终于有人把零信任落地讲明白了

摘要：

• 零信任并没有创造和发明新技术，而是以新的思维方式和安全范式，融合已有的安全产品、技术和手段，达到更有效地安全防控效果。
• 我们认为，零信任与传统的纵深防御体系没冲突，而是互补和增强。
• 零信任所说的无边界是指：工作无边界、业务无边界、协作无边界，但网络和安全还是有边界的。
• 零信任除了提升客户的安全性，一定要兼顾体验，不要急于替代客户原有的安全系统，也不要一上来就做大而全的零信任方案，要选合适的场景切入点，既能很快看到效果，也能保障用户的业务体验。
• 面对零信任落地难的问题，芯盾时代梳理了5大类零信任适合落地的场景。
• 零信任在客户企业落地的时候，客户描述不清楚自己的痛点和需求，我们如何去挖掘？
• 零信任在客户企业的落地是分步骤实施的，芯盾时代已经有经过验证的落地方法论。

——芯盾时代 研发副总裁 陈曦

陈曦，北京邮电大学硕士，IBM全球首批SOA布道师。11年安全、互联网及企业服务经验，作为首席架构师构建中国移动统一认证平台，面向8亿用户支持日均10亿级认证，当前担任芯盾时代研发副总裁，全面负责零信任产品线的产品研发工作。

 

于江：零信任话题在过去这一年比较火爆，但各家公司对其解读各不相同，争论也比较多。能否阐述一下芯盾时代对零信任理念的理解？

陈曦：很多人对零信任存在所谓的“迷思”，对它有各种误解。一个理念从产生到演进，从有规范标准到产品化，从落地尝试到大范围推广是有路径的，零信任的路径大概是这样的：

• 2004年耶利哥论坛上提出无边界化的网络安全理念；
• 2010年Forrester Research的分析师John Kindervag正式提出零信任网络模型；
• 到后面谷歌的实践提炼为论文对外发布，CSA（云安全联盟）提出SDP规范。随后，国内外安全公司纷纷推出零信任解决方案和产品，大型互联网企业开始自建和实践零信任架构；
• 到2020年，受美国政府和军方委托，NIST（美国国家标准与技术研究院）在连续推出了《SP800-207:Zero Trust Architecture》 两个版本草案后发布正式版本，几乎囊括了所有前人成功经验和优秀设计，在业界受到广泛的认可，成为了事实上的标准；
• 进入2021年，国内零信任市场迸发了火热的需求并呈现井喷之势。

基于Gartner提出的CARTA方法（Continuous Adaptive Risk and Trust Assessment ），芯盾时代从2017年开始研发零信任安全产品，在2018年推出了第一版基于CARTA的ECG产品（零信任业务安全网关），为企业提供持续的业务安全保护，并在多个行业客户成功上线使用，芯盾时代可以说是国内最早实现零信任产品化并落地实践的公司。目前，芯盾时代已经推出了符合CSA SDP规范及NIST ZTA标准的第四代零信任安全产品体系和解决方案。

于江：那您怎么理解零信任的本质，它是一种理念，还是一种新的技术？或者说新的产品形态？

陈曦：我想结合近两年的新冠疫情来解读零信任。中国是世界上抗疫人口规模最大、疫情出现最早、但抗疫最成功的国家，下面就以国家在抗疫中采用的手段来类比与映射企业在安全防护场景中采用的技术方案，进而说明零信任的价值。

疫情刚爆发的时候武汉采取了封城措施，就像是在区域边界设立防火墙，结合IPS、IDS这样的安全设备，实现了一定程度上的流量过滤和安全控制，但只要过了防火墙进入内网，就会拥有较高的访问权限，攻击者就能够在内网进行横向移动并完成资源破坏或窃取。面向高级攻击者，只靠外围边界很难真正做好防御，因为边界仍然有开口和通路，只要有相关的身份或者安全证明，还是会有人员的进出。

在疫情期间，“人”的安全证明就是核酸检测报告，但核酸证明有天数限制，也就是说“人”不能得到持续信任，有一张核酸证明不能证明“人”一直没有问题（即是否感染新冠病毒），后面若想进入到各个小区或楼宇时，还会有体温检测、健康码检查、专用出入证等手段验证，同时建议不要互相串门，不要人群聚集（类似于微隔离），最重要的是每个“人”都要戴口罩做好防护。再比如“北京西城大爷”，他在出现症状后主动去医院检查，且能回溯之前所有的行为轨迹，然后确认感染地点，这类似于日志溯源的能力。所有这些机制整合起来，中国抗疫才能达到很好的效果。

