德爾塔毒株的出現(xiàn)打破了中國成千上萬人原本穩(wěn)步恢復(fù)的工作和生活，使得許多企業(yè)只能回到在家辦公的模式。許多學(xué)校，尤其是在出現(xiàn)疫情的地區(qū)的學(xué)校都發(fā)布了推遲秋季開學(xué)的通知。事實(shí)上，遠(yuǎn)程工作應(yīng)用程序已經(jīng)成為繼續(xù)防控疫情和維護(hù)經(jīng)濟(jì)社會(huì)正常運(yùn)行的重要互聯(lián)網(wǎng)工具，其用戶數(shù)量正在迅速增長(zhǎng)。據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的第47次《中國互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》，截至2020年12月，中國遠(yuǎn)程辦公用戶規(guī)模達(dá)3.46億，占網(wǎng)民整體的34.9%。

向遠(yuǎn)程生活的轉(zhuǎn)變使得員工越來越多地將工作設(shè)備用于個(gè)人用途，同時(shí)企業(yè)也提供更多的網(wǎng)絡(luò)訪問，使員工可以在家順利工作。隨著遠(yuǎn)程工作成為常態(tài)，中國有成千上萬人在企業(yè)安全邊界之外通過多個(gè)設(shè)備訪問應(yīng)用程序，使得企業(yè)信息或系統(tǒng)安全遭到破壞的風(fēng)險(xiǎn)大大增加。但是，這些因?yàn)榭稍L問性方面的優(yōu)點(diǎn)而提供網(wǎng)絡(luò)訪問的企業(yè)并不總是知道誰在使用哪些應(yīng)用程序。即使經(jīng)過培訓(xùn)，員工也不一定能識(shí)別老練網(wǎng)絡(luò)罪犯的可疑活動(dòng)。

上述所有這些都令企業(yè)的安全變得搖搖欲墜。為了加強(qiáng)自身安全，更好地保護(hù)自己的數(shù)字資產(chǎn)免于新遠(yuǎn)程辦公世界中出現(xiàn)的威脅和攻擊，企業(yè)應(yīng)實(shí)施零信任策略。零信任安全模式不存在安全與員工應(yīng)用程序訪問便捷性之間的“取舍”，因此適合幾乎所有類型的企業(yè)。

零信任：新現(xiàn)實(shí)中的關(guān)鍵組成部分

零信任是一項(xiàng)簡(jiǎn)單的策略，其核心是古老的最小特權(quán)網(wǎng)絡(luò)安全原則的加強(qiáng)版。但與這個(gè)名字恰恰相反的是，零信任是一項(xiàng)對(duì)員工友好的安全解決方案，因此可以被IT專業(yè)人員和其他員工所接受。

零信任可以真正為各種規(guī)模的企業(yè)提供更好的安全結(jié)果。今年6月中國剛剛通過了《數(shù)據(jù)安全法》，中國企業(yè)被要求改善他們的數(shù)據(jù)保護(hù)實(shí)踐。未能保護(hù)數(shù)據(jù)并導(dǎo)致大規(guī)模數(shù)據(jù)泄露的組織將面臨最高200萬元人民幣的罰款并可能被暫停相關(guān)業(yè)務(wù)。因此，許多企業(yè)已經(jīng)實(shí)施或正在實(shí)施零信任，有些甚至建立了基于零信任安全的新一代遠(yuǎn)程辦公系統(tǒng)。

在最近一些備受矚目的網(wǎng)絡(luò)攻擊中出現(xiàn)了一種明顯的模式——惡意軟件通過網(wǎng)絡(luò)釣魚或由惡意行動(dòng)者利用暴露的服務(wù)器漏洞對(duì)企業(yè)進(jìn)行攻擊。惡意軟件在進(jìn)入后會(huì)在企業(yè)內(nèi)部橫向移動(dòng)，尋找高價(jià)值的目標(biāo)。勒索軟件正是通過這種模式找到可以加密的目標(biāo)，然后索取解密贖金。我們震驚地發(fā)現(xiàn)，全球不乏脆弱和暴露的服務(wù)器，也不乏勒索軟件的受害者。

幸運(yùn)的是，零信任可以在這方面有所作為。零信任的基本理念是確保用戶只能訪問他們需要訪問的應(yīng)用程序，而且必須在經(jīng)過驗(yàn)證和授權(quán)之后才能訪問。事實(shí)上，在采取零信任策略的情況下，用戶在經(jīng)過驗(yàn)證并被授予訪問權(quán)限之前無法訪問應(yīng)用程序，因此不會(huì)暴露應(yīng)用程序。在零信任威脅保護(hù)下，用戶會(huì)被自動(dòng)阻止訪問釣魚網(wǎng)站或惡意軟件分發(fā)網(wǎng)站，而惡意軟件會(huì)被自動(dòng)阻止訪問其命令和控制。通過這些基本機(jī)制，零信任使惡意軟件更難進(jìn)入或傳播。

