零信任概念的提出，徹底顛覆了原來基于邊界安全的防護模型，近年來受到了國內外網絡安全業(yè)界的追捧。所謂零信任顧名思義就是“從不信任”，那么企業(yè)是否需要摒棄原有已經建立或正在搭建的傳統(tǒng)基于邊界防護的安全模型，而向零信任安全模型進行轉變呢？零信任是企業(yè)安全建設中必須經歷的安全防護體系技術革新，但它必然要經歷一個長期探索實踐的過程。

　　一、零信任的主要安全模型分析

　　云計算和大數據時代，網絡安全邊界泛化，內外部威脅越來越大，傳統(tǒng)的邊界安全架構難以應對，零信任安全架構應運而生。作為企業(yè)，該如何選擇“零信任”安全解決方案，為企業(yè)解決目前面臨的安全風險？

       目前“零信任”安全模型較成熟的包括安全訪問服務邊緣（SASE）模型和零信任邊緣（ZTE）模型等。以這兩種模型為例，首先要先了解目前模型的區(qū)別，探討各自的發(fā)展趨勢，再選擇適合企業(yè)的落地實施方案。

       對 SASE 模型，身份驅動、云架構、支撐所有邊緣以及網絡服務提供點（PoP）分布是其主要特征。SASE 模型擴展了身份的定義，將原有的用戶、組、角色分配擴展到了設備、應用程序、服務、物聯(lián)網、網絡邊緣位置、網絡源頭等，這些要素都被歸納成了身份，所有這些與網絡連接相關聯(lián)的服務都由身份驅動。與傳統(tǒng)的廣域網不同，SASE 不會強制將流量回傳到數據中心進行檢索，而是將檢查引擎帶到附近的 PoP 點，客戶端將網絡流量發(fā)到 PoP 點進行檢查，并轉發(fā)到互聯(lián)網或骨干網轉發(fā)到其他 SASE 客戶端，從而消除網絡回傳所造成的延遲。SASE 可提供廣域網和安全即服務（SECaaS），即提供所有云服務特有的功能，實現(xiàn)最大效率、方便地適應業(yè)務需求，并將所有功能都放置在 PoP 點上。

       SASE 模型的優(yōu)點在于能夠提供全面、靈活、一致的安全服務 , 同時降低整體安全建設成本，整合供應商和廠家的資源，為客戶提供高效的云服務。通過基于云的網絡安全服務可簡化 IT 基礎架構，減少 IT 團隊管理及運維安全產品的數量，降低后期運維的復雜性，極大地提高了工作效率。SASE 模型并利用云技術為企業(yè)優(yōu)化性能、簡化用戶驗證流程，并對未授權的數據進行保護。

       SASE 模型強調網絡和安全緊耦合，網絡和安全同步建設，為正在準備搭建安全體系的企業(yè)提供了較為理想的路徑。反之，已經搭建或正在搭建安全體系過程中的企業(yè)，如果要重構企業(yè)網絡結構，是個極大的挑戰(zhàn)，也是一筆不小的投入。所以，SASE 模型可能更適用于面對終端用戶的零售行業(yè)，為這類企業(yè)提供完整的安全服務，不需要企業(yè)在每一個分支節(jié)點上搭建一整套安全體系，便于統(tǒng)一管理并降低建設成本。

      ZTE 模型的重點在零信任。一是數據中心零信任，即資源訪問的零信任，二是邊緣零信任，即所有邊緣的零信任訪問安全。其實可以理解為SASE 模型納入了零信任的模塊，本質上是一個概念。ZTE 模型強調網絡和安全解耦，先解決遠程訪問問題，再解決網絡架構重構問題。

　　二、華潤醫(yī)藥商業(yè)集團零信任的實踐

　　華潤醫(yī)藥商業(yè)集團有限公司（以下簡稱“公司”）作為華潤下屬的大型醫(yī)藥流通企業(yè)，在全國分布百余家分子公司，近千家藥店，日常業(yè)務經營都離不開信息化基礎支撐，所以網絡安全工作尤為重要。近年來各央企在網絡安全建設方面均積極響應國家號召及相關法律法規(guī)要求，完善網絡安全防護能力，公司同樣十分重視網絡安全建設，目前同國內主流安全廠商合作，建立了以態(tài)勢感知為核心，貫穿邊界與終端的縱深防御體系，并通過連續(xù)兩年參與攻防演練，不斷提升網絡安全人員專業(yè)水平，通過攻防實戰(zhàn)進一步優(yōu)化網絡安全建設。

      但公司在涉及云計算、大數據、物聯(lián)網等技術領域時，現(xiàn)有的網絡邊界泛化給企業(yè)帶來的安全風險不可控，傳統(tǒng)的基于邊界的網絡安全架構和解決方案難以適應現(xiàn)代企業(yè)網絡基礎設施，而零信任能夠有效幫助公司在數字化轉型中解決難以解決的問題。

      公司選擇了 SASE（安全訪問服務邊緣）和ZTE（零信任邊緣）兩種模型并行的解決方案為企業(yè)摸索“零信任”網絡安全架構推進的方向。

       公司分支企業(yè)眾多，幾乎覆蓋全國范圍，存在安全管控難、處置難、安全性低、資源靈活性差等問題，并缺少整體統(tǒng)一的長效運營機制。基于以上問題，公司參考了 SASE 模型的解決方案，將原有的傳統(tǒng)廣域網鏈接數據中心的訪問形式變?yōu)镻oP 點廣域網匯聚的網絡架構方案，由統(tǒng)一的運營服務商提供網絡鏈路及全面的安全服務。但并不是完全重構原有的網絡架構，而是分為三類情況使用不同的方案。

