劃重點丨國內首個基於產業攻防實戰的《零信任實戰白皮書》釋出

白皮書已劃好重點，速看！

零信任與傳統邊界安全理念的比較

零信任先假定人、終端、資源等都是不可信的，通過建立人到終端到資源的信任鏈，並動態實時校驗信任鏈，來實現對資源安全可信請求，阻斷攻擊資料。在零信任架構下，傳統的邊界（網路位置）已經不再重要，每一次對資源的請求，都要經過信任關係的校驗和建立。

對比零信任理念和傳統邊界安全理念，二者各有優缺點，如下表：


純內網安全管理的增強需求、企業辦公網路建設規劃管理的環境變化是企業網路防護從傳統邊界安全理念到零信任理念演變的原因。總體而言，零信任的安全防護能力更強，但安全沒有萬能的解決方案，用一個新的方案解決安全風險時，也會帶來新的風險，系統總結零信任理念存在的風險點，有利於後續零信任標準的持續打磨和優化，也方便企業選擇適合的安全方案。

使用者對資源訪問模式
在使用者對資源訪問模式中，零信任最核心最重要的理念包括使用者、終端裝置、鏈路、資源許可權應是安全、可信的；應建立起使用者、終端裝置和資源許可權的信任鏈；應持續、動態的檢驗，信任鏈是否還安全可信。

服務之間呼叫場景實現

對於服務之間呼叫的零信任實現方式，主要參考 Gartner相關報告，包括雲原生控制、基於第三方防火牆、基於代理模式、混合模式四種工作負載之間隔離的實現方式。

零信任應用場景

辦公安全：在零信任安全網路架構下，預設網路無邊界，訪問人員無論在哪裡，使用任意終端，對內網辦公應用或是業務資源的訪問，都不需要使用VPN，同時更為多元的可信認證和更為精細的鑑權訪問控制，實現遠端辦公安全、多分支機構訪問集團內部資源、跨境跨運營商辦公安全。

資料中心內部訪問：資料訪問需求結合零信任理念，將控制平面與資料平面分離，通過微隔離元件和相應的配置實現流量的加密、隔離和訪問控制，實現主機間加密、雲資料中心虛擬機器間訪問、k8s容器間訪問。

大資料：在大資料應用場景下，針對終端使用者、外部應用或資料服務平臺、資料分析和運維人員的資料訪問，部署零信任方案，在使用者身份、裝置安全、應用安全、鏈路安全等信任屬性基礎上，增加資料類別、資料級別、資料操作（增刪改查）等更多資料本身的屬性，實施動態、細粒度的訪問控制。

物聯網：主要根據實際應用場景的需求，安全防護痛點，有針對性的形成集中管控、資產可視、網路可控和安全可視的整體安全防護解決方案。

多雲安全訪問和混合雲伺服器運維：為終端裝置提供多個公有云連線通道的能力，多個雲複用同一個零信任控制中心，提供統一的訪問控制策略，通過低流量的策略同步或者其他不影響頻寬的機制，做到統一的授權管理實現多雲安全訪問。通過安全閘道器進行對運維人員集中身份認證，對使用者和終端裝置身份認證、安全評估和訪問授權，為當前會話臨時生成證書，作為伺服器登入的票據，解決伺服器運維登入問題，實現混合雲伺服器運維。

私有機房對外訪問入口的安全防護：通過提供一個額外的雲上接入安全服務，提供對各種入口流量的安全處理，實現對來源流量的網路策略管理。

零信任案例

以騰訊為例的全球綜合性網際網路企業應用

全球綜合性網際網路企業規模大、業務種類多、職場分佈多、協作廠商多，同時存在高階威脅、員工體驗、天災或其他應急情況等問題，需要一種靈活的安全解決方案，保護訪問企業內部資源的安全。

基於上述情況，騰訊通過建立iOA零信任網路，實現身份安全可信、裝置安全可信、應用程式可信、持續訪問控制、鏈路保護與加速優化、基線變化和企業內部SOC 做動態的訪問控制、垂直業務流量聯動登入、提升使用者體驗和其他辦公體驗改進等多種功能。2020年疫情期間，騰訊內部6 萬餘員工、10萬餘終端通過使用零信任網路通道，遠端辦公安全網路通道機器從 6 臺快速擴容到 140 臺、增長23 倍，承載流量從不到 1G 增長至最高 20G、增長將近 20 倍，完整支援各類辦公場景，包括辦公、運維、研發、測試、客服、設計等。

除騰訊外，白皮書還收錄了完美世界、薔薇靈動、天融信、綠盟、任子行、谷歌等企業在網際網路金融、政府單位、央企集團、遊戲等行業領域的應用案例，感興趣的朋友可以關注“騰訊安全”微信公眾號，回覆“實戰白皮書”獲取全文。