本文轉載自“安在”微信公眾號

零信任作為近年來在安全圈持續火熱的概念之一，自誕生起就被譽為能夠解決“一切安全問題”的終極手段。據Gartner的研究顯示，零信任網絡接入（ZTNA）將成為全球增長最快的網絡安全細分市場，在2022年增長36%。而在《零信任發展洞察報告（2022）》顯示，我國金融與電信行業在近三年落地零信任的企業逐年增長，越來越多的企業認可零信任架構所提供的安全防護能力。

此外，由于國內HW行動涉及的單位越來越廣，對抗演練越來越貼近實際情況，很多企業的VPN設備及暴露在外部的應用被打穿，導致系統被攻破。因此，VPN設備已經等同于非常危險的基礎設施。在此背景下，各甲方企業不得不尋找VPN的替代品，零信任成為企業的第一選擇。

在供給側方面，據《零信任發展洞察報告（2022）》顯示，國內零信任供應商圍繞網絡環境安全、終端安全、應用安全和負載、數據安全及安全管理這六大領域建設，零信任生態環境已經建立，大部分國內安全廠商的零信任能力基本成熟

然而，這也導致國內零信任賽道呈現擁擠態勢。由于疫情導致的遠程辦公和“去VPN”化讓零信任市場得到了發展的空間，越來越多的安全廠商加入零信任賽道。當下，至少有80%的廠商聲稱擁有零信任相關產品，在零信任相關的各個領域中，都有安全廠商在尋求突破。

雖然國內零信任市場已經初具規模，但當下的零信任產品在成熟度方面還有進步的空間。這是因為國內零信任起步較晚，國內安全市場環境與國際環境又有所不同，導致國內零信任產品參差不齊。據某廠商專家表示，由于零信任在國內發展較晚，多數廠商沿用過去的產品路徑開發零信任產品，過去做網關的廠商，其零信任產品在網關方面比較強，同理，過去做終端的廠商其零信任產品在終端方面比較強。

組織建立零信任架構就像搭起一棟房屋，網關、端點、身份、軟件等等就像組成屋子的各個部分，任何一部分的缺失都會讓這間屋子失去遮風擋雨的能力。因此，如何全面地推動和建設零信任架構就成為很多組織和廠商的一個重要問題。

對此，聯軟科技副總裁及聯合創始人張建耀表示，全網零信任是解決當下零信任架構不完整、不全面、不均衡的主要方式之一。

全網零信任是什么？

眾所周知，零信任概念早在2010年就被Forrester的分析師John Kindervag所提出。起初這一概念并沒有得到廣泛推廣，直到云計算開始發展，微服務，大數據，移動計算等新一代信息化建設得到發展動力，組織的傳統物理網絡邊界變得模糊，零信任開始得到重視。2017年谷歌對外宣布其基于零信任架構實踐的新一代企業網絡安全架構Beyound Corp項目成功完成，這為零信任在大型，新型企業網絡的實踐提供參考架構。這一最佳實踐為零信任理念發展的助推劑，也進一步促進了零信任市場的形成。

據張建耀介紹，全網零信任就是基于谷歌的實踐得來的。全網零信任本質上與其他零信任產品沒有太大區別，冠以全網二字是因為當下80%的零信任產品基于互聯網側去訪問服務器和內網資源，對于外網、云訪問等場景力有不逮。而聯軟是具備從辦公區域的內網、外網、云等全場景訪問的安全供應商，其所帶來的全網零信任架構更加綜合、全面。

全網零信任的全面性意味著它幾乎適合所有行業，特別是對網絡支撐運營要求較高的用戶，例如金融、政府、運營商等等。從場景來看，全網零信任分為三大場景，第一大場景是針對內網設備接入，也就是將傳統的網絡準入控制升級為基于零信任架構的內網訪問控制。這個場景的覆蓋面最大，因為大部分企業和大部分員工都會通過內網接入。第二大場景是傳統的遠程接入場景，無論是分支機構還是遠程辦公的BYOD，都可以通過全網零信任架構進行統一的管控和檢測。第三大場景是混合云場景，以零信任架構對用戶接入云平臺應用的各個環節，包括安全認證、身份識別等進行控制。

全網零信任同其他零信任產品最大的區別在于其核心組件具備內網網絡準入控制的能力。常見的零信任產品對待內網設備和外網設備的策略是一致的，即在設備通過SDP網關時對其驗證。這種驗證方法雖然有效，但細粒度并不夠。對此，聯軟的全網零信任仿照谷歌的實踐類型，將內網網絡準入同互聯網側接入策略分隔開。設備接入前需要先驗證基礎安全，才能允許接入內網。細粒度的進一步增加讓全網零信任的控制性更強，更能精準把控組織內網和設備準入安全。

聯軟科技的三大優勢

通過上述介紹可以看出，全網零信任相對于其他零信任產品來說更為全面，對組織的安全也更有保障。但對于用戶來說，一款產品或解決方案的好壞不單單只參考其性能，還要考慮包括成本、落地等很多因素，對此，張建耀表示，聯軟在全網零信任方面有三大優勢。首先聯軟是中國端點安全的領導者，具備大量的用戶積累。同時，由于聯軟的全網零信任架構基于企業安全平臺（ESPP）之上，在這個平臺上還包括SDP、EMM、NAC、EPP、EDR以及DLP等等。因此，企業想要升級零信任就變得非常簡單。對于內網準入控制而言，組織只需要進行一次升級就可以順利過渡到全網零信任架構，而對于外網來說，組織需要一步步替換掉所有VPN，然后將原有的VPN訪問切換到基于零信任架構的SDP框架中。

