以身份为中心的零信任安全是什么？

今天我们就来说说近期圈内的安全热点——以身份为中心的零信任安全。

什么是“零信任”？

顾名思义，零信任就是零信任，“从不信任，总是验证”（Never Trust）。

零信任的核心思想是网络内外的任何人、设备、系统都不应被默认信任，需要基于认证和授权来重构访问控制的信任基础。

零信任从何而来？

传统IT网络安全基于城堡和护城河的概念，以“边界”为核心，即默认信任内部网络，内部网络上的一切都有访问权限，只防御来自外部的威胁。外部网络，如部署防火墙、WAF、IPS等。

然而，在全球数字化浪潮下，随着越来越多的企业将数据和信息分散存储在多个云上，并且随着自带设备（BYOD）和移动办公的普及，内外部网络的界限逐渐模糊，而更高级的组织的攻击，可以轻松突破边界，进入内部网络，如同进入无人之地一样肆虐。

另外，俗话说“家贼日夜防护也难防”。 内网用户发起的攻击难以防范，造成的损失日益严重。

在这种情况下，传统的安全防护架构逐渐失效。

企业无法基于传统的物理边界构建安全护城河。 构建新的安全边界防护思维和方法成为破局的关键。

这就是零信任安全架构（Zero Trust）的诞生。

零信任通过识别、访问控制和跟踪人员、终端和系统来实现全面的身份，创建以身份为中心的新边界。

事实证明，这个新的边界可以有效防止数据泄露。 IBM 最近赞助的一项研究发现，数据泄露的平均成本超过 300 万美元。 那么企业为什么不应该这样做呢？

零信任的核心思想和原则是：

以身份为中心

用户、设备、应用程序、接口都需要有一个唯一的“ID”，必须经过身份验证和授权后才能通过。 例如，进出军营时需要出示令牌ID。

最小权限访问

仅向用户提供他们所需的最低访问权限。 同上，在军营中，为了防止军机泄密，将军只会让普通士兵掌握最基本的信息。

微隔离单独接入

安全边界被划分为小区域，网络的不同部分保持单独的访问。 例如，一个军营被划分为多个区域。 A区士兵未经单独授权不得进入其他营地。

持续评估，动态信任

持续监控用户访问行为并进行信任评估，动态控制和扩大用户的最低访问权限。 如果小苏士兵表现良好，长期值得信赖，就可以给他分配更多的任务，并允许他有更广泛的出入军营的机会。 但是，一旦发现他的行为异常，他的权威就会再次降低。

业务安全访问服务隐藏在可信访问网关后面，仅对合法用户/设备可见。 只有小苏获得了信任和一定的权威，才能真正接触到使命。

零信任提高了访问的灵活性、敏捷性和可扩展性，同时也避免了数字服务直接暴露于网络，降低了受到攻击的风险。 它被视为提高企业数字服务和网络整体安全性的有效手段。

目前，零信任安全需求正在迅速普及。 联合发布的《2019零信任安全市场普及行业报告》指出，78%的IT安全团队希望未来应用零信任架构。 《零信任接入指南》还认为，到2022年，向生态合作伙伴开放的新型数字商业应用中，80%将通过零信任网络进行访问，到2023年，60%的企业将使用零信任取代大部分远程访问虚拟网络。专用网络（VPN）。 目前，全球各大厂​​商均已展开这方面的技术探索和布局。

值得注意的是，2019年提出了比零信任更高维度的SASE模型（Edge，安全访问服务边缘）。 SASE的理念是将SD-WAN、零信任、安全Web网关、边缘计算等安全能力集成到云交付网络中，保证随时随地、任意终端和边缘的安全连接和访问。

目前，网宿已在SASE前沿领域取得突破。

网宿发布的零信任企业安全接入产品就采用了这种模式——基于“零信任”安全体系的企业级接入安全产品。 以身份认证和动态信任为核心，集风险感知和权限控制于一体。 、传输加速等功能集成，解决企业资源全场景安全访问需求，打造更安全、更简单、更快捷的企业级远程办公环境。

未来，随着“新基建”的加速推进，数字化在各行各业的渗透将不断深化，零信任的需求也将不断扩大。

网宿将依托强大的边缘智能安全平台，始终站在技术前沿，持续围绕客户需求进行技术创新和产品优化，为世界创造流畅、安全的网络体验。