为什么企业需要零信任安全架构？

　　[PConline 资讯]随着企业业务云化的深入，业务系统不再只是运行在企业数据中心内部，公有云以其弹性易扩展等便捷属性正在吸引越来越多的企业。混合云、移动办公与BYOD等技术的应用已经成为企业的新常态。

　　Forrester是一家独立的技术和市场调研公司，于 2009 年率先提出“零信任 Zero Trust”安全方法，并基于该术语设计了一个特殊的安全框架。Forrester一项针对数千名受访者的调查显示，有52%的受访者在过去十二个月中受到过攻击。而不能忽视的是，这仅仅是已知受到攻击的数字，如果考虑到不是所有的企业都有着相应的安全策略对此有所感知，那么这一数字很可能会上升到75%。而从攻击的发起端来看：外部攻击占到了33%；组织内部的攻击占比25%；来自业务合作伙伴和第三方供应商的占比达到了21%。而从攻击类型来看，传统的用户名密码攻击只占到了27%，其它大量的威胁来自于Web和软件漏洞层面。

　　从数据来看，随着企业生态系统越发开放，合作伙伴和第三方供应商的加入使得业务运营更加高效，这种生态模式正在全行业中被广泛使用。越来越多的企业不仅在大量探究内部数据的分析与利用，甚至还广泛的购买与使用其他大量的外部或公开数据，这对于企业业务连续性的提升是非常有帮助的。因此，大量的数据在不同所有权的异构系统中被频繁交换，还有更广泛的物联网数据也正在被引入企业业务系统中，这些海量数据的存放与交换势必牵扯到过往我们未曾预计到的风险。

　　在过去数年，被披露的数起重大数据泄露案给相关组织与企业声誉带来了巨大的损失。因此，以欧盟GDPR法案为代表的多个国家和地区的数据保护法案确立让更多人和企业意识到数据安全的重要性。Forrester通过研究发现，无论是利用混合云这种新的基础设施还是对于各种数据的加工利用，都是新时期企业“多渠道工作模式”的体现。

　　多渠道工作模式对于企业业务连贯性是一个重大的驱动力，但其同时也带来了更大的安全挑战。因此企业需要启动相应的平衡模式，从而保障这种新常态不是像过去那样被碎片化地被解决对待，需要一种跨组织的端到端策略。

　　Forrester提出，所有人与设备之间产生的连接，以及发生在不同环境中的工作负载实际上都是为了在更大范围上获得数据。因此零信任安全架构（扩展生态系统）本质上就是要保护人、设备、网络联接、工作负载以及数据这五个核心要素。

　　思科：用成熟技术构筑零信任安全系统

　　“零信任并不是一种技术，而是一种建立安全战略的方法和框架，技术是其实现的主要构成部分。”Forrester通过研究给出了“五步走”的部署建议：首先，识别敏感数据，并不是所有的数据都需要同样等级的安全保护；其二，则要关注数据的应用和走向，了解其在商业流程中是如何流动的；其三，持续的监控，在这一层级要充分利用技术实现自动化编排；其四，在提高身份和访问管理成熟度的同时研究工作负载；最后添加设备、网络和数据。

　　在《Forrester Wave：2019Q4零信任扩展生态系统平台提供商》报告中，Forrester结合自身对于技术趋势的洞察和大量受访企业的反馈，将思科列为该领域的领导者。对此,Forrester首席分析师Achim Granzen先生谈到：“许多受访企业在谈到思科的解决方案中最直观的感受是应用的便捷，而我们认为思科的优势不仅仅在技术方面，其是可以在早期的咨询层面就帮助企业定义和实现战略规划的合作伙伴。”

　　思科的零信任架构涵盖了Forrester所提出的五个核心因素，并体现在其所定义的三个关键领域中：工作场所、员工与设备、工作负载。其最为重要的理念之一就是在对应领域进行持续的工作循环过程：建立信任度、实施基于信任度的访问、并持续的做信任验证。正如Forrester所言，思科解决方案的应用便捷体现在其对基础设施的适应性上。“实施零信任战略是一个旅程，而非对基础设施或流程的大规模替换。”思科大中华区安全业务技术总监徐洪涛先生在演讲中也谈到了这一理念。

　　在员工与设备层面，通过思科DUO安全接入平台，用户可以在任何地方使用任何设备快速访问其所需的应用。而思科DUO与AMP（高级恶意软件防护）的产品组合还可以提供针对终端不间断的检测与验证从而保障设备访问安全性。而在园区网和工控环境中，基于思科ISE与CyberVision的深入分析能力，系统可以自动化的进行用户身份与设备识别，而像Stealthwatch这样的工具则提供了全网异常流量的分析能力，并在监测到危害行为时自动向ISE统一策略服务器发送信息并启动相应机制，这些功能都已经思科DNA Center中实现了集成；在数据中心环境中，思科Tetration则可以为多云数据中心提供全面的工作负载保护，并可以根据客户需求提供多种灵活的部署方式，而思科数据中心ACI架构也给工作负载提供了网络级别的微分防护。

　　这些产品与解决方案为什么看起来有些眼熟？是的，这些产品与解决方案大都是已经在企业环境中长期部署应用的。正如Forrester所指出的那样，“零信任安全并不是一种技术，而是一种建立安全战略的方法与框架。”使用久经验证的成熟技术，根据实际需求按照全新的逻辑进行组合，这难道不正是企业构建零信任安全架构的捷径吗？