遠(yuǎn)程辦公新常態(tài)，為什么需要“零信任”模式？

受新冠肺炎疫情的影響，遠(yuǎn)程辦公的用戶和市場規(guī)模呈現(xiàn)出爆發(fā)式增長。

蓋洛普調(diào)查發(fā)現(xiàn)，近2/3的美國遠(yuǎn)程辦公人員希望繼續(xù)遠(yuǎn)程工作。Gartner報告表明，90%的人力資源領(lǐng)導(dǎo)者計劃允許公司員工遠(yuǎn)程工作，即使在新冠疫苗投入使用之后。

可以說，現(xiàn)在，企業(yè)辦公的方式發(fā)生巨大的變革：在家庭、咖啡廳、地鐵等遠(yuǎn)程辦公，成為許多公司的“新常態(tài)”。

遠(yuǎn)程工作不局限于辦公室，導(dǎo)致網(wǎng)絡(luò)安全的邊界擴(kuò)大，接入的終端增加，對組織資源的控制減少，增加了數(shù)據(jù)泄露的風(fēng)險，網(wǎng)絡(luò)攻擊也大幅度增長。

比如：在傳統(tǒng)的辦公模式下，員工會走進(jìn)辦公大樓，然后利用辦公室的電腦，在密碼驗證、登錄并通過本地服務(wù)器后，訪問系統(tǒng)、應(yīng)用、數(shù)據(jù)等所需要的一切。從網(wǎng)絡(luò)安全的角度看，企業(yè)的人員、數(shù)據(jù)和IP都是安全的。

但在遠(yuǎn)程辦公時，如果還延續(xù)傳統(tǒng)辦公那種基于設(shè)備的訪問管理模式，無疑打開了一個更大的網(wǎng)絡(luò)安全的潘多拉魔盒，各路潛在攻擊會魚貫而出，防不勝防。

于是，“零信任”（Zero Trust）安全架構(gòu)在被提出十年之后，正在成為應(yīng)對這種新常態(tài)的網(wǎng)絡(luò)安全的一個最佳實踐。很明顯，基于設(shè)備的訪問管理已經(jīng)過時，“零信任”模型建立起了基于身份驗證的網(wǎng)絡(luò)安全總體框架。

作為2010年就被Forrester定義的安全模型，“零信任”正在成為不斷變化的現(xiàn)代工作場所的安全戰(zhàn)略指南。

正如美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）所總結(jié)的那樣，零信任是一套"將防御系統(tǒng)從靜態(tài)的基于網(wǎng)絡(luò)的周邊轉(zhuǎn)向關(guān)注用戶、資產(chǎn)和資源不斷發(fā)展的網(wǎng)絡(luò)安全范式”。

簡單地說，“零信任”意味著 "什么都不相信， 驗證一切"。它要求任何用戶（公司內(nèi)部或外部）在獲準(zhǔn)訪問系統(tǒng)、應(yīng)用和數(shù)據(jù)之前必須經(jīng)過身份驗證和授權(quán)。

“零信任”利用多因素身份驗證和基于會話的主動風(fēng)險檢測等工具，提供更高水平的安全性。無論您是管理員、客戶端、合作伙伴，還是員工，每個訪問接觸點都是根據(jù)安全風(fēng)險設(shè)計進(jìn)行的。

目前來看，“零信任”首先通過學(xué)習(xí)信任緩解常見的安全漏洞。在“零信任”模型下，IT 管理員可以監(jiān)控訪問和授權(quán)活動，并對其進(jìn)行管理以進(jìn)行準(zhǔn)確的威脅評估。隨著用戶的行為和模式越來越成熟，異常事件和訪問嘗試可能會被實時拒絕。

其次“零信任”提供適合復(fù)雜IT生態(tài)系統(tǒng)的身份管理，將組織從授予或拒絕的二元訪問系統(tǒng)，轉(zhuǎn)移到基于多個身份變量的身份驗證和授予訪問系統(tǒng)。

