零信任應(yīng)該更便宜

　　作為一種新的網(wǎng)絡(luò)安全范式，零信任被全球熱捧的主要原因之一，就是可以更省錢(qián)。相較于傳統(tǒng)的基于攻防對(duì)抗的亡羊補(bǔ)牢式的網(wǎng)絡(luò)安全范式，零信任將工作重點(diǎn)轉(zhuǎn)向構(gòu)建起精細(xì)化的最小權(quán)限的網(wǎng)絡(luò)結(jié)構(gòu)。這樣做從成本角度看有兩個(gè)明顯的影響：

　　（一）從無(wú)限螺旋轉(zhuǎn)為有限收斂

　　基于攻防的網(wǎng)絡(luò)安全，就像是永無(wú)止境的貓鼠游戲，Tom總在嘗試抓住Jerry，Jerry永遠(yuǎn)有新的逃逸手段，在Tom和Jerry無(wú)休止的追逐博弈中，主人的家被搞得支離破碎。這種無(wú)休止的追與逃的過(guò)程，漸漸的已經(jīng)把用戶(hù)壓得喘不過(guò)氣來(lái)，他們?nèi)找鎱捑肽酥列纳鷳嵟?，這就是美國(guó)為啥要搞零信任的原因。零信任的指導(dǎo)原則就是“以不變應(yīng)萬(wàn)變”。安全管理者，不再花心思研究攻擊者又出啥幺蛾子了，他拒絕成為攻擊者的舞伴。相反，他反過(guò)來(lái)仔細(xì)地研究自己的業(yè)務(wù)需求，以及內(nèi)部用戶(hù)的身份以及行為特征。在了解了這一切之后，他要做到的就是，只有他充分理解，有基于數(shù)學(xué)計(jì)算的信任水平的訪問(wèn)才允許發(fā)生，否則就絕不可以。在這場(chǎng)新的戰(zhàn)役中，管理者首次掌握了戰(zhàn)場(chǎng)主動(dòng)權(quán)，而且他還得到了來(lái)自業(yè)務(wù)團(tuán)隊(duì)與內(nèi)部用戶(hù)的友軍支援。雖然，研究和管理內(nèi)部業(yè)務(wù)也是個(gè)需要成本的過(guò)程，但是理論上這個(gè)過(guò)程是有盡頭的，從局部到整體，從個(gè)人到部門(mén)，從一個(gè)業(yè)務(wù)到全部業(yè)務(wù)，終究是在有限集合里面的可收斂行為，無(wú)限開(kāi)口的預(yù)算轉(zhuǎn)化為有限的投入，這是一次質(zhì)的飛躍，正如美國(guó)聯(lián)邦首席信息官所言：“零信任是隧道盡頭的曙光”。

　?。ǘ墓魧?duì)抗轉(zhuǎn)向攻擊抑制

　　正如古代的武俠小說(shuō)一樣，傳統(tǒng)的網(wǎng)絡(luò)安全行業(yè)往往津津樂(lè)道于攻擊過(guò)程中的高強(qiáng)度對(duì)抗，刀光劍影你來(lái)我往，浪漫而低效。而事實(shí)上，早在春秋時(shí)期，兵圣孫武就提出：“不戰(zhàn)而屈人之兵”、“善戰(zhàn)者無(wú)赫赫之功”的戰(zhàn)略指導(dǎo)原則。當(dāng)戰(zhàn)斗已經(jīng)打響，那么無(wú)論作戰(zhàn)過(guò)程是多么的精彩，其總體成本都是極其高昂的，其總體效果只能是傷敵一千自損八百。

　　相較而言，零信任體現(xiàn)了更為先進(jìn)的戰(zhàn)略理念，它以極強(qiáng)大的體系性戰(zhàn)略?xún)?yōu)勢(shì)，在最大的可能上抑制了攻擊的發(fā)生。零信任首先要做的就是“隱藏”。所謂最小權(quán)限訪問(wèn)，所謂暴露面管理，目的都是隱藏。讓業(yè)務(wù)與數(shù)據(jù)只被盡量少的用戶(hù)看到，甚至就連用戶(hù)在使用過(guò)程中也并沒(méi)有真正“看到”，連“看”都看不到，還怎么攻擊呢。傳統(tǒng)的網(wǎng)絡(luò)安全體系，在網(wǎng)絡(luò)層面上放的極寬，這使得攻擊者很容易看到攻擊目標(biāo)并展開(kāi)攻擊，勝負(fù)完全取決于擋（只是對(duì)抗，但無(wú)法隱藏）在攻擊目標(biāo)前面的安全設(shè)備的能力。而零信任網(wǎng)絡(luò)本身成為了無(wú)法被看穿、無(wú)法被穿透的異次元空間，這使得攻擊完全無(wú)法發(fā)生，正如孫子兵法所言：“善守者，藏于九地之下”。

