業界對零信任理念的了解，大多最早來自谷歌的BeyondCorp項目和Forrester提出的零信任模型。雖然兩者關注的側重點不同，但“不再對網絡和流量信任”和“貫徹最小權限原則”兩個核心一致且被業界廣泛接受。

[[322073]]

谷歌的BeyondCorp項目背景：隨著云技術越來越普及，大量員工在外網辦公，大量手機、PAD等新設備出現，外協、臨時員工的加入，使得邊界變得沒有意義。谷歌認為傳統防火墻的保護效果變得不明顯，不如破除內外網實行統一，將所有應用部署在公網上，用戶不再需要通過VPN連接到內網，而是通過與設備為中心的認證、授權工作流，實現員工任何地點對資源的訪問。

隨著業務電子化，在移動互聯網復雜多變的環境下，企業需要面臨來自內外部的風險，疫情期間，企業紛紛開啟移動辦公模式，便捷處理帶來便利的同時，也面臨著移動端數據泄露、賬號密碼泄露、特權賬號共享、內部員工違規操作、設備風險等眾多問題;同時，企業對外業務還要面臨資深黑產、薅羊毛、基礎設施、金融欺詐、信貸欺詐等外部安全威脅，可謂“腹背受敵”，安全防護模式亟待改變。

安全牛近期就“零信任”這一話題，采訪到了專注以“人”為業務安全切入點的零信任安全企業芯盾時代的聯合創始人兼CTO-孫悅。此文將結合具體實踐案例，探討企業實施零信任架構應對異構網絡的業務安全需求之前，需要關注的六個關鍵問題：

零信任安全理念的起源和主要應用范圍?

零信任概念是由網絡去邊界化發展改進而來。之前網絡的建設理念中，將網絡分為內網和外網，網絡攻擊來自于企業外部是業界的共識，默認做好邊界防護就安全了。企業安全部門通過防火墻、IDS/IPS、VPN、行為審計等技術手段和產品，保證員工的正常訪問和合法的操作，能夠識別和攔截惡意或非授權訪問。

云的廣泛應用和移動互聯網技術的發展，帶來日趨開放和復雜的網絡邊界，快速變化的人員架構，靈活的移動辦公，內網邊界也日趨復雜與模糊，讓基于邊界的安全防護逐漸失效，來自企業外部的欺詐和內部的信息泄露造成的損失逐年劇增。這些都在倒逼企業和安全服務提供商，尋找和嘗試新的安全防護體系，以求在不降低辦公效率前提下有效應對新型挑戰。

逐利的本質使得攻擊往往發生在有價值的利益點上，也就是企業的業務系統中。入侵者不再僅僅依靠0day漏洞入侵網絡，更多是通過弱密碼、臨時員工賬號等方式入侵網絡。目前看來，業務發展、數據應用和安全訪問的矛盾主要發生在金融、政府機構、電信、教育、互聯網企業等行業，無論是哪個行業的企業，都會面臨信息泄露和欺詐等新型威脅。在復雜的異構網絡基礎下，只有為企業用戶解決業務安全問題，才能助推業務快速發展。

零信任安全“不以邊界作為信任條件”符合當下異構網絡和業務的發展需求的，尤其是對會帶來巨額損失的業務系統的防護有著重要價值，是業務安全的防護的基礎理念。零信任安全架構對業務的防護，主要通過對來自企業內外部的所有訪問進行信任評估和動態訪問控制，對所有訪問企業資源的請求，進行認證、授權和加密，其中認證包括對用戶和使用設備的全面驗證，且對每一次訪問請求進行不限于終端環境、用戶操作風險、網絡風險、外部威脅等因素的實時風險評估，根據評估結果進行動態訪問控制。

何為異構網絡?與零信任的關系?

異構網絡是業務增長自然發展而來，網絡的開放、技術的發展、業務線上化趨勢及承載設備類型增加等方面，都使得異構網絡的程度在加深，這是較為明確的未來發展方向。

當下企業的業務處于異構網絡中，在進行安全防護體系建設時，需要考慮到各種異構元素，主要有：異構的終端設備——接入業務的不同終端系統的設備，如手機、PC、服務器、瀏覽器等;異構的網絡環境——可通過3G、4G、5G等移動網絡或固定網絡接入;異構的安全場景——以漏洞挖掘、攻防、邊界為核心的網絡安全需求和以識別并處置惡意用戶、惡意操作為主的業務安全需求;異構的法規標準——安全體系需要滿足不同的國家標準、行業標準和行業規范;還有異構的使用人群也是重要要素，包括固定辦公、移動辦公長期員工，外協單位、安保人員等短期員工，供應商、運維人員等合作單位及實習、離職員工等。

