“從來(lái)不是遠(yuǎn)程辦公淘汰了現(xiàn)場(chǎng)辦公，而是高效代替了低效?！备餍懈鳂I(yè)數(shù)字化轉(zhuǎn)型，追求的必然是更高效的工作方式，由此催熱了“零信任”的概念。

各安全廠商百家爭(zhēng)鳴，演進(jìn)了多條技術(shù)路線（SDP、IAM、MSG 等），以期用零信任架構(gòu)，護(hù)航用戶(hù)遠(yuǎn)程辦公的安全接入。

然而，大部分用戶(hù)仍舊認(rèn)為零信任的落地難度和演進(jìn)方向都是不明確的：

● 對(duì)于還在觀望的用戶(hù)來(lái)說(shuō)，停留于一個(gè)固有觀念：“零信任只能解決遠(yuǎn)程辦公的安全問(wèn)題”，零信任不就是“更安全一點(diǎn)”的VPN嗎？

● 對(duì)于已經(jīng)初步入局的用戶(hù)，同樣也存在疑惑：落地遠(yuǎn)程辦公場(chǎng)景后，下一步要怎么辦？

面對(duì)您的疑問(wèn)，深信服零信任決定來(lái)一次全面解讀。

過(guò)去我們通過(guò)不同類(lèi)型的安全設(shè)備來(lái)進(jìn)行訪問(wèn)控制，包括防火墻、交換機(jī)、路由器、SSL VPN 等。

經(jīng)過(guò)多年的發(fā)展，傳統(tǒng)的訪問(wèn)控制機(jī)制開(kāi)始暴露出諸多弊端，主要有兩個(gè)方面:

1.在傳統(tǒng)身份認(rèn)證機(jī)制下，先授權(quán)網(wǎng)絡(luò)連接和訪問(wèn)，再進(jìn)行身份認(rèn)證，導(dǎo)致業(yè)務(wù)對(duì)外暴露。

2.基于 IP/MAC/VLAN 設(shè)置 ACL，難以與真實(shí)用戶(hù)進(jìn)行關(guān)聯(lián)；身份與權(quán)限對(duì)應(yīng)靜態(tài)且粗放，難以做到細(xì)粒度權(quán)限管控。

當(dāng)我們進(jìn)一步剖析，上述問(wèn)題的本質(zhì)都是“主體到客體的訪問(wèn)控制存在著安全風(fēng)險(xiǎn)”。

在南北向訪問(wèn)中，過(guò)去通過(guò) SSL VPN 實(shí)現(xiàn)遠(yuǎn)程安全接入，但SSL VPN 在安全性/大并發(fā)等方面的能力，越來(lái)越難以滿(mǎn)足數(shù)字化轉(zhuǎn)型趨勢(shì)下的用戶(hù)需求。

而零信任聚焦業(yè)務(wù)安全接入，從身份、終端、連接、權(quán)限、數(shù)據(jù)和行為等不同維度，幫助用戶(hù)安全訪問(wèn)業(yè)務(wù)，構(gòu)筑了基于端到端多維度信任評(píng)估的訪問(wèn)控制鏈條。

區(qū)別于以傳統(tǒng)的 IP/MAC/VLAN 等方式判定網(wǎng)絡(luò)邊界，零信任基于身份構(gòu)建更細(xì)粒度的網(wǎng)絡(luò)邊界，讓業(yè)務(wù)的訪問(wèn)方式和信任判定方式更加完善和全面。

理解了這一點(diǎn)，我們就能達(dá)成一個(gè)共識(shí)：零信任所聚焦的建設(shè)范圍實(shí)際上是用戶(hù)的整個(gè)辦公網(wǎng)絡(luò)，而不僅僅是遠(yuǎn)程接入場(chǎng)景。

舉個(gè)例子來(lái)說(shuō)，SSL VPN 和零信任，好比是計(jì)算器和計(jì)算機(jī)，二者都做數(shù)據(jù)運(yùn)算，但計(jì)算器只能做加減乘除，而計(jì)算機(jī)有著更多的擴(kuò)展空間，不論是能力擴(kuò)展，還是場(chǎng)景擴(kuò)展，都會(huì)存在差異，且隨著后續(xù)的發(fā)展，差異也會(huì)越來(lái)越大。

引入一套新的技術(shù)架構(gòu)，勢(shì)必猶如平地一聲雷，給原有的網(wǎng)絡(luò)架構(gòu)帶來(lái)沖擊。

站在助力用戶(hù)領(lǐng)先一步落地的視角，過(guò)去我們提出“以零信任替換 VPN”，從遠(yuǎn)程辦公場(chǎng)景切入，既是考慮到用戶(hù)需求的緊迫性、對(duì)業(yè)務(wù)影響范圍較小，也考慮了實(shí)際落地難度。這也已經(jīng)成為當(dāng)前業(yè)界的共識(shí)。

然而，遠(yuǎn)程辦公零信任落地后，我們還在思考：用戶(hù)可能還存在著哪些問(wèn)題？這些問(wèn)題可以通過(guò)零信任架構(gòu)解決么？