　　如果隱藏的努力失敗了，零信任下面的努力在于快速發(fā)現(xiàn)與精細(xì)化隔離。零信任發(fā)現(xiàn)攻擊的思路與傳統(tǒng)的攻防對(duì)抗也完全不一樣，攻防對(duì)抗研究的是攻擊本身，那是個(gè)永遠(yuǎn)在變化的對(duì)象，因此研究也永無(wú)止境，成本永遠(yuǎn)在支出。而零信任研究的是業(yè)務(wù)體自身，通過(guò)比對(duì)攻擊與業(yè)務(wù)的區(qū)別來(lái)發(fā)現(xiàn)攻擊。首先業(yè)務(wù)本身是穩(wěn)定的，獲取其特征的成本在攻防兩端極度不對(duì)稱(chēng)，防御者對(duì)它的獲取是一個(gè)完全可以自動(dòng)化無(wú)成本執(zhí)行的過(guò)程（DEVSECOPS負(fù)責(zé)搞這一塊）。其次，業(yè)務(wù)的復(fù)雜性一點(diǎn)也不比攻擊的復(fù)雜性低，這個(gè)復(fù)雜性反過(guò)來(lái)成為攻擊者必須要去對(duì)抗的東西，一下子成本優(yōu)勢(shì)就來(lái)到了防御者一方，所以基于業(yè)務(wù)特征的對(duì)抗要遠(yuǎn)比基于攻擊特征的對(duì)抗便宜得多。而一旦發(fā)現(xiàn)了攻擊的存在，零信任的處置手段是非常精細(xì)化的，因?yàn)榱阈湃伪緛?lái)就要求有最小粒度的數(shù)據(jù)獲取與控制能力，因此在處置的時(shí)候就能做到“微創(chuàng)”、“無(wú)痛”，避免在對(duì)網(wǎng)絡(luò)攻擊進(jìn)行“動(dòng)態(tài)清零”的過(guò)程中形成“次生危害”。

　　綜上，零信任的工作邏輯從攻擊對(duì)抗轉(zhuǎn)向攻擊抑制，進(jìn)一步極大地降低了網(wǎng)絡(luò)安全的總體成本。

　　零信任成本構(gòu)成分析

　　零信任可以極大降低網(wǎng)絡(luò)安全總體成本，但是零信任自身也是需要成本的。對(duì)于零信任理念的探討，在國(guó)內(nèi)外已經(jīng)比較充分了，但是對(duì)于零信任自身成本的探討，還非常少見(jiàn)。這一方面是因?yàn)榱阈湃蔚某晒?shí)踐還較少，給不出太多的數(shù)據(jù)，另一方面也是因?yàn)閺S商對(duì)這塊視為機(jī)密，一直采取三緘其口諱莫如深的態(tài)度，甚至還在有意無(wú)意地塑造“零信任就應(yīng)該花許多錢(qián)”的刻板印象，從而達(dá)成其獲利目的。在這方面，薔薇靈動(dòng)的看法與眾不同，我們認(rèn)為只有讓廣大用戶(hù)明白無(wú)誤地了解零信任的成本構(gòu)成，準(zhǔn)確地了解零信任投入產(chǎn)出的性?xún)r(jià)比，才有可能真正放大國(guó)內(nèi)的零信任市場(chǎng)，加快網(wǎng)絡(luò)安全行業(yè)的零信任轉(zhuǎn)型。因此我們很愿意和大家一起分析下零信任的成本構(gòu)成。

