零信任不是“银弹”

2020 年，新冠疫情的爆发和大流行，迫使企业纷纷实行远程办公，Facebook、Twitter 等互联网公司甚至宣布永久远程办公。

自新冠疫情发生以来，远程办公已经成为一种常态，企业数字化转型也在加速。同时，企业对网络安全的诉求也发生了改变，零信任网络兴起，并成为业界一股热潮。去年 9 月，Gartner 把基于零信任的远程员工安全列为 2020 年度十大安全项目之一。

与以往不同，远程办公的员工不仅位于企业内网之外，而且使用自己的设备办公。如何保障员工安全地，且尽可能体验友好地访问企业网络和应用成为企业亟待解决的重要问题。如果还是使用传统的方法，那显然不可行。

据了解，传统的网络安全架构理念是基于边界的安全架构。企业在构建网络安全体系时，首先寻找边界，把网络划分为外网、内网、DMZ 区等不同的区域，然后在边界上部署防火墙、入侵检测、WAF 等产品。

这种理念通过“边界”来区分“可信”与“不可信”。在边界内，人、设备、系统和网络环境等都是默认可信的；边界之外，所有东西都不可信。这种网络安全架构假设或默认了内网比外网更安全，在某种程度上预设了对内网中的人、设备和系统的信任，忽视加强内网安全措施。不法分子一旦突破企业的边界安全防护进入内网，就会像进入无人之境，后果不堪设想。

而“边界”在现实里正逐渐模糊，甚至在消失。yyang 在《零信任（下）》一文中写道：移动和云的使用挑战了逻辑上的网络边界，内部人威胁则否定了基于“边界”区分可信与“不可信”的有效性。

据 Fortinet 北亚区首席技术顾问谭杰介绍，在疫情发生后，许多企业的业务由线下转移到线上，企业对远程办公、云安全和终端安全的需求明显提升。另一方面，泛边界安全不断增多，包括用户边缘、5G 边缘、端点边缘、IoT 边缘等。在这样的背景下，零信任有了更大的舞台，可以发挥更大的作用。

Fortinet 北亚区首席技术顾问谭杰

零信任并非一种技术

据悉，零信任的最早雏形源自 2004 年成立的耶利哥论坛，其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案，提出要限制基于网络位置的隐式信任，并且不能依赖静态防御。2010 年，Forrester 的首席分析师 John 正式提出了零信任，明确了零信任架构的理念，该模型改进了耶利哥论坛上讨论的去边界化的概念，并提出三个核心观点：

• 不再以一个清晰的边界来划分信任或不信任的设备；

• 不再有信任或不信任的网络；

• 不再有信任或不信任的用户。

在 Fortinet 北亚区首席技术顾问谭杰看来，零信任分为狭义概念和广义概念，其中狭义概念叫零信任网络访问（ZTNA），解决的是人、用户、物、设备和终端的信任问题。“由一个控制点控制它怎样对 IT 资源进行访问，授予它什么权限”。而广义概念指 NIST 提出的零信任架构（ZTA），它是基于数据的安全，从各方面采集多种数据，包括网络数据、安全数据、终端数据、身份数据等，利用这些数据做信任的计算和决策，真正动态的判断全网安全态势，最终做好决策后再交给部署在整个数字架构中各种各样的决策执行点（可能是一个网关、一个软件或 API），来决定是否允许此次访问以及能访问到何种程度。

简言之，零信任是一种思想理念或战略框架，它主要聚焦在用户身份与 IT 资源之间的互动关系、访问权限上。它通过一种持续的动态评估手段不断分析整个网络访问的安全态势，然后动态的授予访问者权限。

传统的访问控制是粗粒度授权，并且是静态的，但是黑客的攻击或恶意行为却在不断变化，因此，这会导致一系列安全问题，“零信任希望改变传统的静态安全策略带来的一些安全隐患”。