第二個優勢是聯軟解決核心問題的能力。企業在建設零信任的過程中，真正的痛點是數據安全。對此，聯軟通過沙箱和虛擬化的技術形成了一系列的數據安全方案，能夠真正解決用戶的數據安全問題。另外，基于零信任架構的復雜性和豐富性，企業若想實現SDP、IAM以及微隔離等全方面的零信任，就需要從身份問題入手。對此，聯軟在全網零信任架構后增加了一個簡化版的IAM，利用IAM的密碼、雙因素等方面的功能進一步解決身份問題。同時，聯軟還將IAM訪問哪些業務系統，應用哪些數據等配置方面交給專業的IAM廠商，在促進國內零信任生態發展的同時，最大程度保障組織身份安全。

第三個優勢就是聯軟在生態方面的優勢，聯軟同很多業內頭部的安全企業合作，并參與了很多標準的建設。聯軟是最早一批的CSA聯盟成員，并深度參與過早期的SDP標準建設。此外，聯軟還同華為、Forrester等企業發布了《零信任最佳實踐》白皮書，就零信任架構的關鍵價值，零信任架構的識別部署以及應用案例等進行了深入的討論。

在標準方面，聯軟還參與了國家信息中心的《政務外網終端一機兩用安全管控技術指南》標準的編寫。國家信息中心作為主管部門，在監管全國政務外網中發現政務系統存在著大量的“跨網訪問”現象，政務外網終端可同時連接外網和互聯網，存在著極大的風險。在“一機兩用”標準的推動下，各政務利用零信任架構將政務外網與互聯網相互隔離，解決了政務系統的跨網攻擊、數據泄露等安全隱患。在參與建立標準的過程中，聯軟的全網零信任得到了充分的實踐經驗，在政企用戶中也得到了廣泛的認可。

除了政企行業，聯軟的全網零信任在金融、運營商等行業都得了落地和實踐。據張建耀介紹，在金融行業中，有7成以上的企業應用了聯軟的準入系統，近20萬個實踐案例讓這些用戶在向零信任轉型的過程中，優先考慮聯軟的全網零信任架構。

全網零信任如何落地

當然，由于各行業及企業的實際情況不同，在落地零信任時所關注和考慮的重點也不同，多行業案例雖然能夠證明產品的廣泛性，但對于用戶而言，如何切實解決問題才是重點。對此，張建耀表示，聯軟經過多年的實踐和探索，已經初步形成了一套完整的零信任落地方案。

首先是組織引入零信任安全的最佳時機。當下有許多企業受制于安全環境和國內監管壓力，不得不采納零信任架構。但零信任架構需要完整可用，而完整意味著成本。對此，張建耀認為，企業推動零信任需要一個時機，這個時機來自于組織數字化轉型時所遇到包括云化、移動化導致訪問不可控、身份不可辨、資源不可查等等問題。以“去VPN”為例，組織可以通過替換VPN來逐步將零信任納入安全架構中。然后再一個系統一個系統逐步推動零信任的建設，最終形成整體的零信任架構。

其次是做好總體規劃。零信任架構不是一款產品，一套針對性地解決方案，而是徹底地改變整個組織的訪問場景和網絡環境，因此，在建設零信任之前，組織需要提前做好總體規劃，確定零信任架構的最終狀態，不能摸著石頭過河。但是，在總體規劃向實際落地的過程中有兩個難點，第一是數據安全，大多數零信任方案是沒有考慮數據安全的，特別是在云化和移動化之后，組織需要考慮如何保護數據，如何讓數據落地等等。第二是信創，信創所帶來的操作系統給很多零信任產品帶來了兼容性方面的挑戰，零信任廠商既要滿足Windows、Mac，還要滿足信創系統，其架構系統的復雜度非常高。

張建耀表示，上述經驗雖然是一家之言，但也是聯軟通過大量客戶總結和累積的經驗。目前，聯軟的內網準入設備裝機量已經達到2000萬臺終端，升級到全網零信任架構的用戶也非常廣泛。換言之，聯軟的全網零信任架構不僅得到了實踐經驗，其架構的領先性也得到了證實。

尾聲

2023年被不少專家和廠商認為是零信任的“發展大年”，其根本在于一方面越來越多的企業加入云化和移動化，企業對于身份權限的要求越來越高；另一方面是疫情結束后各廠商無論是安服還是線下營銷都可以正常開展。

對于國內零信任越來越火熱的趨勢，張建耀表示，聯軟已經做好了充足的準備。在信創方面，聯軟目前已經適配了國內主流的操作系統例如統信、麒麟等等；在數據安全方面，聯軟已經能夠解決客戶的大部分場景；在安全分析方面，聯軟此前發布的EDR等相關產品已經能夠幫助用戶解決安全分析、入侵檢測、防勒索、防釣魚等等；在IAM方面，聯軟已經將其融入到全網零信任的框架中。即便如此，張建耀認為，聯軟還有進一步發展的空間，未來，聯軟科技將在這四個方面繼續布局，為用戶提供能力更強大的全網零信任產品。

期待全網零信任的推出能夠改變國內零信任市場環境，讓用戶能夠更便捷、更全面地應用零信任架構及產品，讓更多企業的安全架構步入零信任的新階段。