零信任的核心是非常嚴(yán)格的訪問控制，能夠確保只向經(jīng)過驗(yàn)證和授權(quán)的用戶授予訪問權(quán)限，而且只用于必要的用途。盡管該策略的名稱是“零信任”，但它并不嚇人。這個(gè)概念十分簡(jiǎn)單，可以被認(rèn)為是一種添加了環(huán)境變量的最小權(quán)限訪問形式。

零信任網(wǎng)絡(luò)訪問“名不副實(shí)”

盡管零信任并不復(fù)雜并且可以被看作是最小權(quán)限訪問這一古老安全原則的加強(qiáng)版，但其實(shí)兩者并不相似。事實(shí)上，它與最小權(quán)限訪問最顯著的區(qū)別之一在于零信任基于應(yīng)用程序訪問，而不是網(wǎng)絡(luò)訪問。了解網(wǎng)絡(luò)訪問和應(yīng)用程序訪問之間的區(qū)別至關(guān)重要。

傳統(tǒng)的企業(yè)應(yīng)用程序訪問基于網(wǎng)絡(luò)訪問。您需要在企業(yè)網(wǎng)絡(luò)上才能訪問企業(yè)應(yīng)用程序。如果您在企業(yè)的某幢辦公大樓里，那么您就會(huì)連接該企業(yè)的Wi-Fi網(wǎng)絡(luò)或以太網(wǎng)并且可能還需要通過一個(gè)額外的網(wǎng)絡(luò)訪問控制（NAC）步驟。如果您在其他地方，那么您將使用虛擬私人網(wǎng)絡(luò)（VPN）。無論哪種方式，都會(huì)有某種形式的驗(yàn)證和授權(quán)允許您在企業(yè)網(wǎng)絡(luò)上訪問。此時(shí)，如果您有較高的權(quán)限，就可以訪問企業(yè)的應(yīng)用程序。

但這種伴隨著網(wǎng)絡(luò)訪問的高級(jí)權(quán)限也會(huì)給您帶來不需要的額外功能。具體而言，您可以看到該網(wǎng)絡(luò)連接的每個(gè)應(yīng)用程序。您可能無法登錄到每一個(gè)這樣的應(yīng)用程序，但可以看到它們。也就是說，您可以將數(shù)據(jù)包發(fā)送給它們。這個(gè)區(qū)別十分重要。如果您能看到一個(gè)應(yīng)用程序，您就可以讓它執(zhí)行代碼（例如顯示登錄屏幕或啟動(dòng)一些其他形式的登錄挑戰(zhàn)）。如果您能讓它執(zhí)行代碼，您就可以利用漏洞。

這明顯違反了最小權(quán)限原則。您需要訪問某些應(yīng)用程序，但無需看到其他應(yīng)用程序，更不用說掃描網(wǎng)絡(luò)漏洞。零信任通過使用基于應(yīng)用程序的訪問模式來解決這個(gè)問題。

通過零信任訪問，用戶和應(yīng)用程序之間不存在直接路徑，所有訪問均通過代理進(jìn)行。一般情況下，零信任訪問作為一種服務(wù)提供，代理位于多個(gè)互聯(lián)網(wǎng)地點(diǎn)。這樣，用戶只需要連接互聯(lián)網(wǎng)，而不需要連接企業(yè)網(wǎng)絡(luò)。

即使在遠(yuǎn)程訪問的情況下，也不需要VPN。當(dāng)用戶試圖連接一個(gè)應(yīng)用程序時(shí)，他們會(huì)被轉(zhuǎn)到這些代理之一。只有在代理對(duì)用戶進(jìn)行認(rèn)證并確定用戶被授權(quán)使用該應(yīng)用程序后，它才會(huì)建立與該應(yīng)用程序的前向連接并允許用戶與該應(yīng)用程序進(jìn)行通信。

我們現(xiàn)在已了解基于網(wǎng)絡(luò)的傳統(tǒng)訪問模式和基于應(yīng)用程序的零信任訪問模式之間的明顯區(qū)別。在基于網(wǎng)絡(luò)的訪問中，應(yīng)用程序被暴露在網(wǎng)絡(luò)中（無論是整個(gè)互聯(lián)網(wǎng)還是企業(yè)網(wǎng)絡(luò)），因此對(duì)任何可能需要訪問的人都是可見的。相反，在基于應(yīng)用程序的訪問中，應(yīng)用程序是不可見的，只有確實(shí)需要訪問的人在經(jīng)過驗(yàn)證和授權(quán)后才能看見應(yīng)用程序。

為什么需要在邊緣部署零信任

在這個(gè)用戶、威脅和應(yīng)用程序無處不在的時(shí)代，所有流量都必須通過一個(gè)可靠的安全堆棧。但回傳流量會(huì)破壞性能，而且回傳攻擊流量會(huì)造成更大的破壞。那么我們?nèi)绾卧诓贿M(jìn)行回傳的情況下實(shí)現(xiàn)這一目標(biāo)？答案是部署零信任安全并將其作為一項(xiàng)邊緣服務(wù)提供。

