零信任應(yīng)該更便宜

　　作為一種新的網(wǎng)絡(luò)安全范式，零信任被全球熱捧的主要原因之一，就是可以更省錢。相較于傳統(tǒng)的基于攻防對抗的亡羊補(bǔ)牢式的網(wǎng)絡(luò)安全范式，零信任將工作重點(diǎn)轉(zhuǎn)向構(gòu)建起精細(xì)化的最小權(quán)限的網(wǎng)絡(luò)結(jié)構(gòu)。這樣做從成本角度看有兩個明顯的影響：

　?。ㄒ唬臒o限螺旋轉(zhuǎn)為有限收斂

　　基于攻防的網(wǎng)絡(luò)安全，就像是永無止境的貓鼠游戲，Tom總在嘗試抓住Jerry，Jerry永遠(yuǎn)有新的逃逸手段，在Tom和Jerry無休止的追逐博弈中，主人的家被搞得支離破碎。這種無休止的追與逃的過程，漸漸的已經(jīng)把用戶壓得喘不過氣來，他們?nèi)找鎱捑肽酥列纳鷳嵟?，這就是美國為啥要搞零信任的原因。零信任的指導(dǎo)原則就是“以不變應(yīng)萬變”。安全管理者，不再花心思研究攻擊者又出啥幺蛾子了，他拒絕成為攻擊者的舞伴。相反，他反過來仔細(xì)地研究自己的業(yè)務(wù)需求，以及內(nèi)部用戶的身份以及行為特征。在了解了這一切之后，他要做到的就是，只有他充分理解，有基于數(shù)學(xué)計算的信任水平的訪問才允許發(fā)生，否則就絕不可以。在這場新的戰(zhàn)役中，管理者首次掌握了戰(zhàn)場主動權(quán)，而且他還得到了來自業(yè)務(wù)團(tuán)隊與內(nèi)部用戶的友軍支援。雖然，研究和管理內(nèi)部業(yè)務(wù)也是個需要成本的過程，但是理論上這個過程是有盡頭的，從局部到整體，從個人到部門，從一個業(yè)務(wù)到全部業(yè)務(wù)，終究是在有限集合里面的可收斂行為，無限開口的預(yù)算轉(zhuǎn)化為有限的投入，這是一次質(zhì)的飛躍，正如美國聯(lián)邦首席信息官所言：“零信任是隧道盡頭的曙光”。

　　（二）從攻擊對抗轉(zhuǎn)向攻擊抑制

　　正如古代的武俠小說一樣，傳統(tǒng)的網(wǎng)絡(luò)安全行業(yè)往往津津樂道于攻擊過程中的高強(qiáng)度對抗，刀光劍影你來我往，浪漫而低效。而事實(shí)上，早在春秋時期，兵圣孫武就提出：“不戰(zhàn)而屈人之兵”、“善戰(zhàn)者無赫赫之功”的戰(zhàn)略指導(dǎo)原則。當(dāng)戰(zhàn)斗已經(jīng)打響，那么無論作戰(zhàn)過程是多么的精彩，其總體成本都是極其高昂的，其總體效果只能是傷敵一千自損八百。

　　相較而言，零信任體現(xiàn)了更為先進(jìn)的戰(zhàn)略理念，它以極強(qiáng)大的體系性戰(zhàn)略優(yōu)勢，在最大的可能上抑制了攻擊的發(fā)生。零信任首先要做的就是“隱藏”。所謂最小權(quán)限訪問，所謂暴露面管理，目的都是隱藏。讓業(yè)務(wù)與數(shù)據(jù)只被盡量少的用戶看到，甚至就連用戶在使用過程中也并沒有真正“看到”，連“看”都看不到，還怎么攻擊呢。傳統(tǒng)的網(wǎng)絡(luò)安全體系，在網(wǎng)絡(luò)層面上放的極寬，這使得攻擊者很容易看到攻擊目標(biāo)并展開攻擊，勝負(fù)完全取決于擋（只是對抗，但無法隱藏）在攻擊目標(biāo)前面的安全設(shè)備的能力。而零信任網(wǎng)絡(luò)本身成為了無法被看穿、無法被穿透的異次元空間，這使得攻擊完全無法發(fā)生，正如孫子兵法所言：“善守者，藏于九地之下”。