零信任安全的理念，以保護企業資源安全為目標，通過建立以人的身份為中心，人、設備、行為為子集的新安全架構，從設備風險、真實身份、數字身份、歷史信譽和當前行為五個維度展開，解決當今企業IT環境下的風險問題。“人”對應組織架構復雜、人員組成多樣化的特點，人具有其真實身份和數字身份的對應，這是人員異構的問題;手機、物聯網設備帶來終端設備快速更迭，人與設備的綁定關系越來越弱，設備對應網絡環境越來越開放、設備越來越多樣化的特點，這是設備終端異構和網絡異構;行為對應歷史信譽和當前行為，賬號攻擊、漏洞攻擊等網絡攻擊方式都可以從行為上發現端倪，對訪問行為的主動干預勢在必行，即對應異構的安全場景。

零信任安全架構為異構網絡下的業務安全需求提供了方法論的支持，是零信任的核心能力所在。零信任安全架構是符合當下業務安全需求和發展前景的，其核心目的主要是通過對于身份的驗證和持續驗證，發現并解決業務風險。

如何建設合理的零信任網絡架構?

零信任安全架構具有五個基本假設：

• 網絡一直處于危險的環境中，網絡中自始至終存在外部或內部威脅;
• 網絡的位置不足以決定網絡的可信程度，默認情況下不應該信任網絡內部或外部的任何人/設備/系統;
• 基于認證和授權重構業務訪問控制的信任基礎;
• 所有的設備、用戶和網絡流量都應當被認證、授權和加密;
• 安全策略必須是動態的，并基于設備和用戶的多源環境數據和訪問行為數據計算而來。

零信任引導安全體系架構由“網絡中心化”走向“身份中心化”，其本質訴求是以“人”為中心進行訪問控制，在不可信的網絡環境中，以身份為核心，基于認證和授權的訪問控制管理重構可信的、安全的網絡框架，滿足異構網絡的安全需求，解決因網絡環境開放，用戶角色復雜引發的各種身份安全風險、設備安全風險和行為安全風險。

我們認為零信任安全架構主要由四個組件組成，包括：設備端安全管理組件(驗證設備)、用戶的統一身份管理(驗證用戶)、動態訪問控制網關(動態授予最小化權限)、智能安全大腦(持續自適應風險和信任評估)，四個功能組件各有分工又互相聯動，達到為企業業務安全服務。

網絡架構微分層

如果將用戶“訪問網絡-登錄應用-使用及操作-退出應用”的過程，可以將網絡架構由下到上分為網絡通訊、設備認證、身份認證和行為管控四個微層次。每個微層次有其不同的作用：

• 網絡通訊層：解決網絡連通問題，以及網絡層安全。
• 設備認證層：解決設備層安全威脅，包括移動設備、PC機、服務器、物聯網設備等，分為識別和控制兩個層面。
• 身份認證層：解決用戶身份識別問題，通過對用戶進行所知、所持、所有的信息進行持續、自適應認證的方式確定用戶身份。
• 行為管控層：解決威脅發現與應急處置問題，通過人工智能技術動態發現用戶行為中的安全風險，并進行主動干預。

從建設零信任網絡的角度來看，可以參考這四個微分層，在完成基礎網絡體系后，根據自身特點和業務情況逐步有序的進行建設。另外，很多企業在考慮是否上零信任時，大多會擔心員工和外部用戶的正常訪問體驗，其實隨著控制節點的增加，對惡意用戶而言是愈加嚴厲的認證策略，正常用戶則趨向無感知。

零信任安全架構最突出的一個特點是?

如果只能有一個突出特定，我想將它留給“動態”。

零信任安全是風險和信任之間的平衡狀態，對于不同的風險級別，授予不同信任程度，分配不同的權限。在零信任架構中，沒有絕對的可信或不可信。密碼認證錯誤可能是輸入錯誤，通過驗證的多賬號登錄可能存在高危風險，異地登錄、換設備登錄，單獨每一項都沒有辦法唯一確定信任與風險，風險和信任是互相糾纏的。

零信任還有一個不得不提的特定是最小授權，以OA具體應用為例，我們可以針對不同的功能設定風險等級，如查詢個人郵件、回復郵件、群發郵件、查詢工資、查詢組織架構等，每次訪問都會實時評估風險與權限的匹配。

另外，零信任建設過程中，需要與大量的應用系統進行數據對接，如操作系統、應用系統、安全產品、網關設備、終端設備等，這些數據可以做實時風險分析，也可以用于梳理用戶畫像，發現如監守自盜、數據泄露等潛在的安全風險。

零信任安全架構對于當下的新基建范圍是否適用?