　　零信任項(xiàng)目的目標(biāo)，是實(shí)現(xiàn)對(duì)核心業(yè)務(wù)與數(shù)據(jù)的保護(hù)，要求對(duì)每一個(gè)能訪問(wèn)到業(yè)務(wù)和數(shù)據(jù)的流量都做基于身份的訪問(wèn)控制，一般來(lái)說(shuō)，需要IAM+SDP+微隔離這三大塊。

　　（一）IAM

　　IAM在零信任里作為概念，定位比較清楚，但是作為項(xiàng)目中的產(chǎn)品，就可大可小了，可以展開(kāi)如下：

　　1.1   身份管理系統(tǒng)（必須，不一定花錢(qián)）

　　負(fù)責(zé)身份的全生命周期管理，這塊可以由用戶(hù)系統(tǒng)內(nèi)現(xiàn)存的身份體系來(lái)?yè)?dān)任（比如AD）。一般來(lái)說(shuō)，企業(yè)要經(jīng)營(yíng)，最基本的IT需求就是身份服務(wù)，所以，身份服務(wù)系統(tǒng)的存在是普遍的，當(dāng)然傳統(tǒng)的身份服務(wù)系統(tǒng)能力不那么全，但畢竟可用。

　　1.2   身份安全系統(tǒng)（必須，不一定花錢(qián)）

　　這個(gè)是零信任的基石，傳統(tǒng)身份服務(wù)系統(tǒng)的身份管理能力較強(qiáng)，但身份安全能力較弱，最好有個(gè)獨(dú)立的身份安全系統(tǒng)，去識(shí)別校驗(yàn)身份的可靠性。行業(yè)客戶(hù)一般會(huì)自己采購(gòu)和建設(shè)這套東西，中小企業(yè)有很多免費(fèi)工具可用，比如企業(yè)微信和釘釘。

　　● 1.2.1 身份系統(tǒng)對(duì)接與遷移（不必須，得花錢(qián)）

　　如果你是重新建立了一套新的身份服務(wù)+身份安全系統(tǒng)，一般來(lái)說(shuō)，意味著你需要把過(guò)去的身份體系遷移上來(lái)，或者讓新系統(tǒng)和老系統(tǒng)之間做個(gè)對(duì)接，這個(gè)過(guò)程取決于你的用戶(hù)規(guī)模以及對(duì)接或遷移方案，但無(wú)論如何，這部分成本還是比較可觀的，用時(shí)也較長(zhǎng)，不應(yīng)該被忽視。

　　1.3   基于身份的授權(quán)管理（必須，不一定花錢(qián)）

　　零信任就是面向身份的最小授權(quán)。一般來(lái)說(shuō)，在建設(shè)零信任系統(tǒng)之前，企業(yè)內(nèi)部沒(méi)有這套東西，而這套東西是零信任的核心，所以這個(gè)肯定得弄。這套系統(tǒng)可能在IAM體系里，也可能在SDP或者微隔離體系里，但不管物理上存在在哪里，邏輯上得有這個(gè)東西。如果你除了微隔離和SDP所需資源權(quán)限之外還希望能管理其他權(quán)限，你當(dāng)然需要獨(dú)立買(mǎi)一套授權(quán)管理系統(tǒng)，但如果你就是給SDP和微隔離用的話，建議就別單獨(dú)買(mǎi)了，SDP或者微隔離系統(tǒng)一般都帶這套東西。

　　1.4   單點(diǎn)登錄（SSO）系統(tǒng)（不必須，得花錢(qián)）

　　SSO有兩個(gè)作用，一個(gè)是提升用戶(hù)工作效率，另一個(gè)是提升老業(yè)務(wù)的整體身份安全水平。作用一挺有價(jià)值，但不是零信任的必須，作用二也挺有價(jià)值，但是與SDP沖突。所以，整體看，SSO這個(gè)功能在零信任項(xiàng)目里可有可無(wú)。

　　● 1.4.1 業(yè)務(wù)系統(tǒng)身份驗(yàn)證模塊對(duì)接（不必須，得花錢(qián)）

　　如果選擇了SSO，就有一個(gè)工作必須得做，那就是讓SSO系統(tǒng)與每一個(gè)需要被支持的系統(tǒng)進(jìn)行對(duì)接。這塊取決于你現(xiàn)有的業(yè)務(wù)規(guī)模，以及其標(biāo)準(zhǔn)化程度，當(dāng)然也取決于你選取的SSO系統(tǒng)的兼容性水平。

