圓桌論道 | 拆大牆建小牆，零信任安全怎麼做？

數字經濟時代，傳統網路安全邊界消弭，內外部安全威脅持續增加，基於零信任構建企業安全治理體系已成為不少企業、機構的共識。但作為一種安全理念，如何將零信任落地到企業的具體業務場景，構建起企業安全的護城河，業界仍存在不少困惑與分歧。

5月14日，以“以零信任 重建信任”為主題的零信任發展趨勢論壇在上海舉行。會議的圓桌環節，在北京賽博英傑科技有限公司創始人兼董事長譚曉生的主持下，CSA大中華區研究院副院長賈良玉、天融信科技集團高階副總裁楊斌、騰訊企業IT部企業安全中心高階總監蔡晨、葛蘭素史克資訊保安總監顧偉、中國移動設計院網信安全產品部諮詢研發總監張晨五位行業大咖，圍繞零信任的具體落地路徑展開了深入的交流與碰撞，為企業依託零信任構建安全治理體系提供了方向與路徑指引。

以下是圓桌對話摘要：

譚曉生：今天到場的五位嘉賓所代表的企業都很典型，葛蘭素史克的顧總是典型的甲方客戶；騰訊從2016年開始作為甲方在內部實施零信任解決方案，現在又把自己的技術和經驗轉化成乙方的解決方案；賈院長和中國移動曾經在標準制定方面做了比較多的工作，而天融信是典型的廠商代表。今天我們首先將葛蘭素史克作為客戶來剖析，看看它遇到了哪些痛點，希望透過零信任來解決哪些問題。

顧偉：主要有三個方面：

一是資料安全。隨著《網路安全法》等法律法規出臺，外資企業在國內面臨著越來越大的安全合規壓力。全球化業務的發展造成了資料跨境的未知風險，為了讓中國的業務獨立、健康運營，我們正在思考建立一套既能把資料留在國內，又能讓國外使用者訪問的資料安全管理體系。

二是遠端辦公。在疫情還沒有得到完全控制的情況下，遠端辦公需求依舊旺盛。

三是第三方協同。葛蘭素史克的很多業務需要第三方合作伙伴遠端協同，如何在賦予他們許可權的同時，做好工作負載的細節化控制和南北向的安全訪問控制等也是我們面臨的一大挑戰。

譚曉生：顧總提到了三種典型場景——資料安全、遠端辦公和第三方協同。中國移動對葛蘭素史克的痛點和需求是怎樣分析的，零信任可以怎樣幫助它解決問題。

張晨：葛蘭素史克的資料安全需求和中國移動正在提的“資料不能離網”有很大相似性。中國移動嘗試各種各樣的資料安全或者資料共享方案，也是希望關鍵資料符合國家相關法律要求：一方面發揮資料的價值，一方面不觸碰法律紅線，侵犯使用者隱私。

我們很需要零信任這樣一種技術，幫助掌握內部員工使用資料時發生了什麼，以及出現違規使用資料的行為時，企業是否按照相應機制進行了阻攔和應急處理。我們希望透過這樣一個充分完整的證據鏈，盡到資料保護的義務。

譚曉生：葛蘭素史克所提到的三種場景下的問題，天融信的產品能否解決？

楊斌：我們在設計產品和方案時，針對資料安全主要從三個方面著手：一是強調應用和資料分離；二是在應用和資料中間有一個API閘道器，專門做資料級的校驗和許可權控制；三是在終端側可以對使用者行為進行感知，比如在什麼時間點訪問了哪些資料。一旦檢測到異常行為，系統便會自動告警。

譚曉生：針對葛蘭素史克遇到的問題，騰訊有哪些比較好的應對辦法？

蔡晨：在騰訊看來，零信任是一種理念，是一個能夠在未來長期有效解決現有安全問題的通用方法論。沿著這一理念，不同行業和企業根據其特性和管理風格，會有不同的落地路徑和產品功能。

通常來說，企業面臨的安全問題可以歸結成三大類：一是病毒、木馬等常規安全問題，比如近兩年常見的勒索病毒，它會影響到生產系統，導致生產系統癱瘓；二是APT攻擊，有可能導致企業的核心資料、敏感生產資料等被駭客或者惡意境外組織竊取，這是國家層面和高科技企業比較關注的領域；三是公司內部人員導致的生產資料、客戶資料等敏感資料洩露。以上三類問題，騰訊和合作夥伴都曾遇到過，騰訊的解決方案也全部都實現了覆蓋。

騰訊在解決這些問題時不僅追求安全性，也融合了“以人為本”的網際網路企業文化。有些行業，比如監管合規要求比較嚴格的行業，安全和體驗、效率往往無法做到平衡，而騰訊是兩手都要抓，既保證安全性，也追求效率和體驗。以遠端辦公為例，普通零信任解決方案中，使用者每次變換辦公環境都需要進行驗證，過程比較繁瑣，而騰訊iOA透過一鍵登入在確保安全性的前提下，大幅改善了使用者體驗。