映射到安全防护方式，防火墙就是封城时建立的外围边界，安全基线扫描就类似于核酸检测，小区和楼宇对出入证的检查就像是身份认证和鉴权，对于零信任来讲：城市的边界、小区的边界、核酸证明这些临时证明都不能够被持续信任并保证安全，还需要检查实时更新的健康码、测量体温等一系列持续的风险判断、校验和监控，以及戴口罩这种微边界的保护、勤洗手这种安全清理和加固都要做到位。其实疫情环境和网络安全环境很类似，任何人、任何地点、任何时间都不一定安全，需要综合利用各种手段，才能在这种不可信任的环境下提升安全性。

可以看到，整个抗疫成功的关键并不是如何创造新的防疫手段，而是以什么方式整合使用已有的手段。所以我们总说零信任是一种思想，零信任并没有创造和发明新技术，而是以新的思维方式和安全范式，融合已有的安全产品、技术和手段，对现有的安全防御体系进行全新升级，在不可信的环境中，以兼顾安全和体验的方式实现资源的可信任访问，提升整体安全防护能力和效果，这是我们对零信任的本质的理解。

于江：过去一年，业界中也有一些对零信任不同的看法，认为网络无边界不符合网络空间主权原则。您怎么看这个观点？

陈曦：无边界是指工作无边界、业务无边界、协作无边界，但网络和安全还是有边界的。在零信任里面提到的边界是一个以身份为核心的新安全边界，这种新安全边界的出现并没有摒弃和颠覆已有的边界，而是强调“微粒化”和“贴身化”，同时与传统边界更好的配合，把曾经被传统边界漏过去的、不安全的访问和流量给防御住。

什么叫工作无边界、业务无边界、协作无边界呢?

比如像我们客户中的某些部委单位，31省到地市都是有分支机构；再比如很多连锁型企业、大型连锁超市等，工作已经从企业内部扩展到外部，进行远程的协同，这就是工作无边界。

同时业务也是无边界，以前是靠企业员工运营所有业务流程，而现在需要合作伙伴、产业链上下游一起来合作，其中包括人与人、系统与系统之间的合作。

再比如原来员工是在企业内部办公，但现在员工可能是在任何地点进行移动办公。比如外卖员、快递员、房产中介，他们携带企业内部的设备，或者自己的设备来跟业务系统之间进行实时的互动来完成业务流程。

传统是以网络为安全边界，由内外部网络边界上的安全设备充当防御和保护的载体，以网络标识为核心，比如IP、端口、协议等，但IP是好的（如内网上一台设备的IP），人的行为和意图可能是坏的，这就会出现内鬼进行蓄意破坏或者内外勾结的问题，在以网络为核心的传统安全边界内并不是完全安全的，所以需要新的安全边界。

 

于江：我们把视角放到市场当中，从国家的理念引导上来讲，我个人认为等保2.0还是纵深防御体系，还是城墙护城河思维。从合规政策的角度，并没有驱动中国最大的客户市场——比如说政府进行零信任的改造。至少目前政策上还没有这样。在这样的背景下，您怎么看零信任产品的市场驱动力？

陈曦：零信任并不是要颠覆等保2.0、纵深防御体系，而是互补关系。零信任以身份为新边界，意味着首先要改变的是仅依赖安全设备在网络边缘保护所有系统和资源的情况，需要把边界微粒化、贴身化，离资源（如应用、API、数据等任意元素）越近越好。我们要根据系统本身的安全策略、业务敏感度、安全等级特征等因素，建立新的身份边界。这里的“身份”不仅是用户的身份，还要考虑访问主体和客体的身份（如设备、应用等）、原有的网络的身份等。可以看到，我们并没有摒弃传统的以网络为安全边界的理念，而是又叠加了多维度的身份信息，以软件定义的方式构建以身份为边界的新安全模式。

 

于江：什么样的企业更需要零信任？

陈曦：从增强整个安全体系或提升访问某个资源系统安全性和体验感的角度，我认为零信任适合所有企业。因为它确实解决了当业务协作模式开放化和无界化、基础设施云化和虚拟化等新形势带来的安全风险，这是纵深防御体系没有很好解决的。零信任与等保2.0相同，均与企业已有的体系不冲突，而是互补和增强的作用。

无论企业的系统是在本地数据中心或云数据中心，亦或是混合云模式，在建立防御体系的时候，仍是以纵深防御的思想为基础，设立一道道防御关卡，不过原来传统部署在企业数据中心的安全设备云化和服务化了，客户改为购买云化的服务。其实这和零信任没有冲突，也不是本质上的颠覆和变化，而是渐进式演进，因此说零信任可以实现对现有安全体系的补充和增强，无论是在本地数据中心还是云上。