　　差不多在IAM這塊，零信任需要的預(yù)算就是這些?？偟目?，可以是很多錢(qián)，也可以不花錢(qián)。

　?。ǘ㏒DP

　　按Gartner的理解，IAM只是前提條件，本身不是零信任的一部分。真正的零信任就兩個(gè)東西，一個(gè)ZTNA（也就是SDP），一個(gè)微隔離。SDP主要解決南北向流量問(wèn)題，微隔離解決東西向流量問(wèn)題，兩個(gè)東西在一起就把全部流量都搞完了。

　　2.1   策略管理引擎（必須，得花錢(qián)）

　　零信任是軟件定義的結(jié)構(gòu)，其中策略定義點(diǎn)（PDP）是核心，所以這個(gè)引擎就是SDP最重要，也最值錢(qián)的部分，當(dāng)然得買(mǎi)了。

　　2.2   身份安全系統(tǒng)（不必須，得花錢(qián)）

　　一般來(lái)說(shuō)，SDP應(yīng)該和IAM聯(lián)動(dòng)，這比較符合零信任得理念，但是確實(shí)國(guó)內(nèi)很多用戶(hù)還沒(méi)有IAM系統(tǒng)，所以，國(guó)內(nèi)的一些SDP系統(tǒng)也可以自建身份安全系統(tǒng)，這個(gè)要看用戶(hù)了。我們的建議是最好還是獨(dú)立建設(shè)IAM，然后別忘了讓SDP供應(yīng)商在報(bào)價(jià)時(shí)把這部分系統(tǒng)的能力刨除下去。

　　2.3   終端（必須，得花錢(qián)）

　　SDP有兩類(lèi)，一類(lèi)是基于客戶(hù)端的，這花錢(qián)好理解，但還有一類(lèi)是基于瀏覽器隔離技術(shù)的，原則上不需要客戶(hù)端，但是在購(gòu)買(mǎi)的時(shí)候還是要基于用戶(hù)接入數(shù)量支付費(fèi)用。

　　● 2.3.1 終端安全系統(tǒng)（不必須，得花錢(qián)）

　　國(guó)外的SDP一般在終端安全上采用聯(lián)動(dòng)方案，但國(guó)內(nèi)的SDP很多都有較重的終端安全能力。這塊咋說(shuō)呢，也不是說(shuō)就一定好或者不好。要看用戶(hù)現(xiàn)在有沒(méi)有終端安全，也要看SDP自帶的終端安全能力如何，以及計(jì)算開(kāi)銷(xiāo)怎樣。終端License是SDP采購(gòu)成本中的大頭，而一般用戶(hù)都有一定的終端安全能力（免費(fèi)的或付費(fèi)的），所以如果不必要的話，把終端安全能力砍掉，只保留基本的網(wǎng)絡(luò)能力和身份能力，既降低終端資源開(kāi)銷(xiāo)又省錢(qián)。

　　2.4   網(wǎng)關(guān)（必須，得花錢(qián)）

　　這個(gè)沒(méi)啥說(shuō)的，要做服務(wù)隱藏，要做加密通信這些都需要一個(gè)網(wǎng)關(guān)的存在，而且網(wǎng)關(guān)的能力（比如吞吐、穩(wěn)定性啥的）是SDP系統(tǒng)的核心能力。要說(shuō)省錢(qián)吧，建議最好用虛擬化網(wǎng)關(guān)，因?yàn)橛布懔ζ鋵?shí)很便宜了，網(wǎng)關(guān)虛擬化后，不但不用多付硬件的錢(qián)，而且部署和管理都更加的方便，將來(lái)進(jìn)行資源升級(jí)也很方便（硬件就得重新買(mǎi)了）。