新基建指以5G、人工智能、工業互聯網、物聯網為代表的新型基礎設施，本質上是信息數字化的基礎設施。新基建的實施必然加深移動辦公等業務體系建設，新業務體系建設規范需符合網絡安全法/密碼法/等級保護等相關法律法規的要求。

新階段以“身份治理”為核心的系統建設將快速開展，身份治理以互信、移動認證、2FA、UEBA接口為核心功能，這些均是零信任安全架構中建設的重點。新基建推動網絡建設方向與零信任解決問題的范疇一致，可以說零信任安全架構不僅可以兼容移動互聯網、物聯網、5G等新興應用場景，也可兼容等級保護2.0、國密改造、自主可控、可信計算等標準，是可預見未來的業務安全防護最佳方式。

能否結合實際案例的闡述來驗證零信任理念的落地實踐?

目前零信任解決方案在某股份制銀行得到較大范圍的推廣，其內部數萬人協調分工合作，全國范圍分支網點，每一個崗位或多或少都能接觸到行內的敏感數據。這背后的風險主要為數據/憑證泄露、員工違規操作、身份以及設備的異常等帶來的風險和經濟損失。以零信任架構的業務安全方案，可以結合身份鑒別、設備歸屬和行為判斷，幫助客戶完善對員工的管理，從而防止風險向威脅的轉變，以及后續帶來的經濟和聲譽損失。

• 在身份認證層面，以多因素認證能力，以多種認證手段結合的形式，利用短信、動態碼、手勢和基于生物特征的指紋、人臉、聲紋等15種手段，進行真實身份和數字身份匹配關系的判斷。
• 設備認證層面，則通過設備指紋來確保設備的唯一性，結合沙箱、白盒密鑰、密鑰拆分等能力的終端安全防護控件，作為獨立系統的進程，對 app 以及終端環境以可視化的形式進行實時監測，也為終端安全存儲密鑰等敏感數據提供了基礎保障。
• 行為管控層面，銀行需求可大致分為移動端行為管控和業務操作行為管控兩類，移動端行為特征包括用戶的行走速度、擺動幅度、使用角度、按壓力度等;業務操作的行為特征包括點擊順序、頁面停留時間、日均下載次數、日均瀏覽次數等。通過異常行為判斷是否為本人操作，并基于既定合規、安全管理以及風控規則進行違規操作判斷。

此外，為了在不改造、不遷移現有業務系統的基礎上實現持續且自適應的風險與信任平衡，該銀行在業務系統前端部署了符合等級保護要求的業務網關集群，從身份、設備、行為三個方面進行持續評估，同時通過該集群進行訪問控制，以最小權限為基礎，對提權操作或可疑身份/行為要求多次認證，對高風險用戶以及確定的違規行為進行降權或者阻斷，并后臺告警。

在面對手機銀行等業務風控(交易、信貸等欺詐行為)需求，基于終端環境、威脅情報、用戶行為等數據，利用機器學習(囊括多種主流機器學習算法模塊以及六類機器學習模型)進行畫像(人工智能反欺詐IPA方案)實現持續的業務操作風險評估所提供的反欺詐能力也極為重要。

安全牛評

今天，零信任受到企業和廠商的格外關注，究其根源是因為“傳統安全投資失效”，企業每年增加安全預算和投入，但是安全威脅、攻擊損失和業務風險依然在持續增長。面對碎片化異構環境中數據安全風險不斷累積，以及新冠疫情對企業IT和數字化轉型帶來的深遠影響，一次重大的網絡安全變革——零信任，已經迫在眉睫。這一次，企業用戶比廠商更為心急。而零信任作為業界目前公認的最佳網絡安全方法和架構之一，可以幫助企業實現更細粒度更高效的安全訪問控制，更好地保護數據安全和業務安全，向前向后與傳統網絡安全投資都有不錯的兼容性和擴展性。

但是對于大多數企業來說，零信任架構的“落地“時機和方法依然存在諸多疑慮和爭議，與敏捷開發類似，零信任也是“條條大道通羅馬”，有多種框架和實現路徑，對于不同行業、規模和需求的企業來說，如何理解零信任概念方法，如何選擇適合自己的零信任道路，如何提高安全技術和投資的有效性，這正是眼下網絡安全和企業用戶最關切的話題。非常感謝芯盾時代創始人孫悅從六個問題角度為我們解讀零信任架構和最佳實踐，我們也期待更多業界專家分享觀點和心得，為中國網絡安全的“零時代”集思廣益，添磚加瓦。

【本文是51CTO專欄作者“安全牛”的原創文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文