“如果我们的安全体系不能动态地适应威胁，企业还是采用静态规则，那么肯定跟不上形势，最终会产生各种各样的问题。”谭杰说。

目前，很多企业的员工远程访问主要依赖 VPN，即虚拟专用网络。以笔者为例，在家办公时会通过 VPN 访问公司 CMS 平台，但是不仅访问速度慢，而且经常无法连接上，整个体验很不好。

谭杰表示，相比 VPN，零信任的安全性更高，“传统 VPN 策略的粒度是比较粗的，一旦开放后，几乎处于不设防的状态”，零信任则针对每一种应用、每一次会话做一次安全控制，所以其安全性更好。我们知道，安全问题很多时候来自人为失误，因为操作太复杂，而零信任则把管理员和用户从复杂操作中解放出来，降低了犯错几率，从另一个角度提升了安全性。并且在用户体验上，零信任的易用性也会更友好一些。

零信任不是“银弹”

根据 MarketsandMarkets 的数据，全球零信任安全市场规模预计将从 2020 年的 196 亿美元增长到 2026 年的 516 亿美元，从 2020 年到 2026 年的复合年增长率（CAGR）为 17.4％。Gartner 估计，到 2022 年，面向生态系统合作伙伴开放的 80% 新数字业务应用程序将通过零信任网络（ZTNA）进行访问。

据悉，国内对零信任技术的炒作从 2015 年开始逐步在各个行业市场展开。但是，它在当时并不成熟，且缺少可参考的案例。NIST（美国国家标准与技术研究院）在 2020 年发布的《SP800-207:Zero Trust Architecture》标准意味着零信任理念成熟。

谭杰称，市场上的零信任方案更多聚焦于身份和访问控制，验证用户身份确保其可信后，给用户分配有限权限。“但是恶意用户分好多种，既有外部黑客，也有内部被攻陷的主机，还有真正意义上的内鬼，这是零信任无法解决的”。

举个例子，微盟在去年发生“删库跑路”事件。该公司研发中心运维部核心运维人员通过 VPN 登入服务器，并对线上生产环境进行了恶意破坏，结果 300 万家商铺瘫痪，公司市值蒸发超 10 个亿。

针对内鬼问题，谭杰的建议是“对访问者行为和威胁进行持续性的监控和防御，与零信任这套基于身份和态势的访问控制相结合”。

此外，值得注意的是，零信任中依然要有内外网的划分。“零信任思想其实告诉我们一件事：不能仅仅根据用户 ID 和 IP 地址就充分授权，但是这并不意味着 ID 和 IP 不重要”。

做安全永远是在追求平衡，因为安全、效率和成本三者不可兼得。“做安全，一件重要的事情是对资产进行分类、分级和分域。假如我们完全不区分内网、外网，不区分任何场景，在任何地方都把安全等级按最严格部署，这肯定既不经济，也不科学。所以，我们在做安全建设前还是要先划分内网、外网“。

当然，在零信任中，信任边界会划分地更详细。企业资产的分类、分级、分域不能一概而论，还要结合企业的业务模型。“同时，结合《网络安全法》、‘等保 2.0’和信息安全管理体系（ISO 27001）等要求，再看企业业务对安全、性能和成本的要求，我们从中找到一个平衡点“。

谭杰说：“在整个零信任架构中，我们把它分成决策点、控制点两个最核心的组件。一个思路是控制点应尽可能覆盖数字化基础架构的各个节点，不管是终端，还是网络通道或是云端，我们都要有相应的策略实施点可以预先埋进去。当我们想在这个地方做一个信任域的划分和策略实施时，我们可以很快切入到零信任的架构中。“