第三，基于“零信任”的有條件訪問，允許根據(jù)每個團(tuán)隊、部門或組織的獨特需求，加強(qiáng)或放松安全。

亞信安全身份安全事業(yè)部總經(jīng)理張輝直言，“零信任”體系中最重要的核心是身份（正確的人），發(fā)起點是終端（正確的終端），控制點在各個業(yè)務(wù)入口，例如運(yùn)維入口的堡壘機(jī)、應(yīng)用入口的IAM/4A，服務(wù)入口的API網(wǎng)關(guān)，等等（正確的行為），才能真正貫徹“持續(xù)認(rèn)證”、“持續(xù)評估”的“零信任”核心思想。

“零信任”是一種理念，而不是一種技術(shù)。因此，沒有單一的產(chǎn)品或解決方案能夠使企業(yè)獨自實現(xiàn)“零信任”。

不過，業(yè)內(nèi)專家認(rèn)為，軟件定義邊界（SDP）、身份識別與訪問管理（IAM）、微隔離（MSG）是實現(xiàn)“零信任”的三大技術(shù)路徑。

在SDP中，客戶端首先進(jìn)行多因素認(rèn)證，認(rèn)證設(shè)備的可靠性等。通過后，才進(jìn)入用戶登錄階段。這兩步均是客戶端與IT管理員進(jìn)行交互，不涉及對具體服務(wù)的訪問。當(dāng)認(rèn)證通過后，客戶端才能夠與可訪問的服務(wù)建立連接。

IAM具有單點登錄、認(rèn)證管理、基于策略的集中式授權(quán)以及審計、動態(tài)授權(quán)等功能。它決定了誰可以訪問，如何進(jìn)行訪問，訪問后可以執(zhí)行哪些操作等。

微隔離是細(xì)粒度更小的網(wǎng)絡(luò)隔離技術(shù)，能夠應(yīng)對傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下對于東西向流量隔離的需求，重點用于阻止攻擊者進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移。

數(shù)字化轉(zhuǎn)型的加速和云計算的不斷普及，都推動了“零信任”理念的快速落地。

根據(jù)MarketsandMarkets的報告，全球“零信任”安全市場規(guī)模預(yù)計將從2019年的156億美元增長到2024年的386億美元，復(fù)合年增長率為19.9％，全球“零信任”占整體安全市場規(guī)模的比例有望在2024年達(dá)到15%。

而根據(jù)咨詢公司Illumio的最新企業(yè)調(diào)查，僅4％的企業(yè)聲稱完全實施了“零信任”，但接近半數(shù)的企業(yè)已處于調(diào)研或試點階段。

“零信任”應(yīng)用場景當(dāng)然也不僅僅是遠(yuǎn)程辦公，SaaS營運(yùn)安全、大數(shù)據(jù)中心、云安全平臺等都是典型的應(yīng)用場景。任何企業(yè)網(wǎng)絡(luò)都可基于“零信任”原則進(jìn)行設(shè)計，大多數(shù)組織的企業(yè)基礎(chǔ)架構(gòu)已經(jīng)具備了“零信任”的某些要素，或者正在通過實施信息安全、彈性策略和最佳實踐來實現(xiàn)“零信任”。

據(jù)中國軟件網(wǎng)觀察，“零信任”市場參與者較多，市場有四大類參與者。其中包括：谷歌、微軟，以及國內(nèi)的騰訊云、阿里云等巨頭企業(yè)，率先在企業(yè)內(nèi)部實踐“零信任”并推出完整解決方案；Duo、OKTA、Centrify、Ping Identity 推出“以身份為中心的“零信任”方案”；思科、Akamai、Symantec、VMware、F5 ，以及國內(nèi)亞信安全、啟明星辰、深信服、奇安信等推出了偏重于網(wǎng)絡(luò)實施方式的“零信任”方案；此外，還包括 Vidder、Cryptzone、Zsclar、Illumio，以及國內(nèi)的芯盾時代等初創(chuàng)公司。

另外，收購兼并成為目前“零信任”市場的主旋律。如思科、派拓、賽門鐵克、Unisys、Proofpoint這樣的巨頭玩家，多以收購的方式實現(xiàn)在“零信任”網(wǎng)絡(luò)訪問的縱深和業(yè)務(wù)的橫向布局。

