當(dāng)零信任和云安全組起CP，如何架構(gòu)來(lái)強(qiáng)防護(hù)安全體系？

萬(wàn)物互聯(lián)時(shí)代，現(xiàn)代企業(yè)如果僅依靠本地安全防護(hù)體系，從物理邊界部署安全策略，很難預(yù)見(jiàn)內(nèi)部安全隱患。面對(duì)多終端安全漏洞，網(wǎng)絡(luò)攻擊者會(huì)采取竊取身份憑證等手段，不斷威脅企業(yè)安全體系。當(dāng)下，企業(yè)安全往往面臨如下痛點(diǎn)：

• 企業(yè)決策者如何兼顧安全防護(hù)與穩(wěn)定服務(wù)；

• 如何在安全防護(hù)領(lǐng)域，實(shí)現(xiàn)降本增效；

• 云時(shí)代，如何防護(hù)上云企業(yè)的 IT 設(shè)備、員工信息；

• IT 部門(mén)重復(fù)性工作繁重，如何實(shí)現(xiàn)自動(dòng)化運(yùn)維。

進(jìn)擊的零信任

當(dāng)傳統(tǒng)以邊界為核心的安全防護(hù)體系遭遇瓶頸，零信任、原生云安全等理念隨之興起，為企業(yè)建設(shè)新一代安全體系提供了指引。2021年可信云大會(huì)上，“零信任”便被納入到中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所正式發(fā)布的“2021云計(jì)算十大關(guān)鍵詞”之中。簡(jiǎn)而言之，零信任（Zero-Trust）是一種理念而非具體技術(shù)。這種安全理念，不再區(qū)分內(nèi)外網(wǎng)，而是需要在不可信網(wǎng)絡(luò)中構(gòu)建基于身份動(dòng)態(tài)的可信訪問(wèn)安全體系。

當(dāng)下，零信任與原生云安全正處于不斷融合態(tài)勢(shì)。在研發(fā)階段，越來(lái)越多的企業(yè)開(kāi)始以零信任原則設(shè)計(jì)應(yīng)用系統(tǒng)，云服務(wù)或云上應(yīng)用來(lái)實(shí)現(xiàn)原生零信任，由此大幅提升安全能力；在運(yùn)營(yíng)階段，零信任作為云安全產(chǎn)品不斷原生化，零信任從私有化部署向 SaaS 服務(wù)演進(jìn)，能夠應(yīng)對(duì)海量訪問(wèn)請(qǐng)求，同時(shí)微隔離作為零信任關(guān)鍵技術(shù)，對(duì)云內(nèi)東西向流量進(jìn)行訪問(wèn)控制，彌補(bǔ)傳統(tǒng)安全防護(hù)機(jī)制在云環(huán)境應(yīng)用的不足。

整體而言，架構(gòu)企業(yè)安全體系，從來(lái)不是獨(dú)角戲，無(wú)法依靠某一個(gè)專(zhuān)屬團(tuán)隊(duì)完成。這需要商業(yè)/技術(shù)領(lǐng)導(dǎo)層、架構(gòu)師和技術(shù)經(jīng)理以及實(shí)施團(tuán)隊(duì)的通力合作。以微軟為例，表現(xiàn)為以下三個(gè)方面：

• 微軟架構(gòu)零信任模型時(shí)，自上而下的流程依次為確保數(shù)字化轉(zhuǎn)型、業(yè)務(wù)和安全集成、制定安全策略程序、部署架構(gòu)和策略以及在技術(shù)層面上的規(guī)劃與實(shí)施；

• 微軟體系下的零信任架構(gòu)組件：安全運(yùn)營(yíng)中心、云服務(wù)保護(hù)、設(shè)備管理、混合云架構(gòu)安全、loT 及 OT 安全架構(gòu)、信息保護(hù)、身份管理、人員安全；

