深度剖析：零信任之路

一、背景

企业信息基础设施当前已经逐渐进入一个无边界化的时代。企业信息系统的参与实体不再局限在一个特定的物理边界之内，为了支撑数字化业务，企业需要将业务和数据开放给各种人员、各种设备，满足任何时间、任何地点的访问需求。这种大量的、复杂的访问需求导致了企业的数字信息边界远远超出了企业的物理边界，物理边界某种程度上已经失去了既有的安全边界的属性。

在无边界化趋势下，安全挑战变得空前严峻。事实上，从各种安全事件的事后统计与深入调查分析，不难发现，这些风险的产生主要和身份、权限、业务三个维度的漏洞有关系：如屡禁不止的弱密码、缺乏管控的设备身份，这与身份和凭证相关；缺乏细粒度的权限管控和动态的访问控制机制，是导致权限滥用、攻击者能横向移动的根本原因；当然，除了身份和权限，还有业务层面的问题，越来越多的业务开放，导致了更多的暴露面，业务自身的漏洞也成为攻击者绕过身份和权限控制机制的手段。

然而，现有的安全机制都是基于边界安全体系进行构建的，对身份、权限和业务暴露面方面缺乏针对性的细粒度的控制措施，难以应对这些威胁，安全架构亟需升级。

二、零信任架构及其本质内涵

零信任即在数字化转型驱动下应对无边界化网络时代，应对其安全挑战的一种安全理念和架构方法。实际上，零信任将安全措施从网络转移到具体的人员、设备和业务资产；在网络边界之上叠加基于身份的逻辑边界；其本质是基于身份的、细粒度的动态访问控制机制。

零信任架构的关键能力，由以身份为基石、业务安全访问、持续信任评估和动态访问控制四部分构成。以典型的用户访问业务应用的场景为例：所有的应用默认隐藏在可信应用代理之后，对访问者隐身。默认情况下，可信应用代理本身也是隐身的，只有确保人员身份可信和设备身份可信后，才对其开放权限。零信任依据最小权限原则，只对合法的终端、可信的用户开放应用级的访问权限。另外，控制平面的持续信任评估能力会在访问过程中对用户、设备的身份、行为、访问上下文进行持续的分析，评估访问发起者的信任等级，并且根据信任等级，通知动态访问控制引擎对访问请求进行处置。

零信任架构并不是推翻已有的安全体系，而是叠加一层基于身份的细粒度的访问控制体系，构建大量的动态的虚拟的身份安全边界。实现这个价值后，相关物理边界是可以适当简化的，只保留少量的静态的物理的网络安全边界，这样就构建了一层更弹性的能满足无边界访问需求的安全架构，助力企业数字化业务的开展同时实现安全架构的升级，将所有的复杂的网络访问控制规则转移到统一的基于身份的访问控制策略，也有利于安全运维和运营效率的提升。另外，零信任以数字资产为保护中心，聚焦数字资产的安全，防止数字资产的泄露，访问全程可见可控，可以让企业更好的满足数据和隐私方面的监管和合规需求。

三、零信任工程的规划、场景化构建与项目管理

近年来，国内外对零信任也已经广泛认可，比如美国国防部、标准化机构如NIST都在积极推动零信任落地，国内工信部也将“零信任安全”列入需要着力突破的网络安全关键技术，由奇安信牵头的零信任首个国家标准也已经成功立项。但是，零信任之路仍然充满挑战，比如：

① 如何获得高层认可，推动零信任战略和工程？

② 如何评估和构建零信任能力体系？

③ 如何确定零信任建设的切入场景和roadmap？

④ 如何构建架构体系，聚合能力和场景？

⑤ 如何设计可持续的场景化零信任方案？

⑥ 如何评价零信任项目的进展和成效？

……

这些问题其实很难孤立地回答，零信任理念是朴素的，但在具体落地时，和企业的业务现状、安全现状、团队现状都有很大的关系，不能脱离这些现状去尝试探索所谓的标准化零信任产品方案。

基于此，建议用系统工程思维来应对零信任落地挑战：需要规划先行，首先明确愿景，通过拉齐业务和IT目标达成零信任战略愿景；然后从场景、能力两个维度去厘清现状，明确和零信任最终目标的差距，并通过任务拆解形成建设路线图，按照路线图，逐一场景进行构建和运行。

规划先行，分步建设的思路特别适用于新建基础设施或企业要开展一个全新业务的情况，比如新建大数据中心，新建云平台，新建数据中台，新建开放API平台等等。新业务场景历史包袱较轻，将零信任和业务同步规划、同步建设，避免后期走弯路。

首先是愿景，简单来说就是得让CIO级别的负责人说明白零信任的价值，将零信任纳入企业的安全战略，需要结合企业的业务战略和IT战略来对齐。不过在很多实际项目中没这么复杂，毕竟零信任架构已经得到了业界的广泛共识，不需要再做过多论证，但针对业务场景，进行风险分析，并将这些风险和零信任能力进行匹配，这样能更清楚的呈现零信任的业务支撑价值。

对齐战略愿景后，进入路线规划环节，需要从场景和能力两个维度展开。

首先需要从工程视角去梳理零信任的适用场景，并根据业务需求设置优先级。如何对场景进行分解呢？零信任的核心目标是保护业务资产，因此可以简单的以资产为中心进行场景拆解，不失一般性，假设资产都位于一个单一的数据中心内，数据中心的应用会开放给用户本地或远程访问，这是业务访问场景；运维人员需要对数据中心的设备、服务器进行运维，这是特权运维场景；随着应用架构的演进，大量的服务会通过API方式开放给第三方平台调用，这是API调用或数据交换的场景。数据中心内部如果继续拆解，有服务器/虚拟机/容器之间的相互访问的需求，这可以归为服务网格或工作负载访问控制场景。另外还有工控场景、物联网接入场景等等。