　　如果隱藏的努力失敗了，零信任下面的努力在于快速發(fā)現(xiàn)與精細(xì)化隔離。零信任發(fā)現(xiàn)攻擊的思路與傳統(tǒng)的攻防對抗也完全不一樣，攻防對抗研究的是攻擊本身，那是個永遠(yuǎn)在變化的對象，因此研究也永無止境，成本永遠(yuǎn)在支出。而零信任研究的是業(yè)務(wù)體自身，通過比對攻擊與業(yè)務(wù)的區(qū)別來發(fā)現(xiàn)攻擊。首先業(yè)務(wù)本身是穩(wěn)定的，獲取其特征的成本在攻防兩端極度不對稱，防御者對它的獲取是一個完全可以自動化無成本執(zhí)行的過程（DEVSECOPS負(fù)責(zé)搞這一塊）。其次，業(yè)務(wù)的復(fù)雜性一點(diǎn)也不比攻擊的復(fù)雜性低，這個復(fù)雜性反過來成為攻擊者必須要去對抗的東西，一下子成本優(yōu)勢就來到了防御者一方，所以基于業(yè)務(wù)特征的對抗要遠(yuǎn)比基于攻擊特征的對抗便宜得多。而一旦發(fā)現(xiàn)了攻擊的存在，零信任的處置手段是非常精細(xì)化的，因?yàn)榱阈湃伪緛砭鸵笥凶钚×６鹊臄?shù)據(jù)獲取與控制能力，因此在處置的時候就能做到“微創(chuàng)”、“無痛”，避免在對網(wǎng)絡(luò)攻擊進(jìn)行“動態(tài)清零”的過程中形成“次生危害”。

　　綜上，零信任的工作邏輯從攻擊對抗轉(zhuǎn)向攻擊抑制，進(jìn)一步極大地降低了網(wǎng)絡(luò)安全的總體成本。

　　零信任成本構(gòu)成分析

　　零信任可以極大降低網(wǎng)絡(luò)安全總體成本，但是零信任自身也是需要成本的。對于零信任理念的探討，在國內(nèi)外已經(jīng)比較充分了，但是對于零信任自身成本的探討，還非常少見。這一方面是因?yàn)榱阈湃蔚某晒?shí)踐還較少，給不出太多的數(shù)據(jù)，另一方面也是因?yàn)閺S商對這塊視為機(jī)密，一直采取三緘其口諱莫如深的態(tài)度，甚至還在有意無意地塑造“零信任就應(yīng)該花許多錢”的刻板印象，從而達(dá)成其獲利目的。在這方面，薔薇靈動的看法與眾不同，我們認(rèn)為只有讓廣大用戶明白無誤地了解零信任的成本構(gòu)成，準(zhǔn)確地了解零信任投入產(chǎn)出的性價比，才有可能真正放大國內(nèi)的零信任市場，加快網(wǎng)絡(luò)安全行業(yè)的零信任轉(zhuǎn)型。因此我們很愿意和大家一起分析下零信任的成本構(gòu)成。

　　零信任項目的目標(biāo)，是實(shí)現(xiàn)對核心業(yè)務(wù)與數(shù)據(jù)的保護(hù)，要求對每一個能訪問到業(yè)務(wù)和數(shù)據(jù)的流量都做基于身份的訪問控制，一般來說，需要IAM+SDP+微隔離這三大塊。

　?。ㄒ唬㊣AM

　　IAM在零信任里作為概念，定位比較清楚，但是作為項目中的產(chǎn)品，就可大可小了，可以展開如下：

　　1.1   身份管理系統(tǒng)（必須，不一定花錢）

　　負(fù)責(zé)身份的全生命周期管理，這塊可以由用戶系統(tǒng)內(nèi)現(xiàn)存的身份體系來擔(dān)任（比如AD）。一般來說，企業(yè)要經(jīng)營，最基本的IT需求就是身份服務(wù)，所以，身份服務(wù)系統(tǒng)的存在是普遍的，當(dāng)然傳統(tǒng)的身份服務(wù)系統(tǒng)能力不那么全，但畢竟可用。