零信任落地，企业会面临哪些挑战？

目前，很多企业正走在零信任建设体系的路上。据谭杰介绍，零信任在业务生产环境落地上面临一些挑战：

• 第一，老旧应用改造难度大。目前，很多零信任解决方案需要用户对应用环节进行改造，但是一些老旧应用改造空间小，或者软件服务提供商不在了，因此应用升级就很困难；

• 第二，用户的使用习惯要改变。对用户来说，企业实行零信任后，原有的一些工作流程会发生改变。

• 第三，成本问题。在建设零信任时，用户有时容易陷入急功近利的状态，把一切推倒重来，完全按照零信任的体系做一遍，这样成本会很高，用户体验也会有问题。

对企业来说，零信任是安全理念战略的终极目标，不能一蹴而就。“零信任是一个持续过程，安全建设同样也是一个持续过程，所以用户应该选择一种混合式结构来循序渐进地部署零信任”。

针对改造难的老旧应用，谭杰提出“可以通过一些微创或非侵入式解决方案”，比如在网络上对用户行为进行中断。简单说，通过实时观察和分析访问者的身份和安全态势，一旦其风险达到预设值后，再把授予它的权限撤销，这样也能达到零信任的效果。

值得注意的是，大型企业在零信任落地上还将面临性能挑战。

谭杰对此表示，“这几年，我们谈软件定义一切，其好处不说了，但也容易遇到性能问题。因为 X86 平台没有做过特别优化，所有性能压力都压在软件上，效率是不是最高？是否容易遇到瓶颈？我们的一个理念是软件定义一切不代表要排斥硬件“。

在他看来，专用硬件是解决性能问题的一个方案。据悉，Fortinet 一直在研发专用硬件，该公司最新发布的 NP7 芯片能在 20W 功率下达到纯 X86 架构几十上百倍的吞吐能力。

另一种解决方案是利用云原生 Scale out（向外扩展）能力，比如做虚机云、容器云，用软件方式向外实现弹性扩展，从而满足企业对大规模访问的需求。

“我们有不少公有云用户，没办法使用专用硬件，只有 X86 虚拟机，我们做了 VSPU，即虚拟的安全处理器，也能在标准的 X86 硬件平台上获得很大的性能提升。同时，再配合云原生平台资源池的 Scale out 弹性扩展，来应对这种大规模访问的挑战。”他说。

零信任给企业带来的收益

谭杰认为，实施零信任对企业有三大好处：

• 第一，安全性更强。零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源，基于身份认证和授权，重新构建访问控制的信任基础，确保身份可信、设备可信、应用可信和链路可信，自然可以提高企业安全。

• 第二，带来企业安全思路的转变。以前，企业谈安全会把关注点放在攻防对抗上，经常出现分队时，攻方一大堆人报名而守方却没人去的事。“Fortinet 一直秉承的理念是不能把安全押宝在某个单点上。攻防并非不重要，但是如果整体的零信任体系都没搭建好，仅仅盯着某几台服务器，看有没有漏洞，可能有点舍本逐末”。零信任的实施过程可以让企业认识到一个良好的强壮的体系可能比某些单点的技术对它来说更重要。

• 第三，提高员工安全意识。零信任的实施过程相当于帮企业把整个工作流程和安全制度做了一遍梳理，整个人员的安全意识也会有所提高。

从雏形到概念再到理念成熟和实践，零信任经历了十几年的发展，其落地越来越多，可参考案例也不断增加。

据谭杰介绍，互联网行业、先进制造业和金融行业都有 Fortinet 零信任架构的实践。以先进制造业为例，它在接入 OT 网时非常谨慎，因为里面是一些生产型设备，所以它对零信任的要求会更高。这要求零信任架构能严格控制所有端点到端点，从 IT 网控制系统到 OT 网的生产系统，不管是内网接入，还是服务商过来排错或升级操作，都要应用这套零信任框架，从而保证 OT 环境的安全。

采访嘉宾：

谭杰，现任 Fortinet 公司北亚区首席技术顾问，拥有 20 年信息安全从业经验，曾参与众多知名企业及机构安全建设，对网络信息安全主流技术、IT 前沿发展趋势、安全防御体系研究建设有深刻理解。