　　2.5   與業(yè)務(wù)系統(tǒng)對(duì)接（必須，得花錢(qián)）

　　SDP要保護(hù)現(xiàn)有業(yè)務(wù)，必須和業(yè)務(wù)系統(tǒng)做對(duì)接，但復(fù)雜度不一樣。一般來(lái)說(shuō)，對(duì)接分為兩塊，一塊是業(yè)務(wù)對(duì)接，一塊是技術(shù)對(duì)接。業(yè)務(wù)對(duì)接指的是讓SDP理解業(yè)務(wù)的訪問(wèn)需求，并基于訪問(wèn)需求設(shè)計(jì)最小權(quán)限策略（這部分是不可免的）。而技術(shù)對(duì)接的成本，要看SDP的具體技術(shù)，多數(shù)SDP產(chǎn)品采用的是七層代理，這就要求和業(yè)務(wù)做HTTP協(xié)議對(duì)接，除了SDP產(chǎn)品要做定制開(kāi)發(fā)，原有的業(yè)務(wù)往往也得做出改動(dòng)，這個(gè)成本較高。而還有的SDP技術(shù)采用的是四層隧道技術(shù)，這就不需要做任何的業(yè)務(wù)對(duì)接了。

　　跟SDP有關(guān)的指出就這些，這塊無(wú)論如何要花些錢(qián)，畢竟這是零信任的核心部分，但根據(jù)方案的不同，成本相差可以很大。

　?。ㄈ┪⒏綦x

　　3.1   引擎（必須，得花錢(qián)）

　　和SDP一樣，策略定義引擎也是微隔離產(chǎn)品的核心，因此需要花錢(qián)。和SDP不一樣的地方是，微隔離引擎的復(fù)雜度要高得多，根據(jù)管理規(guī)模不同，往往要求更大規(guī)格的策略管理引擎。這塊要注意這個(gè)引擎的可擴(kuò)展性（最多能管多少服務(wù)器，是否滿(mǎn)足你的需求）。如果擴(kuò)展性不強(qiáng)，將來(lái)就有可能還得重買(mǎi)，這部分錢(qián)就白花了。

　　3.2   終端（必須，得花錢(qián)）

　　微隔離的控制點(diǎn)在端上，因此這部分也是微隔離體系中不可或缺的部分。

　　● 3.2.1 終端安全（不必須，得花錢(qián)）

　　從國(guó)內(nèi)外的實(shí)踐看，服務(wù)器端終端安全和微隔離基本沒(méi)有什么聯(lián)系，沒(méi)有任何供應(yīng)商，敢基于服務(wù)器端終端安全產(chǎn)生的有很高誤報(bào)率的安全事件進(jìn)行阻斷。另外，服務(wù)器端終端安全往往有較大系統(tǒng)開(kāi)銷(xiāo)，在真正的關(guān)鍵業(yè)務(wù)生產(chǎn)網(wǎng)上部署很少，即使偶有部署的案例，后期往往由于各種問(wèn)題被卸載掉。

　　3.3   業(yè)務(wù)系統(tǒng)對(duì)接（必須，得花錢(qián)）

　　微隔離部署完成后，需要對(duì)業(yè)務(wù)系統(tǒng)的東西向流量進(jìn)行分析，并根據(jù)業(yè)務(wù)構(gòu)成配置微隔離策略，這部分是不可少的。區(qū)別在于，有經(jīng)驗(yàn)的廠商會(huì)讓這個(gè)過(guò)程比較順暢，從而降低實(shí)施成本。

　　以上，就是我們對(duì)零信任項(xiàng)目全部成本構(gòu)成的分析，可以看出來(lái)，零信任的內(nèi)核部分其實(shí)并不大，但可選的技術(shù)模塊較多，根據(jù)用戶(hù)的具體選擇，成本可能有很大的不同。

　　統(tǒng)一微隔離的成本分析

　　統(tǒng)一微隔離是薔薇靈動(dòng)在ZTNA技術(shù)和微隔離技術(shù)的基礎(chǔ)上研發(fā)的新一代零信任產(chǎn)品，可以通過(guò)一個(gè)產(chǎn)品解決用戶(hù)的全部業(yè)務(wù)訪問(wèn)的零信任安全問(wèn)題。在具體實(shí)施統(tǒng)一微隔離項(xiàng)目的過(guò)程中，根據(jù)用戶(hù)的不同技術(shù)選擇，統(tǒng)一微隔離項(xiàng)目的成本也會(huì)有一定的變化，但是，本文的標(biāo)題是“用統(tǒng)一微隔離做零信任可以多便宜”，因此我們將在這個(gè)部分給出一個(gè)投入最少但功能完整的解決方案。