在整體網(wǎng)絡(luò)架構(gòu)中，遠(yuǎn)程辦公只是一個(gè)相對(duì)獨(dú)立的場(chǎng)景，用戶(hù)的業(yè)務(wù)訪問(wèn)方式?jīng)]有發(fā)生質(zhì)的改變，依舊是先連接、后認(rèn)證。一旦攻擊者突破邊界，整個(gè)內(nèi)網(wǎng)將完全暴露。無(wú)論是攻防演練所暴露出的問(wèn)題，還是真實(shí)世界中發(fā)生的網(wǎng)絡(luò)安全事件，都在不斷警示著我們：大部分安全事件的源頭都來(lái)自于內(nèi)部。

大部分用戶(hù)很重視從外到內(nèi)的安全接入，但內(nèi)部業(yè)務(wù)訪問(wèn)邏輯卻相對(duì)簡(jiǎn)單，且接入方式復(fù)雜多樣，包括網(wǎng)絡(luò)準(zhǔn)入、云桌面 VDI、PC 等，不僅需要來(lái)回切換，還引入了多套身份體系，增加了安全風(fēng)險(xiǎn)。同時(shí)，伴隨著企業(yè)數(shù)字化轉(zhuǎn)型，業(yè)務(wù)部署方式發(fā)生變化，多機(jī)房、混合云的環(huán)境使得傳統(tǒng)的 SSL VPN 難以滿(mǎn)足用戶(hù)隨時(shí)隨地的接入訪問(wèn)需求。

多套安全接入產(chǎn)品，勢(shì)必會(huì)造成不同設(shè)備訪問(wèn)策略管理的復(fù)雜度持續(xù)上升，需要投入更多的人力和時(shí)間成本，違背企業(yè)“降本增效”的經(jīng)營(yíng)邏輯。

相信以上問(wèn)題，諸多用戶(hù)都有共鳴。如何解決，才是關(guān)鍵。

為了給廣大用戶(hù)提供更合理可行的解決方案，深信服以自身進(jìn)行驗(yàn)證，在短短一年時(shí)間內(nèi)，完成了集團(tuán)內(nèi)部零信任建設(shè)，實(shí)現(xiàn)基于零信任架構(gòu)的內(nèi)外網(wǎng)統(tǒng)一接入（點(diǎn)擊跳轉(zhuǎn)：深信服零信任的0號(hào)樣板點(diǎn)）。無(wú)論用戶(hù)身處何種網(wǎng)絡(luò)，只有通過(guò)零信任的安全認(rèn)證和訪問(wèn)代理，才能訪問(wèn)后端業(yè)務(wù)。

去年，我們也開(kāi)始幫助用戶(hù)逐步向更廣泛的場(chǎng)景進(jìn)發(fā)：分支接入、開(kāi)發(fā)測(cè)試、安全運(yùn)維、內(nèi)外網(wǎng)統(tǒng)一接入等，在各行各業(yè)打造典型案例，成為國(guó)內(nèi)零信任落地?cái)?shù)量第1、單客戶(hù)百萬(wàn)并發(fā)規(guī)模的網(wǎng)絡(luò)安全廠商。（點(diǎn)擊跳轉(zhuǎn)：落地?cái)?shù)量第1，深信服零信任獲中國(guó)信通院“最受行業(yè)歡迎廠商”）

如今，越來(lái)越多的用戶(hù)已經(jīng)將零信任取代了傳統(tǒng)的 SSL VPN，并且享受到了零信任所帶來(lái)的安全效益，因此我們?yōu)橛脩?hù)提供的切實(shí)建議是：

基于訪問(wèn)主體和客體，統(tǒng)一規(guī)劃，在平穩(wěn)完成遠(yuǎn)程辦公場(chǎng)景零信任建設(shè)后，可以逐步切換到分支接入、特權(quán)訪問(wèn)、辦公內(nèi)網(wǎng)等場(chǎng)景的零信任建設(shè)，逐步解決上述問(wèn)題。

值得關(guān)注的是，作為網(wǎng)絡(luò)安全體系中信任評(píng)估和訪問(wèn)控制的全局性框架，零信任架構(gòu)的演進(jìn)性和生長(zhǎng)性是關(guān)鍵，需要隨著業(yè)務(wù)范圍的擴(kuò)展，進(jìn)行靈活、快速、低成本的適配。

零信任架構(gòu)并非單個(gè)產(chǎn)品就能完全實(shí)現(xiàn)的，基于大量用戶(hù)實(shí)踐的探索，深信服能夠?yàn)橛脩?hù)提供不同組合的搭建方案：

提供“5A+S級(jí)”Workspace辦公體驗(yàn)，構(gòu)建融合多種不同安全級(jí)別應(yīng)用的數(shù)字化工作平臺(tái)，在同一工作平臺(tái)中實(shí)現(xiàn)不同密級(jí)應(yīng)用的一站式訪問(wèn)，為辦公安全與體驗(yàn)上一份“雙重保險(xiǎn)”。

綜合虛擬網(wǎng)絡(luò)域、辦公空間、透明加解密、數(shù)據(jù)導(dǎo)出/外發(fā)管控、內(nèi)存拷貝管控、屏幕水印等技術(shù)，實(shí)現(xiàn)終端數(shù)據(jù)泄密防護(hù)。