同时需要特别强调的另外一点是，除了安全性我们也注重用户体验。我们认为零信任产品体系落地要兼顾安全和用户体验，去实现资源的细粒度的可信防御。

很多企业数字化转型的过程中，使用了零信任的手段，主要是提升安全性和体验感，比如采用基于移动端的推送或者刷脸、指纹等新型的验证方式。

关于零信任的落地总结：

第一，与传统的纵深防御体系没冲突，而是互补和增强。

第二，即使是在云上，仍然是以同样的安全模型去构建。

第三，我们认为零信任除了安全性提升，一定要兼顾用户体验。如果用户觉得用了零信任产品方案后，比原来还麻烦，那落地时会遇到阻力。因为安全性提升是很难体验到的，但是使用体验是直观的。

 

于江：特别认同您最后这个观点，一直以来安全性和用户体验其实都是有点矛盾的关系。零信任产品想要创造商业价值，那买单者到底是谁？这些人为什么会买单？比如有的用户是为了合规，有的用户是为了商业价值，从芯盾时代近几年的零信任客户来看，他们有什么样的特点？

陈曦：一方面，要梳理零信任适合的应用场景有哪些；另一方面，对客户做画像，评估客户实施零信任的路径和阶段，选择适合的场景进行切入。

我们梳理了5大类适合零信任落地的场景：

第一类是业务系统的安全访问，包括企业的员工访问企业资源、数据中心时是在企业内或是在企业外，是用自己的设备或是企业受控设备，这些场景都会有细粒度的、动态自适应的安全访问控制的要求；还有员工访问互联网上的资源时，传统的上网行为管理可以融合到这类场景中，但如果希望有更细粒度的行为审计、行为实时控制、数据安全等需求，就需要零信任；还有第三方人员访问企业资源，比如合作伙伴在企业外部使用的自有设备（外包场景），怎么去控制对代码和数据的访问权限；再有特权运维，如何加强对企业设备及数据资产的访问控制。

第二类是监管合规，比如安全演练、等保等，尤其是在攻防演练的场景下，大家就特别想把零信任里面的资源隐身的能力发挥出来，红军扫描时发现不了，就算发现了，访问有层层关卡的把控和防护。

第三类是服务网格的场景，类似于流量的防护，微隔离就可以纳入到零信任中作为一种实现技术和产品的品类。微隔离会把服务器与服务器之间的访问流量打上tag或lable，相当于为流量加上了身份，从哪台机器、哪个业务系统、哪个应用来，要去访问谁，这也是一种控制过程。

第四类是数据的交换，典型的就是云对云、系统对系统、API对API，或者系统对API的场景。传统做API的防护，更多的是基于一个有时效性的token，服务提供方对调用方做API鉴权。现在零信任理念运用到这类场景上，还可以增加对设备、环境、IP、访问时间等多维度的访问上下文校验，粒度会更细。但是在这个过程中，不一定向公众开放，更适合企业与企业之间，或者内部多地研发协同的情况，这种情况下设备更可控。

第五类是对现有基础设施安全的增强、优化和体验提升。我特别认同一个观点就是零信任在国内落地的时候不要一上来就颠覆传统的设备和产品，而是要先去想哪些可以增强。比如说我们碰到的一个高校的案例，当时背景是攻防演练，原VPN只有用户名、密码校验，大量的学生和教职工存在密码共用和弱密码的问题；另外学生毕业和新生入学等管控过程非常复杂，也存在很大隐患。虽然零信任的技术手段完全可以替代VPN，但我们并不建议直接给用户做完整替代的方案，且客户对效果也有一定疑虑，因此我们先给用户做的是增强身份认证。

以上5类场景，细分下来很多点可以运用零信任去做安全性和用户体验的改善、提升。

零信任怎么落地会更好，让客户更容易接受，更能见到效果，更匹配他的需求呢？我们的建议是：别上来就全盘否定已有，别上来就想做大而全的改动，一定要结合需求、兼顾体验，为客户提供一套匹配其当下业务需求和未来发展需要的方案。

于江：现在客户对于零信任的接受度怎么样？

陈曦：客户对零信任的需求是不一样的，有的客户就是想改善体验，有的客户就是觉得密码很麻烦，有的觉得现有的安全性还不够，有的想在日常和攻防演练中有更好的表现，还有的客户就是想追赶热度。我们会看客户是想长期来做，还是想浅尝辄止，要先给用户做画像，切实的评估需求和背后真正的驱动力，如客户痛点、当前IT环境、安全水平、安全建设的状态、未来的规划、预算水平等，及以后如何持续运营都要搞清楚，做好第一步的评估。

