【51CTO.com原創稿件】傳統的網絡安全架構把不同的網絡劃分為不同的區域，不同區域之間使用防火墻進行隔離。每個區域都被授予某種程度的信任，它決定了哪些網絡資源允許被訪問。這種安全建設思路提供了非常強大的縱深防御能力。

但是，隨著云計算、移動互聯網等技術的快速發展，企業數字化轉型進程的不斷推進，傳統的內外網邊界模糊，企業已經無法基于傳統的物理邊界進行安全建設。傳統的安全建設思路已經很難去適應企業的快速成長和業務的快速變化。例如在移動辦公場景下，員工、供應商、合作伙伴需要從全球各個位置安全地接入企業內網進行訪問。此外，應用的移動化、數據中心的云化也不斷地帶來更多的安全問題。面對日益復雜的安全威脅，企業需要構筑全新的網絡安全架構。在此背景下，零信任應運而生，成為網絡安全發展的必然趨勢。

先來說說，什么是零信任？

2010年，Forrester的分析師約翰.金德維格（John Kindervag）正式提出"零信任模型"。關于零信任，他提到了三個核心觀點：不再以一個清晰的邊界，來劃分信任或不信任的設備；不再有信任或不信任的網絡，不再有信任或不信任的用戶。

其研究報告指出，將網絡安全融入網絡建設，默認安全也是IT基礎設施的一部分，采用零信任網絡架構可實現：

1）分割--網絡細粒度分區，對網絡采取細粒度的區域劃分，來隔絕安全事件的蔓延和發生。

2）平行--構建多個平行的流量交換和監測點 Microcore and perimeter（MCAP），作為每個區域的流量交換、監測和安全防御點。

3）集中化--集中化地對網絡和安全進行管理 Segmentation gateway（SG）， 集合和防火墻、IPS、WAF、NAC、內容過濾網關……SG定義全局的策略和流量分配。

2011年到2017年，谷歌花了6年時間才遷移到BeyondCorp零信任環境。期間谷歌不得不重新定義和調整其職位角色及分類，建立起全新的主控庫存服務以跟蹤設備，并重新設計用戶身份驗證及訪問控制策略。此后，國內外廠商紛紛推出自己的零信任產品或架構，零信任逐漸流行起來。

零信任是實現精益信任的第一步

就網絡安全而言，零信任模式引入了一些新的思考角度，同時也解決了很多以前難以解決的問題。但是，在零信任的研究和落地過程中，仍有很多疑問沒有解決。核心疑問之一就是零信任理念中"從不信任 , 總是驗證"，信任是否總是為"零"？因為信任是業務訪問的基石，業務訪問又是業務開展的第一步，如果信任總是為"零"，那么業務訪問的需求如何進行？零信任如何與業務系統、已有安全建設兼容……對此，國際權威 IT 研究分析機構 Gartner 在研究報告《Zero Trust Is an Initial Step on the Roadmap to CARTA》指出 , "Zero trust isn't the goal,lean trust is.（零信任不是目標，精益信任才是。）"。換句話說，零信任是實現精益信任的第一步。精益信任以風險和信任為中心，重構網絡安全架構，通過信任的精益控制，實現風險的精益管理。

與零信任的"從不信任,總是驗證"理念不同，在精益信任中，強調"精確而足夠"的信任，主張信任的精益控制。業務以信任為基石，所有業務交互，都需要主客體間的信任。并且，信任與風險相伴相生，風險是信任的必然產物。網絡安全無法實現"零"風險，信任與風險的反饋控制是安全的實質。精準的控制需要基于多源信息，持續評估風險，然后根據風險水平和安全需求，精益地建立、調整信任。

深信服的精益信任

毫無疑問，投入對零信任技術體系的研究，建設以零信任模型為技術思想的新時代背景下的新型安全體系，是擁有戰略眼光的網絡安全企業自然應該早早謀定的大事。作為一家有遠見的安全廠商，深信服在國內先人一步推出了基于精益信任落地方案。