　　1.2   身份安全系統(tǒng)（必須，不一定花錢）

　　這個是零信任的基石，傳統(tǒng)身份服務(wù)系統(tǒng)的身份管理能力較強(qiáng)，但身份安全能力較弱，最好有個獨(dú)立的身份安全系統(tǒng)，去識別校驗(yàn)身份的可靠性。行業(yè)客戶一般會自己采購和建設(shè)這套東西，中小企業(yè)有很多免費(fèi)工具可用，比如企業(yè)微信和釘釘。

　　● 1.2.1 身份系統(tǒng)對接與遷移（不必須，得花錢）

　　如果你是重新建立了一套新的身份服務(wù)+身份安全系統(tǒng)，一般來說，意味著你需要把過去的身份體系遷移上來，或者讓新系統(tǒng)和老系統(tǒng)之間做個對接，這個過程取決于你的用戶規(guī)模以及對接或遷移方案，但無論如何，這部分成本還是比較可觀的，用時也較長，不應(yīng)該被忽視。

　　1.3   基于身份的授權(quán)管理（必須，不一定花錢）

　　零信任就是面向身份的最小授權(quán)。一般來說，在建設(shè)零信任系統(tǒng)之前，企業(yè)內(nèi)部沒有這套東西，而這套東西是零信任的核心，所以這個肯定得弄。這套系統(tǒng)可能在IAM體系里，也可能在SDP或者微隔離體系里，但不管物理上存在在哪里，邏輯上得有這個東西。如果你除了微隔離和SDP所需資源權(quán)限之外還希望能管理其他權(quán)限，你當(dāng)然需要獨(dú)立買一套授權(quán)管理系統(tǒng)，但如果你就是給SDP和微隔離用的話，建議就別單獨(dú)買了，SDP或者微隔離系統(tǒng)一般都帶這套東西。

　　1.4   單點(diǎn)登錄（SSO）系統(tǒng)（不必須，得花錢）

　　SSO有兩個作用，一個是提升用戶工作效率，另一個是提升老業(yè)務(wù)的整體身份安全水平。作用一挺有價值，但不是零信任的必須，作用二也挺有價值，但是與SDP沖突。所以，整體看，SSO這個功能在零信任項目里可有可無。

　　● 1.4.1 業(yè)務(wù)系統(tǒng)身份驗(yàn)證模塊對接（不必須，得花錢）

　　如果選擇了SSO，就有一個工作必須得做，那就是讓SSO系統(tǒng)與每一個需要被支持的系統(tǒng)進(jìn)行對接。這塊取決于你現(xiàn)有的業(yè)務(wù)規(guī)模，以及其標(biāo)準(zhǔn)化程度，當(dāng)然也取決于你選取的SSO系統(tǒng)的兼容性水平。

　　差不多在IAM這塊，零信任需要的預(yù)算就是這些?？偟目?，可以是很多錢，也可以不花錢。

　　（二）SDP

　　按Gartner的理解，IAM只是前提條件，本身不是零信任的一部分。真正的零信任就兩個東西，一個ZTNA（也就是SDP），一個微隔離。SDP主要解決南北向流量問題，微隔離解決東西向流量問題，兩個東西在一起就把全部流量都搞完了。

　　2.1   策略管理引擎（必須，得花錢）

　　零信任是軟件定義的結(jié)構(gòu)，其中策略定義點(diǎn)（PDP）是核心，所以這個引擎就是SDP最重要，也最值錢的部分，當(dāng)然得買了。

　　2.2   身份安全系統(tǒng)（不必須，得花錢）

　　一般來說，SDP應(yīng)該和IAM聯(lián)動，這比較符合零信任得理念，但是確實(shí)國內(nèi)很多用戶還沒有IAM系統(tǒng)，所以，國內(nèi)的一些SDP系統(tǒng)也可以自建身份安全系統(tǒng)，這個要看用戶了。我們的建議是最好還是獨(dú)立建設(shè)IAM，然后別忘了讓SDP供應(yīng)商在報價時把這部分系統(tǒng)的能力刨除下去。

　　2.3   終端（必須，得花錢）

　　SDP有兩類，一類是基于客戶端的，這花錢好理解，但還有一類是基于瀏覽器隔離技術(shù)的，原則上不需要客戶端，但是在購買的時候還是要基于用戶接入數(shù)量支付費(fèi)用。

