)改造，通過(guò)零信任對(duì)外發(fā)布的業(yè)務(wù)將優(yōu)先進(jìn)行改造。零信任安全體系需要支持內(nèi)部即時(shí)通訊，將零信任產(chǎn)品進(jìn)一步同公司現(xiàn)有辦公平臺(tái)進(jìn)行對(duì)接，實(shí)現(xiàn)身份、業(yè)務(wù)的統(tǒng)一管理，實(shí)現(xiàn)單點(diǎn)登錄。公司零信任安全體系建設(shè)的下一步工作，是將公司現(xiàn)有安全體系建設(shè)進(jìn)一步與零信任產(chǎn)品體系打通，實(shí)現(xiàn)數(shù)據(jù)互通，進(jìn)一步提高管理信息化中的安全可靠性。

　　三、結(jié)語(yǔ)

　　零信任安全架構(gòu)對(duì)傳統(tǒng)的邊界安全架構(gòu)模式重新進(jìn)行了評(píng)估和審視，并對(duì)安全架構(gòu)給出了新的建設(shè)思路。但零信任不是某一個(gè)產(chǎn)品，而是一種新的安全架構(gòu)理念，在具體實(shí)踐上，不是僅在企業(yè)網(wǎng)絡(luò)邊界上進(jìn)行訪問(wèn)控制，而是應(yīng)對(duì)企業(yè)的所有網(wǎng)絡(luò)邊緣、身份之間的所有訪問(wèn)請(qǐng)求進(jìn)行更細(xì)化的動(dòng)態(tài)訪問(wèn)控制，從而真正實(shí)現(xiàn)“從不信任，始終驗(yàn)證”。