在2019深信服創新大會上，深信服正式發布了其精益信任安全解決方案。深信服精益信任在零信任的基礎上實現了增強，深信服認為，零信任解決了破碎的邊界問題，但是安全并不是由任意一個安全產品就能夠獨自解決的，安全一定是需要聯動和協作的。零信任需要和其他安全的設備進行聯動，形成互補的、統一的安全體系。

深信服精益信任解決方案基于信任和風險的閉環，以aTrust平臺為核心，整合了終端安全、邊界安全、態勢感知和外網已有的安全設備，進行統一聯動，形成自主調優、快速處置的統一安全體系，最終實現內外網"精確而足夠"的信任。

如上圖所示，在精益信任解決方案中，用戶的訪問請求和信任判斷將大致經歷如下過程：

1) 所有來自用戶端的訪問請求都需要先經過"控制中心"的信任評估模塊，從身份、設備、環境、行為4大維度進行信任評估，評估后授予相應的信任等級。

2) 開始業務訪問后，用戶的后續訪問也會通過態勢感知中心，實時地采集檢測流量，對用戶行為進行分析，通報動態威脅，隨后將流量、行為、資源風險結果反饋給"控制中心"。

3) 同時，在整個通信過程中，"終端檢測與響應"平臺會從操作系統、文件系統、應用程序、進程狀態等層面，持續評估終端環境，并將評估結果反饋給"控制中心"。

4) "控制中心"按照策略動態調整授權等級，最終，由"控制中心"統一進行風險計算、信任評估、動態授權和權限管理。

深信服指出，精益信任實現的關鍵點在于五大方面：全面身份化、多源信任評估、動態訪問控制、統一安全、可成長，從以上過程不難看出，深信服精益信任解決防范正是由這些關鍵點組成。

其中可成長性體現在，精益信任可根據企業的不同發展階段在功能上選擇性部署。同時在私有化、云化等多種部署場景下，與終端檢測響應、安全感知平臺等產品對接聯動，自適應的去匹配企業發展的各個場景和階段,從而為企業打造一個量身定制的統一安全體系。

立足用戶需求，打造精益信任方案

說了這么多關于深信服精益信任的事兒，也許此時有人會問了：深信服精益信任對用戶究竟有哪些價值呢？這些價值可以總結成三點，"融合易落地"，"更高效實現保護"，"統一自動化運維"。

首先，該方案能夠充分將用戶的改造成本控制在較低范圍。因為深信服精益信任的aTrust平臺可以將各類安全產品融合聯動，包括EDR、IAM、UEBA等系統，不需要采購新的安全設備，即可實現統一的安全，用戶可結合組織的安全現狀，在較低成本下，構建容易落地的精益信任方案。

其次，通過多源信息評估和訪問行為身份化手段，在每一次訪問行為中嵌入代表身份的標識，極大地收縮攻擊面，減小了企業用戶關鍵資源被入侵的概率。同時利用信任的動態控制，實現訪問安全保護和業務需求的動態平衡，為用戶提供更有效的、面向未來的安全保護。

最后，對于數據、計算資源集中，內外部大量用戶頻繁訪問的復雜場景，精益信任能夠結合業務需求實現高度融合的安全防護和便捷統一的自動化運維。

舉個例子，大型企業內部通常有很多業務系統和安全設備，若采取零信任安全架構，則需要對現有業務進行較大改造，現有安全設備對接起來也將存在各種問題。若采用深信服精益信任解決方案，優勢則相當明顯。因為深信服精益信任方案不僅能與已有業務資產的訪問權限和身份信息自動化對接，另外針對業務系統，也能建立統一身份認證和單點登錄策略，根據業務安全等級建立相應的信任等級評估和調整策略。而后，通過特有標簽庫機制，對接已有安全設備日志和實時流量，感知全局安全風險。最后，基于風險調整信任的等級，進行自動化處置。基于"融合易落地"，"全面身份化"，"統一自動化運維"的特點，深信服精益信任提供更全面更易用的安全價值。

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】