场景梳理的作用一方面是找到零信任建设的切入点，一方面是帮助强化架构视野，避免后期场景化项目建设时，忽略了整体架构的可扩展性。

决定建设路线的另一个关键活动是零信任能力梳理，首先要对零信任整体能力有一个视图。基于研究与实践的总结，零信任能力全景应主要包含动态访问控制、持续信任评估、身份基础设施以及全场景业务安全访问4个维度的能力，这些能力相互关联，并且和企业现有的IT、安全能力打通，这些能力通过各种访问代理、agent和各业务场景聚合，形成全场景的零信任架构。基于能力模型，对比企业已有安全能力可以进行能力现状自评，根据自评的结果就能基本明确待建设的零信任能力。

零信任的构建是可以分场景、分阶段进行的，在进行场景化构建时，要基于组件化思想，所有场景化方案和组件要能实现乐高式能力叠加和场景扩展。比如，企业先构建了远程访问零信任解决方案，可以在此基础上去扩展更多的场景，叠加更多的能力组件，这个过程是平滑的，可控的，确保最终能实现整体的零信任架构，而不是构建各个场景的竖井式解决方案。

零信任构建完成只是第一步，后续的身份生命周期管理、终端纳管、应用上线、访问申请、权限评估等流程需要逐步构建起来，并且纳入安全运行体系，这样才能确保零信任发挥最大价值。零信任的本质是基于身份的动态访问控制体系，身份和权限基线持续保持在一个有序状态，是确保零信任能有效运转的关键，否则随着系统的持续运行，一定会发生熵增，各种配置会由有序变为无序，并导致风险。零信任的安全效果也是可以进行度量并设定KPI的，零信任的效果随着人员、终端和应用的逐步纳管会呈现出来，度量指标既可以很好的量化安全成效，也可以作为零信任建设进展的指标来使用。

四、零信任远程访问解决方案

在零信任具体实践过程中，对于明确的场景，可以走“快车道”，通过场景化快速切入点实践先行，在实践中完善。其实，业界在实践零信任的过程中，已经挖掘出不少经典场景，比如远程访问场景目前是业界较为认可的零信任切入场景，国外权威机构如Gartner、CSA等，也都在这个场景上给出了参考方案。从这样的经典场景切入，决策失败的风险更小，节奏更快，成本也相对更低。

今年在疫情背景下，很多企业不得不开放更多的高敏业务供远程访问，包括远程办公、远程开发、远程业务开展等，现有的VPN解决方案在安全性、可扩展性、易用性方面让企业的安全管理者很是头疼，希望借助零信任远程访问解决方案确保远程高敏业务访问的安全可信。

在实施零信任之前，大多数企业针对高敏业务的远程访问采用的VPN加云桌面的方式，这种方式也比较通用，但这种方案在端口开放、认证、权限、自身漏洞方面都存在一些不足，比如，VPN始终会开放端口，大多采用一次性认证手段，缺乏终端管控，直接开放粗粒度的网络访问权限，自身漏洞层出不穷，等等。也不难理解，毕竟VPN是20多年前发明出来的，其发明的目的就是远程网络的连通，设计之初并未考虑这么多安全因素。当然，还有很多企业也经常把VPN和远程接入的安全有所忽略，导致远程接入成为整个安全体系的短板。从各种公开报道，大家也能看到VPN相关的安全事件层出不穷，远程访问方案的升级换代势在必行。知名咨询机构Gartner指出，到2023年，60%的企业将采用零信任访问产品替代现有的VPN产品，以便更好地保障企业数字化转型。

零信任远程访问解决方案是业界实践较多的方案，也比较成熟比较标准，主要关注几个方面的能力构建：业务隐藏、最小权限、自身安全、持续验证和架构安全。一般在业务应用前面通过应用代理进行业务暴露面的收缩，同时和控制平面的动态访问控制、信任评估能力打通。事实上，零信任远程访问解决方案的落地架构看上去都是非常类似的，就是一个数据平面的访问代理，加上控制平面的动态访问控制和信任评估组件。但项目之间的差异点在于，需要结合企业实际场景，结合端到端风险分析，去设计动态访问控制的规则，去设计信任评估可以使用的数据和评估原则，这是零信任能力和企业业务能力、安全目标进行聚合的关键一环，零信任的内生安全属性在这个环节得到了很好的体现。

企业在选择零信任远程访问解决方案时，务必从架构视野去评估方案，切记不要简单的堆砌产品，同时确保厂商提供的方案后续能支持场景扩展和能力叠加，确保其具备足够的能力、经验和方案帮助实现更广泛的全场景零信任架构。忽略了这一点，会导致后续各个场景的零信任方案无法打通，形成安全孤岛，这和零信任的架构原则是相违背的，也难以发挥零信任架构的整体安全能力。

五、结语

零信任作为一种内生安全机制，落地过程中要始终用体系框架，从工程化思维去指导和推动。零信任不是简单的技术、产品，而是一套理念、架构方法和框架。首先需要深入理解零信任的能力，关注零信任各项能力的平台化联动与打通，并场景化构建零信任参考技术架构和安全运行规程。零信任的落地建设需要通过工程体系进行管理和推动，规划先行，分步建设。将零信任能力和架构与目标运行环境进行聚合，将安全能力内生到各业务场景，为企业的数字化转型保驾护航。

声明：本文来自零信任安全社区，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。