        第一類是改變網絡安全管理方式，主要針對區(qū)域公司。由于大部分區(qū)域公司已經搭建了相對成熟的安全體系，只將原有的傳統(tǒng)廣域網鏈路改為就近接入運營商 PoP 點，并將原有的雙線冗余線路的備用線路使用軟件定義廣域網（SD-WAN）技術進行替換，并通過服務質量（QoS）機制將主營業(yè)務與辦公業(yè)務進行合理切分，大大提高了網絡使用效率，降低費用成本，并且可以通過統(tǒng)一的管理平臺對廣域網進行管理，統(tǒng)一下發(fā)配置安全策略，提高整體安全管控和處置。

        第二類是逐層匯聚、分層管理，主要針對二、三級分支機構。這類單位安全體系雖已建設，但還未達到較高的程度，通過就近接入 PoP 點或匯聚到區(qū)域公司，由運營商提供部分安全服務或由區(qū)域公司進行統(tǒng)一管控。

        第三類主要針對零售門店及小型分支機構這類沒有能力搭建安全體系的單位。使用 SD-WAN 安全接入方案就近接入 PoP 點，由運營商提供整體的安全服務，從而降低安全建設成本并加強統(tǒng)一安全管控。通過 SASE 模型的管理理念對網絡架構進行調整，提供全面、一致的安全服務 , 同時降低整體安全建設成本，提高工作效率。

       近兩年，公司辦公受新冠疫情的影響，員工居家辦公成為常態(tài)化。作為虛擬專用網絡（VPN）產品的使用“大戶”，公司原有的 VPN 賬戶眾多 ,傳統(tǒng) VPN 在使用過程中已經難以滿足當前業(yè)務的需求，一些問題逐漸暴露，經常出現(xiàn)不同程度的安全風險。傳統(tǒng) VPN 架構存在很多問題，如權限基于角色固定分配，不夠靈活，在業(yè)務生成中及重保等特殊時期，粗放的權限管控無法達到對不同角色的業(yè)務人員及非法人員的訪問控制。業(yè)務端口暴露在公網，本身即存在賬號冒用、惡意掃描、口令爆破等安全隱患。公司總部負責 VPN 業(yè)務運維，涉及下級單位 VPN 問題均需要總部人員處理，諸如找回賬號密碼等細微而繁瑣的問題占用了總部人員大量時間和精力。不同終端、瀏覽器對于傳統(tǒng) VPN 客戶端的兼容性不同，兼容性問題也是經常被員工吐槽的地方。在 VPN 使用中，基于互聯(lián)網的加密訪問經常因為網絡原因出現(xiàn)業(yè)務卡頓甚至掉線問題。

       為此，公司參考了 ZTE 模型的解決方案，首先解決遠程訪問問題。公司于 2021 年進行了零信任安全建設試點，以零信任理念為指導，結合深信服軟件定義邊界（SDP）架構的零信任產品，構建了覆蓋全國辦公人員的零信任遠程辦公平臺。

       SDP 架構的零信任產品，對訪問連接進行先認證、再連接，拒絕一切非法連接請求，有效縮小暴露面，避免業(yè)務被掃描探測以及應用層分布式拒絕服務攻擊（DDoS）。通過單包認證（SPA）授權安全機制實現(xiàn)業(yè)務隱身、服務隱身，保護辦公業(yè)務及設備自身。對于沒有安裝專有客戶端的電腦，服務器不會響應來自任何客戶端的任何連接，無法打開認證界面及無法訪問任何接口。具備自適應身份認證策略，異常用戶在異常網絡、異常時間、新設備訪問重要敏感應用或數據時，零信任平臺強制要求用戶進行二次認證、應用增強認證，確保用戶身份的可靠性。

       零信任的試點應用，提升了公司的網絡安全性，簡化了運維。但基于公司現(xiàn)狀及規(guī)劃，試點工作還需進一步同廠商進行下一步的工作落地和探索。在使用體驗優(yōu)化方面，由于 SDP 架構的數據轉發(fā)鏈更多，零信任與 VPN 使用流暢度上差異不大，在用戶使用體驗方面需要進一步優(yōu)化。零信任安全體系需要全面支持互聯(lián)網協(xié)議第 6 版（IPV6），依據相關政策要求，需要進行 IPV6 業(yè)務改造，通過零信任對外發(fā)布的業(yè)務將優(yōu)先進行改造。零信任安全體系需要支持內部即時通訊，將零信任產品進一步同公司現(xiàn)有辦公平臺進行對接，實現(xiàn)身份、業(yè)務的統(tǒng)一管理，實現(xiàn)單點登錄。公司零信任安全體系建設的下一步工作，是將公司現(xiàn)有安全體系建設進一步與零信任產品體系打通，實現(xiàn)數據互通，進一步提高管理信息化中的安全可靠性。

　　三、結語

　　零信任安全架構對傳統(tǒng)的邊界安全架構模式重新進行了評估和審視，并對安全架構給出了新的建設思路。但零信任不是某一個產品，而是一種新的安全架構理念，在具體實踐上，不是僅在企業(yè)網絡邊界上進行訪問控制，而是應對企業(yè)的所有網絡邊緣、身份之間的所有訪問請求進行更細化的動態(tài)訪問控制，從而真正實現(xiàn)“從不信任，始終驗證”。