■ 北京 李先龄

编者按：当下企业内部网络系统也变得不再安全，零信任模型是解决企业内网安全问题行之有效的方法。在实施零信任之时，请牢记本文所述的几个关键点。

在“新冠”病毒疫情流行时期，网络攻击者经常针对用户展开网络钓鱼活动，特别是利用疫情相关信息实施钓鱼攻击，窃取用户登录凭据。

员工在家远程办公期间，许多组织向远程员工及其设备授予了更多信任权限。但与此同时，在家工作的员工在不知不觉中就可能浏览潜在恶意网站，并感染恶意程序。而如果此时员工正在通过VPN 连接到公司网络进行办公，那么恶意软件就能够轻易地渗透到企业内网。

在此期间一旦用户的凭据遭到盗用或破坏，攻击者就可以利用该凭据在企业内网内横向传播恶意软件。因此，一旦传统安全防护网被穿透，就再也无法通过边界防御的方法来保护企业内网安全——传统上人们往往认为内网范围内的企业资产是比较安全的。

在企业网络安全形势日益严峻的当下，没有哪里能够确保绝对的安全。此时能确保企业安全的一个好方法是假设一切都是不可信的，即零信任思维。零信任旨在消除与用户访问位置（例如企业内外网上的用户）相关的绝对的信任，并将安全重点转移到应用、设备和用户上来。

在实施零信任之时，请牢记以下几个关键点：

零信任是一个过程，而不是产品

零信任很重要的一项特征是，它不是一个产品或工具，而是一种框架，是一种用于管理IT 和网络运营的方法，并有助于防止安全漏洞的出现。零信任旨在采用一致的安全性方法，而与用户是从内网还是Internet 外网访问数据或应用程序无关。

为此，零信任实际上试图通过消除相互割裂的框架、工具和基于访问位置的安全策略的需求来简化安全能力（例如，通过专用的VPN 基础架构用于远程访问）。

它还可以确保用户不受工作地点的影响而获得一致的体验。通过利用应用、用户和设备并消除与内网相关的绝对信任，零信任本质上是减少管理内外边界中不同安全基础架构相关的成本。它是通过实施对所有资产进行身份验证和访问控制的全面策略框架来实现这一目标。

可见性是零信任的基石

实施零信任的关键是深入了解所有资产（应用、设备以及用户）及其交互。这对于定义和实施全面的身份验证和访问控制策略至关重要。安全团队如今面临的一个巨大挑战是，访问控制策略往往过于宽松，并与网络段而不是资产捆绑在一起，从而使恶意行为者更容易在企业内网中横向移动。

通过强调资产并构建资产图，可以简化策略的创建和执行。而且，由于这些策略和资产不是与网络段绑定在一起，因此无论用户从何处访问数据和应用程序，都可以使用同一组策略。

可以通过多种方式来实现对资产的发现，有一种资产映射和发现方法是利用从网络流量中提取的元数据，网络流量可以发现和枚举其他机制中可能遗漏的资产。传统应用程序及微服务、连接的设备以及用户构建的现代应用程序都可以通过网络流量来发现它们的交互关系，并实现可见性，从而促进了资产图基线的建立。实现这样的基准对于建立用于身份验证和访问控制的策略模型是至关重要的。

加密一切

身份验证和访问控制在零信任模型中至关重要，但隐私问题也是不能忽视的。身份验证可以确保会话的端点知道对方的身份，访问控制确保用户只能访问那些经过允许的资产。但是，恶意人员仍然有可能“窥探”通信，并通过这种通信获取敏感信息（包括密码和机密数据）。

在许多企业中，绝对信任的一个表现是，对于许多应用程序，公司内网上的通信往往采用明文形式。这是绝对错误的行为！我们不应该仅仅因为处在公司内网中，就想当然地认为公司内部网络上的通信是安全的。无论在哪里，加密都是必不可少的。在内网上进行任何交易时，我们应使用TLS（“HTTPS”）对数据进行加密。

在企业内网上通信中，我们应该假设攻击者已经身处我们公司的网络中的某一位置。因此，用户、设备和应用程序之间的任何通信都应实施加密，以确保隐私安全。这也是更进一步来确保可以为Internet 外网和企业内网上的用户使用一致的安全框架。

当然，对公司网络上的所有流量进行加密会带来一些其他问题，比如使应用程序或网络的故障排查变得更加困难，而且也将使安全团队更难以识别威胁信息或恶意活动。此外，在特定行业中，由于无法保留特定的日志，这可能会给合规性带来挑战。因此，在实现内网中所有流量都加密时，借助基于网络的解决方案实现针对性的网络流量解密可能也是必要的。

实施持续监控策略

企业网络不是静态的，它们是不断扩展，不断增加新用户、新设备、新应用，并淘汰旧应用。在网络迅速动态扩展和伸缩的时代，新应用正在迅速被推向市场，并且越来越多的IT 和OT 设备不断上线，网络从未如此动态化。

云迁移正在改变网络的本质，包括网络中“内部”与“外部”的概念。建立身份验证、访问控制和加密的框架是实现零 信任方案的一半，而另一半就是实施持续监控策略，以检测任何出现的变化，并确保这些变化符合零信任策略，或者说确保零信任策略能够适应这些变化。监控网络流量是一种非侵入性且又非常可靠的方法，来检测变化并识别异常。

基于网络的监控可以与端点监控相结合使用，以获得更完整的视图。在许多情况下，基于网络的监控可用于查明无意或恶意关闭了端点监控，或无法实施端点监控的应用程序和设备。

攻击者一旦侵入系统，他们通常会尝试关闭或控制端点监控代理程序。在许多情况下，监控网络流量可提供一致且可靠的遥测数据流，以进行威胁检测并实现合规。

随着企业逐渐接受并实施远程办公模式，应用程序和基础架构需求的快速扩展将对企业内的不同团队带来很多挑战。“新冠”病毒疫情给人们带来很多变化，其中一些变化将是永久性且不可逆的。零信任框架将有助于企业适应新常态，特别是确保灵活敏捷的安全性能够与这些新常态保持同步。