洞见RSA 2021｜零信任的困境与破局之路

数字化转型中，云计算、大数据、物联网、移动互联等技术的业务应用加速落地，新技术元素的导入，在提升业务效率的同时，也带来了新的安全风险。面对传统安全防护方案的局限性，“零信任”提供了新的安全思想，秉持 “从不信任，始终验证”的原则，在不可信网络中构建对应用系统的安全访问是零信任的终极目标。

随着零信任安全的发展，吸引越来越多的企业向零信任转型。2021年RSA大会，零信任也成为热门话题之一，众多厂商从不同角度对零信任架构做出了分析：包括数据安全与个人隐私、云安全、弹性与恢复、身份安全等其他热门话题也都和零信任密切相关。

在RSA创新沙盒TOP10中有两家公司的产品和零信任相关，Axis Security公司的零信任方案（Application Access Cloud），直译过来就是“应用访问云”，此方案的创新之处在于依托于云计算，使用无终端化方式接入，应用服务侧只需部署连接器即可，大大减少了企业从传统VPN接入方式向零信任网络迁移的技术阻碍。当然此方案也有一定的局限性，事实上，无终端化是相对而言的，只是覆盖了主流服务，如Web服务、RDP服务、SSH服务、Git服务和数据库服务等。如果终端只需要访问这些服务，就不必安装终端。但是如果安装终端则允许终端访问几乎任何形式的网络服务，应用范围会更加的广阔。

STRATA公司的企业多云身份管理，能够对接多种云服务的身份数据和访问控制策略基础设施。同时，方案适配多种身份认证协议，在应用零改造的基础上实现统一管理。STRATA MVERICS平台联动三个产品，身份发现（Identity Discovery）、连接目录（Connector Catalog）以及身份编排引擎（Identity Orchestrator）提供关键能力。由于零信任架构强调“以身份为中心”，建立基于身份的细粒度访问控制。因此此方案可以大大推动零信任架构实施，让企业以最小的代价完成零信任架构迁移的第一步。

零信任是一种新型的网络安全架构，可以从零开始建设，也可以在现有的基础设施之上构建新的安全防护机制。基于各类创新技术的不断发展对现有技术的冲击，厂商需要做好合理的用户引导，在未来的很长一段时间内，做好传统安全技术和零信任技术共存的心理准备，一边运行，一边建设，逐步替换，保证新旧技术的平滑演进。

安全厂商在为企业推广零信任安全解决方案时，不能完全颠覆企业当前的安全建设成果，而去打造一个全新的零信任安全体系。需要充分考虑零信任方案如何和客户当前存量安全产品相互融合，为企业的安全保驾护航。

零信任方案在设计之初，就需要包容的心态，要与各种安全能力和谐共处。围绕零信任“永不信任，持续认证”的安全理念，将各种安全能力统一归属到零信任体系之下，将其作为零信任的“耳目”。通过丰富的异构产品接口，收集各安全产品的安全日志和安全事件，进行集中分析和研判，打造全访问链的动态可信访问。

结合上述思考，作为国内最早布局零信任领域的网络安全厂商，绿盟科技在零信任领域的研究发展从最早期的SDP研究，到今日已经有了成熟的零信任解决方案，能够支撑不同行业客户的特定安全访问场景及安全需求。

绿盟科技零信任安全解决方案基于设备评估，用户认证和行为分析，持续集成分析和验证信任关系，以此在不可信网络中构建安全系统，覆盖了远程安全办公、暴露面收敛、统一安全访问、数据安全访问及终端安全接入等典型应用场景。

方案核心产品包括：

• 一体化终端安全管理系统UES

• 安全认证网关SAG

• 统一身份认证平台UIP

• 零信任分析和控制平台ISOP-ZTA

• 方案产品灵活组合，分层解耦，可独立部署，支持根据客户实际需求分阶段或选择性建设

• 通过客户端和安全认证网关从访问主体到访问客体之间，建立安全访问通道

• 采用SDP方案，实现业务应用的彻底隐身，让攻击无从下手

• 绿盟零信任大脑作为总分析和控制中心，由终端安全管理平台、统一身份认证平台、分析和控制平台组成，构建风险和信任综合分析能力，动态决策响应能力，实现纵深防御

• 全面感知

  上下文环境感知、终端安全状态感知、网络环境感知、威胁情报输入的感知等

• 最小授信

  终端可信，用户可信，网络可信，应用可信，最小化权限访问资源，实现最小授信

• 持续评估

  从认证系统，安全设备，网络流量，终端安全等多维度获取信息，持续分析用户和实体行为，确保用户在访问过程中的行为可信

• 动态决策

  根据用户及终端的安全风险，自动化下发策略，执行阻断，二次验证，隔离等操作，实现基于风险的自适应安全访问控制

统一安全可信访问

• 全面隐藏应用，减少暴露面

• 统一MFA认证，杜绝弱口令，避免未授权访问

• 细粒度会话控制，防止越权访问，攻击横向扩散

• 全面日志审计，关联分析，闭环处置

零改造快速合规

• 统一多因素认证，满足等保2.0对身份认证因子相关要求

• 国密加密，满足等保2.0，密码法对关键基础设施传输和存储加密的要求

• 无需大批量业务改造和替换，快速合规

全方位降本提效

• 节约管理&运维&人员成本

• 提高办公访问效率，提高员工工作效率

• 账户&权限统一管理，业务灵活扩展，数字化转型无忧

一致便捷的用户体验

• 访问低延迟，更少等待

• 无密码认证，无需记忆繁杂密码

“网络安全的未来在云端”，随着信息化数字化办公的兴起，越来越多的企业将自身应用迁移到了云端，或者直接购买云上的SaaS服务。这种方式大大提升了办公效率，任何个人都可以通过BYOD设备快速访问企业应用，做到随时随地办公，但同时也增加了企业应用的安全风险。由于应用部署在云端，企业不得不去考虑这些应用的安全性，包括访问权限、服务隔离、数据放泄露、安全审计等。

基于这种背景，Gartner于2019年提出一个全新的安全概念SASE（Secure Access Service Edge），即“安全访问服务边缘”。SASE是一种整合各种云原生的安全功能，例如SWG、IPS、NGFW、CASB等，基于零信任网络访问（Zero Trust Network Access，ZTNA）模型建立推出的“网络+安全”云原生、服务化技术架构，从而满足企业在数字化转型过程中的动态安全访问需求。SASE 是一种基于实体的身份，实时上下文分析、企业安全/合规策略，以及在整个会话中持续评估风险/信任的服务。

SASE同样是以身份为驱动，ZTNA架构为核心，这些理念和零信任高度一致，可以看做零信任在云场景的扩展和演进。因此在关注零信任的发展和趋势时，有条件的情况下可以和SASE方案做适度的融合，贴合更多的用户场景。

绿盟科技将于近期发布SASE安全解决方案，分别推出两款产品NIA（NSFOCUS Internet Access）和NPA（NSFOCUS Private Access），涵盖不同的应用场景，为企业的数据中心和云上应用安全保驾护航。

NPA是基于零信任的云安全内网访问服务，适用于用户到私有数据/程序的连接，基于零信任原则，云端控制器根据上下文做接入控制，提供多因子认证、三方身份认证、暴露面隐藏等能力。

NIA依托服务化的云上安全网关，基于防火墙、IPS、沙箱等为客户提供针对Web和Internet的威胁保护。

敬请关注绿盟科技官方微信公众号，及时了解产品发布信息。