　　● 2.3.1 終端安全系統(tǒng)（不必須，得花錢）

　　國外的SDP一般在終端安全上采用聯(lián)動方案，但國內(nèi)的SDP很多都有較重的終端安全能力。這塊咋說呢，也不是說就一定好或者不好。要看用戶現(xiàn)在有沒有終端安全，也要看SDP自帶的終端安全能力如何，以及計算開銷怎樣。終端License是SDP采購成本中的大頭，而一般用戶都有一定的終端安全能力（免費(fèi)的或付費(fèi)的），所以如果不必要的話，把終端安全能力砍掉，只保留基本的網(wǎng)絡(luò)能力和身份能力，既降低終端資源開銷又省錢。

　　2.4   網(wǎng)關(guān)（必須，得花錢）

　　這個沒啥說的，要做服務(wù)隱藏，要做加密通信這些都需要一個網(wǎng)關(guān)的存在，而且網(wǎng)關(guān)的能力（比如吞吐、穩(wěn)定性啥的）是SDP系統(tǒng)的核心能力。要說省錢吧，建議最好用虛擬化網(wǎng)關(guān)，因?yàn)橛布懔ζ鋵?shí)很便宜了，網(wǎng)關(guān)虛擬化后，不但不用多付硬件的錢，而且部署和管理都更加的方便，將來進(jìn)行資源升級也很方便（硬件就得重新買了）。

　　2.5   與業(yè)務(wù)系統(tǒng)對接（必須，得花錢）

　　SDP要保護(hù)現(xiàn)有業(yè)務(wù)，必須和業(yè)務(wù)系統(tǒng)做對接，但復(fù)雜度不一樣。一般來說，對接分為兩塊，一塊是業(yè)務(wù)對接，一塊是技術(shù)對接。業(yè)務(wù)對接指的是讓SDP理解業(yè)務(wù)的訪問需求，并基于訪問需求設(shè)計最小權(quán)限策略（這部分是不可免的）。而技術(shù)對接的成本，要看SDP的具體技術(shù)，多數(shù)SDP產(chǎn)品采用的是七層代理，這就要求和業(yè)務(wù)做HTTP協(xié)議對接，除了SDP產(chǎn)品要做定制開發(fā)，原有的業(yè)務(wù)往往也得做出改動，這個成本較高。而還有的SDP技術(shù)采用的是四層隧道技術(shù)，這就不需要做任何的業(yè)務(wù)對接了。

　　跟SDP有關(guān)的指出就這些，這塊無論如何要花些錢，畢竟這是零信任的核心部分，但根據(jù)方案的不同，成本相差可以很大。

　　（三）微隔離

　　3.1   引擎（必須，得花錢）

　　和SDP一樣，策略定義引擎也是微隔離產(chǎn)品的核心，因此需要花錢。和SDP不一樣的地方是，微隔離引擎的復(fù)雜度要高得多，根據(jù)管理規(guī)模不同，往往要求更大規(guī)格的策略管理引擎。這塊要注意這個引擎的可擴(kuò)展性（最多能管多少服務(wù)器，是否滿足你的需求）。如果擴(kuò)展性不強(qiáng)，將來就有可能還得重買，這部分錢就白花了。

　　3.2   終端（必須，得花錢）

　　微隔離的控制點(diǎn)在端上，因此這部分也是微隔離體系中不可或缺的部分。

　　● 3.2.1 終端安全（不必須，得花錢）

　　從國內(nèi)外的實(shí)踐看，服務(wù)器端終端安全和微隔離基本沒有什么聯(lián)系，沒有任何供應(yīng)商，敢基于服務(wù)器端終端安全產(chǎn)生的有很高誤報率的安全事件進(jìn)行阻斷。另外，服務(wù)器端終端安全往往有較大系統(tǒng)開銷，在真正的關(guān)鍵業(yè)務(wù)生產(chǎn)網(wǎng)上部署很少，即使偶有部署的案例，后期往往由于各種問題被卸載掉。

　　3.3   業(yè)務(wù)系統(tǒng)對接（必須，得花錢）

　　微隔離部署完成后，需要對業(yè)務(wù)系統(tǒng)的東西向流量進(jìn)行分析，并根據(jù)業(yè)務(wù)構(gòu)成配置微隔離策略，這部分是不可少的。區(qū)別在于，有經(jīng)驗(yàn)的廠商會讓這個過程比較順暢，從而降低實(shí)施成本。