據(jù)安全419數(shù)據(jù)統(tǒng)計，中國2020年身份安全領(lǐng)域獲得了9筆融資，融資規(guī)模近10億元。

云服務(wù)巨頭們也正在通過自身的實踐，驗證“零信任”安全架構(gòu)的優(yōu)勢，并將這種能力賦能更多的用戶。

像BeyondCorp最初是Google的一項內(nèi)部計劃，旨在使每個員工都能在不受信任的網(wǎng)絡(luò)中工作，而無需使用VPN。利用BeyondCorp，Google的員工能實現(xiàn)無論在家、咖啡廳、辦公樓等任何地點訪問公司應(yīng)用，并擁有一樣的體驗，員工到應(yīng)用的連接都進(jìn)行了加密，真正實現(xiàn)了訪問控制權(quán)從邊界轉(zhuǎn)移到個人設(shè)備與用戶上。

現(xiàn)在，Google將BeyondCorp推向用戶，每天BeyondCorp都被大多數(shù)Google用戶所使用，為Google的核心基礎(chǔ)設(shè)施和企業(yè)資源提供基于用戶和設(shè)備的身份驗證和授權(quán)。

谷歌對BeyondCorp進(jìn)行了多次更新。2020年4月，谷歌發(fā)布了BeyondCorp Remote Access產(chǎn)品，旨在消除為在遠(yuǎn)程辦公的員工設(shè)置虛擬專用網(wǎng)絡(luò)成本高昂且耗時的弊端。

2021年2月初，Google推出了BeyondCorp Enterprise，取代以前的BeyondCorp Remote Access。BeyondCorp Enterprise旨在提供連續(xù)且實時的端到端保護(hù)、可擴(kuò)展的DDoS保護(hù)，以及內(nèi)置的可驗證平臺安全性。

谷歌云安全副總裁/GM Sunil Potti在公告中表示："谷歌對“零信任”并不陌生。十多年來，我們一直在這個旅程中實施BeyondCorp，一個公司內(nèi)部用來保護(hù)Google應(yīng)用、數(shù)據(jù)和用戶的技術(shù)套件。谷歌自己的實踐證明，BeyondCorp Enterprise能夠幫助用戶開啟“零信任”之旅?！?/p>

谷歌還表示，企業(yè)安全套件將直接構(gòu)建在谷歌Chrome瀏覽器中，通過BeyondCorp Enterprise和Chrome，幫助企業(yè)用戶確保數(shù)據(jù)安全。

從2015 年開始，騰訊在內(nèi)部實踐落地了一套自主設(shè)計、研發(fā)的“零信任”安全管理系統(tǒng)——騰訊iOA。這套系統(tǒng)針對遠(yuǎn)程辦公場景痛點，打造了無論位于何處、何時使用何設(shè)備，都可安全訪問授權(quán)資源來處理業(yè)務(wù)的新型“4A辦公”。

在騰訊內(nèi)部，騰訊iOA保障了幾萬員工和十幾萬臺終端遠(yuǎn)程辦公的安全，實現(xiàn)了OA站點和內(nèi)部系統(tǒng)、開發(fā)運(yùn)維、登錄跳板機(jī)等的遠(yuǎn)程無差別訪問。

騰訊 iOA也實現(xiàn)了對外賦能。比如為滿足猿輔導(dǎo)在線教育3.5萬內(nèi)部員工面向4億用戶的辦公需求，騰訊iOA 為猿輔導(dǎo)打造了兼具云端業(yè)務(wù)與員工終端安全高效連接和快速擴(kuò)容安全響應(yīng)的一站式“零信任”安全體系，實現(xiàn)了業(yè)務(wù)安全和辦公效率的雙重提升。騰訊iOA目前已在政府、金融、醫(yī)療、交通等多個行業(yè)領(lǐng)域應(yīng)用落地。

無論如何，“零信任”風(fēng)口已到，網(wǎng)絡(luò)安全理念重塑的機(jī)會到了。