　　（一）背景

　　薔薇靈動(dòng)自己也是家中小企業(yè)，因此我們對(duì)零信任當(dāng)然也是有需求的。而作為一家網(wǎng)絡(luò)安全公司，我們?cè)谡J(rèn)知上對(duì)于很多安全上過(guò)于激（kua）進(jìn)（zhang）的價(jià)值主張一直抱有較深的懷疑態(tài)度。因此薔薇靈動(dòng)在規(guī)劃統(tǒng)一微隔離的時(shí)候，從自身實(shí)際需求、企業(yè)資源限制、以及目前國(guó)內(nèi)外最佳實(shí)踐的多維角度出發(fā)，設(shè)計(jì)出了一套與眾不同，簡(jiǎn)約而不簡(jiǎn)單的產(chǎn)品架構(gòu)。本文要給出的就是我們自己的網(wǎng)絡(luò)安全實(shí)踐。

　?。ǘ臒o(wú)限螺旋轉(zhuǎn)為有限收斂

　　2.1   IAM

　　我們用的是釘釘，其實(shí)企業(yè)微信和飛書(shū)也可以，他們都內(nèi)建了組織架構(gòu)系統(tǒng)，而且都有極強(qiáng)的身份驗(yàn)證能力，最關(guān)鍵的是，他們都是免費(fèi)的。

　　2.2   統(tǒng)一微隔離引擎

　　薔薇靈動(dòng)的統(tǒng)一微隔離兼具ZTNA和微隔離能力，一套引擎干兩套引擎的活，少用一套引擎不說(shuō)，管理、維護(hù)以及算力開(kāi)銷(xiāo)都低了不少。

　　2.3   終端

　　統(tǒng)一微隔離把用戶(hù)終端和數(shù)據(jù)中心終端放在一起來(lái)管理，加起來(lái)部署了幾百個(gè)點(diǎn)吧。

　　2.4   終端安全

　　服務(wù)器端沒(méi)有終端安全，用戶(hù)側(cè)主要依靠免費(fèi)安全軟件。

　　2.5   網(wǎng)關(guān)

　　用兩臺(tái)4核8G虛擬機(jī)搭建起一對(duì)HA統(tǒng)一微隔離網(wǎng)關(guān)。統(tǒng)一微隔離網(wǎng)關(guān)為四層架構(gòu)，因此不需要做業(yè)務(wù)適配，可以對(duì)現(xiàn)存業(yè)務(wù)做完整的防護(hù)。

　　2.6   云端無(wú)網(wǎng)關(guān)

　　這里再介紹一個(gè)薔薇靈動(dòng)的獨(dú)門(mén)絕技。一般來(lái)說(shuō)SDP都是必須要有網(wǎng)關(guān)的，雖說(shuō)薔薇的網(wǎng)關(guān)是虛擬化的，花在算力上的錢(qián)比軟硬一體產(chǎn)品少多了，但是這畢竟也是錢(qián)呀，尤其是考慮到公有云場(chǎng)景，哪怕是建立一個(gè)2核4G的小鏡像，一年也得大幾百的成本。不過(guò)，大家別忘了，薔薇靈動(dòng)是干微隔離出身，我們擁有點(diǎn)到點(diǎn)直接訪問(wèn)控制的能力，因此我們?cè)谠贫司蜎](méi)有部署網(wǎng)關(guān)，而是通過(guò)工作負(fù)載上的終端直接進(jìn)行訪問(wèn)控制，這又省了一筆錢(qián)。

　?。ㄈ┬Ч?/p>

　　3.1   所有業(yè)務(wù)完成身份安全升級(jí)

　　過(guò)去薔薇很多自建業(yè)務(wù)（比如wiki、代碼服務(wù)器、文件服務(wù)器等）甚至都沒(méi)有身份安全的設(shè)計(jì)，有也只是簡(jiǎn)單的用戶(hù)名密碼系統(tǒng)?，F(xiàn)在，所有業(yè)務(wù)的訪問(wèn)都必須經(jīng)過(guò)釘釘系統(tǒng)的身份認(rèn)證，相當(dāng)于一分錢(qián)沒(méi)花，讓這些系統(tǒng)的身份安全都達(dá)到了一個(gè)業(yè)界非常主流的水平上。