　　以上，就是我們對零信任項目全部成本構(gòu)成的分析，可以看出來，零信任的內(nèi)核部分其實(shí)并不大，但可選的技術(shù)模塊較多，根據(jù)用戶的具體選擇，成本可能有很大的不同。

　　統(tǒng)一微隔離的成本分析

　　統(tǒng)一微隔離是薔薇靈動在ZTNA技術(shù)和微隔離技術(shù)的基礎(chǔ)上研發(fā)的新一代零信任產(chǎn)品，可以通過一個產(chǎn)品解決用戶的全部業(yè)務(wù)訪問的零信任安全問題。在具體實(shí)施統(tǒng)一微隔離項目的過程中，根據(jù)用戶的不同技術(shù)選擇，統(tǒng)一微隔離項目的成本也會有一定的變化，但是，本文的標(biāo)題是“用統(tǒng)一微隔離做零信任可以多便宜”，因此我們將在這個部分給出一個投入最少但功能完整的解決方案。

　?。ㄒ唬┍尘?/p>

　　薔薇靈動自己也是家中小企業(yè)，因此我們對零信任當(dāng)然也是有需求的。而作為一家網(wǎng)絡(luò)安全公司，我們在認(rèn)知上對于很多安全上過于激（kua）進(jìn)（zhang）的價值主張一直抱有較深的懷疑態(tài)度。因此薔薇靈動在規(guī)劃統(tǒng)一微隔離的時候，從自身實(shí)際需求、企業(yè)資源限制、以及目前國內(nèi)外最佳實(shí)踐的多維角度出發(fā)，設(shè)計出了一套與眾不同，簡約而不簡單的產(chǎn)品架構(gòu)。本文要給出的就是我們自己的網(wǎng)絡(luò)安全實(shí)踐。

　　（二）從無限螺旋轉(zhuǎn)為有限收斂

　　2.1   IAM

　　我們用的是釘釘，其實(shí)企業(yè)微信和飛書也可以，他們都內(nèi)建了組織架構(gòu)系統(tǒng)，而且都有極強(qiáng)的身份驗(yàn)證能力，最關(guān)鍵的是，他們都是免費(fèi)的。

　　2.2   統(tǒng)一微隔離引擎

　　薔薇靈動的統(tǒng)一微隔離兼具ZTNA和微隔離能力，一套引擎干兩套引擎的活，少用一套引擎不說，管理、維護(hù)以及算力開銷都低了不少。

　　2.3   終端

　　統(tǒng)一微隔離把用戶終端和數(shù)據(jù)中心終端放在一起來管理，加起來部署了幾百個點(diǎn)吧。

　　2.4   終端安全

　　服務(wù)器端沒有終端安全，用戶側(cè)主要依靠免費(fèi)安全軟件。

　　2.5   網(wǎng)關(guān)

　　用兩臺4核8G虛擬機(jī)搭建起一對HA統(tǒng)一微隔離網(wǎng)關(guān)。統(tǒng)一微隔離網(wǎng)關(guān)為四層架構(gòu)，因此不需要做業(yè)務(wù)適配，可以對現(xiàn)存業(yè)務(wù)做完整的防護(hù)。

　　2.6   云端無網(wǎng)關(guān)

　　這里再介紹一個薔薇靈動的獨(dú)門絕技。一般來說SDP都是必須要有網(wǎng)關(guān)的，雖說薔薇的網(wǎng)關(guān)是虛擬化的，花在算力上的錢比軟硬一體產(chǎn)品少多了，但是這畢竟也是錢呀，尤其是考慮到公有云場景，哪怕是建立一個2核4G的小鏡像，一年也得大幾百的成本。不過，大家別忘了，薔薇靈動是干微隔離出身，我們擁有點(diǎn)到點(diǎn)直接訪問控制的能力，因此我們在云端就沒有部署網(wǎng)關(guān)，而是通過工作負(fù)載上的終端直接進(jìn)行訪問控制，這又省了一筆錢。