在深入研究傳統(tǒng)部署模式時(shí)，我們應(yīng)首先考慮員工訪問基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用程序這一情況。此類應(yīng)用程序可能是工作所需的SaaS應(yīng)用程序，也可能是在工作環(huán)境中使用或者用于個(gè)人活動(dòng)的網(wǎng)絡(luò)應(yīng)用程序。為了確保這些流量的安全，我們需要一個(gè)安全網(wǎng)絡(luò)網(wǎng)關(guān)（SWG）。

SWG可確?？山邮艿氖褂谜叩玫綀?zhí)行，員工不會(huì)意外嘗試訪問釣魚網(wǎng)站，惡意軟件不會(huì)被下載到員工的設(shè)備上等等。SWG是安全堆棧的一個(gè)重要組成部分，而在強(qiáng)大的網(wǎng)絡(luò)安全態(tài)勢(shì)下，所有對(duì)基于互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用程序的訪問都要經(jīng)過SWG。

問題在于在傳統(tǒng)的SWG部署模式中需要進(jìn)行回傳，SWG作為設(shè)備或虛擬設(shè)備部署在一個(gè)或少數(shù)幾個(gè)地點(diǎn)。如果幾乎所有員工都在一個(gè)或少數(shù)幾個(gè)辦公地點(diǎn)工作，那就可以選擇讓這些SWG地點(diǎn)位于這些辦公室內(nèi)或附近，這樣就不需要進(jìn)行回傳。

但由于員工經(jīng)常遠(yuǎn)程工作并且一般通過遠(yuǎn)程訪問VPN，所以流量必須回傳到SWG。這會(huì)破壞性能并帶來其他擴(kuò)展挑戰(zhàn)。此外，SWG并不是安全堆棧的唯一重要組成部分。在強(qiáng)大的網(wǎng)絡(luò)安全態(tài)勢(shì)下，所有流量都必須接受訪問控制和檢查，而不僅僅是那些通過SWG的互聯(lián)網(wǎng)流量。該要求是零信任的一個(gè)基本原則。

回傳流量破壞性能

在零信任安全態(tài)勢(shì)下，所有流量都需要通過安全堆棧；而在傳統(tǒng)部署模式下，該要求會(huì)迫使回傳流量及其所有相關(guān)問題。回傳不但成本高昂并且會(huì)破壞性能，而且當(dāng)其中一些流量被攻擊時(shí)，情況會(huì)變得更糟。

處理攻擊流量是安全堆棧的功能之一。在流量到達(dá)安全堆棧之前，我們不知道哪些流量是攻擊流量。回傳攻擊流量只是給了它更多的機(jī)會(huì)與網(wǎng)絡(luò)鏈接和設(shè)備互動(dòng)，而這反過來也給了它進(jìn)行破壞的機(jī)會(huì)，例如破壞關(guān)鍵的上游鏈接并使整個(gè)安全堆棧無法訪問。

當(dāng)安全問題被部署在邊緣時(shí)的回傳

那么我們應(yīng)該怎么做呢？與其將流量回傳到安全堆棧，不如將安全堆棧部署在流量所在的邊緣。在這種模式下，一個(gè)完整的零信任安全堆棧可以作為一項(xiàng)服務(wù)在邊緣基礎(chǔ)設(shè)施上運(yùn)行。由于安全堆棧位于邊緣，因此它靠近在任何地點(diǎn)工作的用戶/員工，無論他們是在辦公室、家中還是在路上工作。同樣，它還靠近被部署在任何位置的應(yīng)用程序，無論它們是在數(shù)據(jù)中心、云端，還是在其他位置。

靠近用戶和應(yīng)用程序的邊緣正是安全堆棧的“用武之地”——這里是流量所在，不需要回傳。此外，安全堆棧還靠近位于邊緣的任何攻擊者，比如被破壞的企業(yè)設(shè)備或蠕蟲，因此可以在攻擊流量有機(jī)會(huì)造成任何破壞之前在源頭阻止它。

結(jié)語

隨著企業(yè)繼續(xù)面臨更加先進(jìn)和惡性的網(wǎng)絡(luò)威脅，同時(shí)還需要管理遠(yuǎn)程工作團(tuán)隊(duì)，與一個(gè)值得信賴的網(wǎng)絡(luò)安全合作伙伴合作可以為企業(yè)提供實(shí)現(xiàn)完整零信任安全架構(gòu)的工具，從而在新的辦公世界取得成功。鑒于上述這些優(yōu)點(diǎn)以及目前市場(chǎng)上產(chǎn)品的成熟度，在向后疫情時(shí)代邁進(jìn)時(shí)，您沒有理由不使用零信任解決方案來保護(hù)您的企業(yè)。

Akamai執(zhí)行副總裁&首席技術(shù)官 

Robert Blumofe博士