我们会先给一些大型企业、银行、运营商合作伙伴做一个微咨询，再做规划。零信任在客户的落地是分步骤实施的，我们有一套已经充分验证过的落地方法论，包括能力的建设、场景的选点、实施的路径。

首先选既容易落地又容易出效果的点，匹配客户当前的预算水平和目前安全建设和运营水平，以微创甚至无创的“手术”来叠加服务，增强客户的落地意愿。

于江：也就是说你们会给客户先提供一个零信任的解决方案，能介绍一下现在咱们零信任解决方案的组件么？

陈曦：零信任解决方案底层是按照客户规模去做的用户画像，以场景为切入的基础指导思想，细化下来，我们认为零信任落地至少要有5方面的核心能力：

第一是可信的身份识别，因为零信任是以身份为边界的；

第二是全域的风险感知能力，包括对业务流程、业务访问以及当前环境等方方面面安全风险的感知能力；

第三是动态的自适应的访问控制能力——发现风险是一方面，你还要能及时处置；

第四是在资源的安全访问上能不能做到对资源细粒度的保护，即怎么实现边界微粒化和贴身化；

第五是持续的信任评估，风险感知是把数据采上来，能不能实时并相对准确的评估出当前的风险，需要基于大数据和人工智能等技术手段解决。

上面这5方面能力，我觉得是企业全面落地零信任方案时，需要去逐步建设的。

 

于江：那我们现在方案中有哪些模块是可以供客户选择的呢？如果我们希望帮助客户构建一个完整的零信任体系，可能会涉及到终端、数据、微隔离，甚至还包括威胁管理等，我们怎么去解决这个问题？

陈曦：芯盾时代零信任业务安全解决方案框架从规范上来讲，分为了三层：控制平面、数据平面和管理平面。

从独立提供的产品上来讲，包含这几块（如图），其中客户端的产品中包含三个安全组件：安全Agent、安全浏览器、安全沙箱；还有两个独立的网关产品，一个是应用网关，一个是API网关；下面的组件都是为了配合上面这些能力来做的，更多的是控制层面和管理层面的。值得注意的是，这些组件都是可选的，不必要全部部署。

如有的客户已经有了EDR，就可以整合客户已有的EDR实时同步安全风险信息，在后台做控制。如果客户没有，可以把我们的EDR产品和客户端整合为一体部署在客户的端点设备上。

于江：如果某一个客户想做零信任，想要参考芯盾时代的方法论，根据您刚才说的几步法，能完整的建议一下么。

陈曦：我们之所以提出零信任分步骤实施的方法论，其实就是为了解决零信任所谓的落地难问题。

这个方法论有几个阶段的划分：

首先选择场景落地点，前面有提到尽量切入效果显著、可以提升业务体验的点；

第二就是考虑能力建设，能力建设和场景落地相辅相成，客户把设备、用户、网络身份等各种资产全面身份化，形成统一的身份管理和身份标识，把统一身份管理和认证平台构建起来。

在这之后，就可以考虑资源安全访问方面，比如说对后端资源的隐藏， API、数据、服务器在运维场景的资源控制，这时候的安全防护更偏静态化。与此同时，可以做风险采集，甚至管控，比如说安全基线的检测，虽然也比较固有化没有那么灵活和动态，但至少达到了等级提升的目的，让客户的资源访问安全级别变得更高。

再往下一个阶段演进，就可以考虑动态防控的执行，就是开始提到的CARTA-基于访问的上下文多种因素和属性做策略的动态调整。

再下一个阶段就是全域的风险感知能力，把全面的风险感知建设起来，由模型对风险进行逐一判断，整体评估当前的风险状态，并且采用相应的控制措施。

在此，我很想借助数说安全的平台跟大家同步一个观点，就是“企业内的人员不一定是安全的”。当设备身份是正确的时候，敏感性的人为操作也需要能识别出来，比如连续的文件下载、大量的文件和数据查阅、设备的冒用等，需要进行一系列行为序列上的分析。这可以借助生物探针的技术，去分析更细微和更难以发现的风险。通过在事中阶段做风险判断和处置，在事后进行审计和挖掘，尽量覆盖更多风险场景和问题。特别是在事后阶段，可以通过历史数据的挖掘，发现违规行为模式和状态，为后续安全运营的策略设置提供建议。

最后就是全面的可视化和自动化，以机器学习和大数据等技术手段，主动挖掘和发现未知风险、做安全策略的动态和自进化式的调整。

大体来讲就是这样的一个建设过程，但是方案到底是否满足客户需求，就要对客户需求进行评估，与客户一起探讨，做交互和咨询，再得出最终的规划和方案。