　　（三）效果

　　3.1   所有業(yè)務(wù)完成身份安全升級

　　過去薔薇很多自建業(yè)務(wù)（比如wiki、代碼服務(wù)器、文件服務(wù)器等）甚至都沒有身份安全的設(shè)計，有也只是簡單的用戶名密碼系統(tǒng)?，F(xiàn)在，所有業(yè)務(wù)的訪問都必須經(jīng)過釘釘系統(tǒng)的身份認(rèn)證，相當(dāng)于一分錢沒花，讓這些系統(tǒng)的身份安全都達(dá)到了一個業(yè)界非常主流的水平上。

　　3.2   所有業(yè)務(wù)系統(tǒng)基于身份做零信任訪控

　　過去薔薇的業(yè)務(wù)系統(tǒng)的訪問控制也是基于IP來做的，服務(wù)器有一個固定網(wǎng)段，辦公網(wǎng)有一個大的網(wǎng)段，通過開源防火墻實(shí)現(xiàn)從辦公網(wǎng)段到服務(wù)器網(wǎng)段的訪問控制?，F(xiàn)在，已經(jīng)全部實(shí)現(xiàn)基于用戶身份（角色）到域名的細(xì)粒度訪問控制。

　　3.3   域名改造與IP地址隱藏

　　過去，對服務(wù)器的訪問時直接面向IP的?，F(xiàn)在，利用統(tǒng)一微隔離的FAKEDNS能力，實(shí)現(xiàn)了域名化改造。不但如此，F(xiàn)AKEDNS還會對服務(wù)器IP地址進(jìn)行偽造和隱藏，用戶通過DNS解析得到的是個虛擬IP地址，真實(shí)地址不再可見。而且通過服務(wù)器上部署的微隔離終端與微隔離網(wǎng)關(guān)之間的策略協(xié)同，使得一切嘗試?yán)@過網(wǎng)關(guān)的訪問都無法成功，徹底鎖死了業(yè)務(wù)的訪問路徑。

　　3.4   云端統(tǒng)一防護(hù)

　　薔薇的網(wǎng)站是部署在云端的，從接入的體驗(yàn)來說，以及對DDOS攻擊的防御水平而言，公有云顯然更有優(yōu)勢，另外，把對公眾的業(yè)務(wù)放在本地其實(shí)相當(dāng)于開了一個本地業(yè)務(wù)對互聯(lián)網(wǎng)的大口子，也不是個安全的做法。但是，因?yàn)樵贫司瓦@么一臺虛擬機(jī)，要是為了這一臺虛擬機(jī)再買一臺虛擬機(jī)做微隔離網(wǎng)關(guān)就顯得太浪費(fèi)了。于是我們采用了基于端點(diǎn)的防御能力，把從公司員工到網(wǎng)站的運(yùn)維管理流量給管理了起來，網(wǎng)站只留一個對公網(wǎng)的443端口。

　　3.5   遠(yuǎn)程安全接入

　　薔薇的團(tuán)隊，主要分布在北京、上海、深圳和武漢。疫情期間，各團(tuán)隊被反復(fù)隔離在家。但是由于部署了統(tǒng)一微隔離系統(tǒng)，使得員工在家辦公和在辦公室辦公基本沒有任何區(qū)別。不但對于全部內(nèi)部業(yè)務(wù)（包括各種測試、運(yùn)維、遠(yuǎn)程桌面等）都能正常使用，而且由于采用了終端分流的技術(shù)，使得只有企業(yè)業(yè)務(wù)被引流回公司數(shù)據(jù)中心，而其它業(yè)務(wù)還走原來的網(wǎng)絡(luò)路徑，使得企業(yè)網(wǎng)的壓力也沒有太過劇烈的上升，挺住了疫情期間遠(yuǎn)程訪問集中爆發(fā)的網(wǎng)絡(luò)壓力。

　　而實(shí)現(xiàn)這一切，我們沒花一分錢（因?yàn)榻y(tǒng)一微隔離是我們做的）。我們想，如果我們的用戶也采用我們的方案（雖然不完美，但真的很夠用了），那么除了統(tǒng)一微隔離，他也不用花任何額外的一分錢。有人說，你們這個就叫丐版零信任吧。我們說，這咋能叫丐版零信任呢，應(yīng)該叫普惠零信任！

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<