• 微軟架構(gòu)零信任模型四大階段：核對(duì)身份、核對(duì)設(shè)備、核對(duì)訪問(wèn)、核對(duì)服務(wù)。

微軟的硬實(shí)力

應(yīng)對(duì)持續(xù)變化的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，微軟長(zhǎng)期關(guān)注零信任領(lǐng)域發(fā)展變革，并進(jìn)行深入探索實(shí)踐。即將上線的微軟 IT 直播間，會(huì)針對(duì)微軟 IT 管理、微軟企業(yè)安全經(jīng)驗(yàn)下的優(yōu)選實(shí)踐進(jìn)行分享。整體而言，微軟在安全領(lǐng)域沉淀如下優(yōu)勢(shì)：

• 基于網(wǎng)絡(luò)安全參考架構(gòu)(MCRA)，微軟利用各類(lèi)安全服務(wù)、安全產(chǎn)品與微軟智能云矩陣平臺(tái)，保障全球150多個(gè)國(guó)家、30多萬(wàn)員工、64萬(wàn)臺(tái)設(shè)備每時(shí)每刻的安全訪問(wèn)；微軟將90%+業(yè)務(wù)應(yīng)用安全遷移上云，將完整的本地體驗(yàn)從微軟云傳輸?shù)絺€(gè)人任何設(shè)備，隨時(shí)隨地進(jìn)行高效辦公和團(tuán)隊(duì)協(xié)作，讓 IT 部署更靈活，開(kāi)展業(yè)務(wù)更便捷。

• 微軟目前已經(jīng)將零信任安全模型踐行于公司內(nèi)部，讓零信任安全戰(zhàn)略貫穿于組織的架構(gòu)、技術(shù)選型、運(yùn)營(yíng)流程以及組織的整體文化和員工的思維方式。在持續(xù)零信任實(shí)踐過(guò)程中，微軟基于“永不信任，始終驗(yàn)證”的理念，提出了自己零信任原則：進(jìn)行顯式驗(yàn)證、授予最小特權(quán)訪問(wèn)、假定違規(guī)。

• 為保證企業(yè)短期安全需求與長(zhǎng)期安全戰(zhàn)略間的統(tǒng)一性，微軟為有序推進(jìn)“零信任”系統(tǒng)工程實(shí)踐，微軟提出零信任成熟度模型，將其劃分為傳統(tǒng)、中期、理想3重階段，并開(kāi)發(fā)了零信任評(píng)估工具來(lái)助力客戶(hù)確定在零信任實(shí)施過(guò)程中所處的階段，并針對(duì)零信任的關(guān)鍵節(jié)點(diǎn)提供下一步實(shí)施計(jì)劃和部署指南。實(shí)施部署過(guò)程中，微軟建議企業(yè)從身份、設(shè)備、應(yīng)用程序、數(shù)據(jù)、基礎(chǔ)結(jié)構(gòu)和網(wǎng)絡(luò)這6要素進(jìn)行推進(jìn)完善，進(jìn)而持續(xù)加固企業(yè)的安全防護(hù)體系。

• 微軟基于自身數(shù)字化轉(zhuǎn)型經(jīng)驗(yàn)，從理論到實(shí)踐提供 Azure 遷移支持，從人力、規(guī)劃和過(guò)程、技術(shù)3方面提出了整體實(shí)踐方案。組織人力層面上，宜自上而下推動(dòng)文化變革、建立完備的遷移中心，確保利益相關(guān)者參與以及提供學(xué)習(xí)途徑與認(rèn)證；規(guī)劃和過(guò)程中，設(shè)置規(guī)劃遷移策略，小處著手跟蹤遷移并優(yōu)化云支持；技術(shù)布局上，將網(wǎng)絡(luò)標(biāo)識(shí)擴(kuò)展至 Azure 以建立強(qiáng)大的安全基礎(chǔ)，并提供不斷發(fā)展的工作負(fù)載管理方法以及遷移工具