重構企業網絡安全邊界，蒲公英零信任網絡1.0方案解析-魔扣目錄

近年來，隨著企業網絡安全意識的提升，“零信任”概念逐漸深入人心，作為一種新型的網絡安全策略，越來越多的企業開始探尋“零信任”網絡的奧秘，并嘗試采用“零信任”策略重構企業網絡安全邊界。

近日，貝銳旗下智能組網整體解決方案品牌“蒲公英”正式推出了“蒲公英零信任網絡1.0”解決方案，該方案旨在幫助企業重構網絡安全邊界，進而提供更加安全，更具針對性的智能組網整體解決方案。

借此機會，筆者想要在這里對“零信任”概念以及“蒲公英零信任網絡”進行一番具體的解析，幫助有需求的企業管理者更好的理解“零信任”這一概念，順應網絡空間安全至上的大潮。

何為“零信任”？

傳統的網絡安全是基于防火墻的邊界防御，是有明顯的物理邊界的，而對于企業來說，這一邊界的內側就是我們所熟知的“內網”。

在傳統的網絡安全策略中，內網是完全可信的。但隨著云計算、大數據、物聯網等新興技術的不斷興起，企業的IT架構邊界正在不斷模糊，網絡安全的物理邊界正逐漸消失，“內網=安全可信”這一等式正在受到嚴重的調整。

為了適應這樣的變化趨勢，企業也需要調整IT網絡安全策略，以應對同樣在持續發展中的網絡安全威脅。因此，“零信任”應運而生。

“零信任”這一概念于2010年由一位名為Forrester Research的分析師提出，它代表了一種新一代的網絡安全防護理念和策略，提出不久就被包括谷歌、思科等在內的諸多大廠所采納。

“零信任”的優勢

用一句通俗的話來解釋“零信任”，那就是對網絡中的任何一個訪客進行持續的身份驗證，任何用戶都不應受到信任，即“持續驗證，永不信任”。

在這一策略下，企業網絡將不會默認信任任何來自內外網的人、設備和系統，而是會基于實時的身份認證和授權重新構建網絡訪問信任體系，身份認證的過程也將不再局限在網絡的邊界，從而保證訪問企業網絡的身份、設備、軟件均為可信，同時進一步保證企業網絡系系統的終端安全，鏈路安全以及訪問控制安全。

換句話說，“零信任”打破了 “內部等于可信任”、“外部等于不可信任”的傳統舊安全觀念。

舉一個簡單的例子：在傳統的邊界網絡安全框架下，黑客一旦通過某種手段獲取到了企業內網權限（比如帳號和密碼），那么直到相關的管理員發現之前，他都可以在企業網絡內橫行無忌，肆意盜取企業核心信息甚至對系統進行破壞。

但如果企業采用了“零信任”安全策略，那么黑客將無法單純的憑借帳號密碼攻入企業內網，而是會被要求驗證其他的身份信息，比如企業可以要求帳號與設備MAC碼對應，或者需要短信或者郵件的驗證等等，這些策略由企業方視情況制定。這樣一來，黑客進行惡意攻擊的難度將會大大提升，很多針對企業網絡的攻擊在這一步就會被拒之門外。

為什么企業要部署“零信任”

企業部署“零信任”當然是基于對于信息安全的迫切需要。