　　3.2   所有業(yè)務(wù)系統(tǒng)基于身份做零信任訪控

　　過(guò)去薔薇的業(yè)務(wù)系統(tǒng)的訪問(wèn)控制也是基于IP來(lái)做的，服務(wù)器有一個(gè)固定網(wǎng)段，辦公網(wǎng)有一個(gè)大的網(wǎng)段，通過(guò)開(kāi)源防火墻實(shí)現(xiàn)從辦公網(wǎng)段到服務(wù)器網(wǎng)段的訪問(wèn)控制。現(xiàn)在，已經(jīng)全部實(shí)現(xiàn)基于用戶(hù)身份（角色）到域名的細(xì)粒度訪問(wèn)控制。

　　3.3   域名改造與IP地址隱藏

　　過(guò)去，對(duì)服務(wù)器的訪問(wèn)時(shí)直接面向IP的?，F(xiàn)在，利用統(tǒng)一微隔離的FAKEDNS能力，實(shí)現(xiàn)了域名化改造。不但如此，F(xiàn)AKEDNS還會(huì)對(duì)服務(wù)器IP地址進(jìn)行偽造和隱藏，用戶(hù)通過(guò)DNS解析得到的是個(gè)虛擬IP地址，真實(shí)地址不再可見(jiàn)。而且通過(guò)服務(wù)器上部署的微隔離終端與微隔離網(wǎng)關(guān)之間的策略協(xié)同，使得一切嘗試?yán)@過(guò)網(wǎng)關(guān)的訪問(wèn)都無(wú)法成功，徹底鎖死了業(yè)務(wù)的訪問(wèn)路徑。

　　3.4   云端統(tǒng)一防護(hù)

　　薔薇的網(wǎng)站是部署在云端的，從接入的體驗(yàn)來(lái)說(shuō)，以及對(duì)DDOS攻擊的防御水平而言，公有云顯然更有優(yōu)勢(shì)，另外，把對(duì)公眾的業(yè)務(wù)放在本地其實(shí)相當(dāng)于開(kāi)了一個(gè)本地業(yè)務(wù)對(duì)互聯(lián)網(wǎng)的大口子，也不是個(gè)安全的做法。但是，因?yàn)樵贫司瓦@么一臺(tái)虛擬機(jī)，要是為了這一臺(tái)虛擬機(jī)再買(mǎi)一臺(tái)虛擬機(jī)做微隔離網(wǎng)關(guān)就顯得太浪費(fèi)了。于是我們采用了基于端點(diǎn)的防御能力，把從公司員工到網(wǎng)站的運(yùn)維管理流量給管理了起來(lái)，網(wǎng)站只留一個(gè)對(duì)公網(wǎng)的443端口。

　　3.5   遠(yuǎn)程安全接入

　　薔薇的團(tuán)隊(duì)，主要分布在北京、上海、深圳和武漢。疫情期間，各團(tuán)隊(duì)被反復(fù)隔離在家。但是由于部署了統(tǒng)一微隔離系統(tǒng)，使得員工在家辦公和在辦公室辦公基本沒(méi)有任何區(qū)別。不但對(duì)于全部?jī)?nèi)部業(yè)務(wù)（包括各種測(cè)試、運(yùn)維、遠(yuǎn)程桌面等）都能正常使用，而且由于采用了終端分流的技術(shù)，使得只有企業(yè)業(yè)務(wù)被引流回公司數(shù)據(jù)中心，而其它業(yè)務(wù)還走原來(lái)的網(wǎng)絡(luò)路徑，使得企業(yè)網(wǎng)的壓力也沒(méi)有太過(guò)劇烈的上升，挺住了疫情期間遠(yuǎn)程訪問(wèn)集中爆發(fā)的網(wǎng)絡(luò)壓力。

　　而實(shí)現(xiàn)這一切，我們沒(méi)花一分錢(qián)（因?yàn)榻y(tǒng)一微隔離是我們做的）。我們想，如果我們的用戶(hù)也采用我們的方案（雖然不完美，但真的很夠用了），那么除了統(tǒng)一微隔離，他也不用花任何額外的一分錢(qián)。有人說(shuō)，你們這個(gè)就叫丐版零信任吧。我們說(shuō)，這咋能叫丐版零信任呢，應(yīng)該叫普惠零信任！

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<