譚曉生：零信任的持續驗證到底要做到什麼頻度才夠？一分鐘或者十分鐘驗證一次？員工在上班過程中是否每次切換工作場景都要驗證？

蔡晨：“永不信任、持續驗證”是一種理念，具體到技術和產品實現，首先要考慮的是如何做到可信。我們針對每一個請求都做了校驗，校驗過程不一定需要使用者參與，而是可以在程式和後臺層面動態化地跟蹤和變更。這就要求後臺要有持續的動態校驗和評估能力，而且客戶端也需要有動態的跟蹤能力。

譚曉生：如果騰訊iOA要滿足葛蘭素史克的要求，你會建議他怎麼部署？

蔡晨：如果是沒有歷史包袱的企業，我會建議在搭建每一個業務系統的過程中，就原生包含持續驗證的理念。但如果是像騰訊一樣有歷史年代的企業，則需要基於現有的系統將傳統架構升級為零信任架構。這種情況要遵循“拆大牆建小牆”的原則。

傳統的邊界防禦模型，核心是用防火牆把企業網路根據不同業務隔離成不同保護等級的區域。現在我們要做的第一件事就是把這些牆拆掉。建小牆是什麼意思呢？隨著企業基礎設施上雲，員工的主要風險來源就是端，因此我們需要在端和應用之間建一堵小牆——即iOA閘道器，保證從端過來的每一個請求都經過校驗。

譚曉生：從CSA的研究視角來看，如何評價騰訊這套解決方案？

賈良玉：零信任是一種安全理念和戰略，有些企業把簡單的安全產品包裝成零信任，這是遠遠不夠的。特別是對甲方企業來說，確定零信任理念後，還需要根據自身實際情況來實施。現在很多企業不提具體的安全策略，把原來的產品換個名字就打著零信任的概念推出去了。零信任是雙向的，不僅要校驗進來的請求，還要校驗出去的請求，現在大多數企業都不校驗出來的請求，這並不符合零信任的要求。

騰訊的“拆大牆建小牆”，很好地利用了零信任當中的微隔離技術。以前的“牆”叫做邊界，內網和外網的邊界是固定的，但後來劃分的顆粒度越來越細，就演變出了微隔離、SDP這些新技術。零信任的關鍵支撐技術就是SIM+SDP+微隔離，這塊還有很多工作要做。

譚曉生：中國移動如何看待剛才騰訊所提到的“拆大牆建小牆”的說法？

張晨：蔡總把零信任的價值分成三個層面，我個人非常認可。零信任在防禦APT方面的效果立竿見影，在保護員工遠端辦公時不被惡意利用方面也非常有效。但如何平衡內部人員的操作合規性和工作效率，我認為這方面還有很多工作要做。理解運維人員的行為比理解研發人員等的行為難多了。這種情況下如何將誤告警率控制在合理範圍內，不讓原本一個晚上就能做完的事情變成三四天的工作量，這是很有挑戰的。

至於“拆大牆建小牆”，我們會在不同地方設定不同的檢查節點防止資料洩露。經過多年的安全實踐我發現，過去粗放式的安全解決方案中，安全節點的數量和路由器、交換機等相比幾乎可以忽略不計，而當我們把安全工作做得越來越好時，安全節點的數量也開始顯著增加，變得十分龐大。這究竟是安全生產正規化的轉變，還是未來隨著安全技術發展成熟，安全節點的數量仍能控制在合理範圍內？這是我比較困惑的點。

譚曉生：騰訊過去對於網路的安全域劃分是透過防火牆或者網路裝置的ACL來解決的，現在騰訊的解決方案是否已經用SDP技術全面取代了防火牆？“拆大牆建小牆”，微隔離需要劃分到多細的顆粒度？

蔡晨：騰訊內部是一個混合雲結構，雖然都遵循零信任理念，但每個業務的安全運營策略仍舊有所差異。以資料安全為例，它主要解決的是“內鬼”的問題。在騰訊內部，非敏感重要崗位接觸不到很敏感的資料，針對這部分員工，微隔離細化到裝置就足夠了。如果是敏感團隊，而且本身有合規、監管方面的要求，那麼它的顆粒度就需要更細。要給資料打上相應的標籤，跟蹤其流轉情況，包括從伺服器到堡壘機甚至到PC、隨身碟的整個鏈路。

譚曉生：運維人員日常要訪問的東西較多，零信任策略會不會存在誤阻攔，導致工作效率降低？

蔡晨：判斷某項操作是否安全合規，光靠零信任終端產品是不夠的，還需藉助UEBA甚至AI等新技術。騰訊內部會利用機器學習演算法，實時分析運維人員的操作與常規操作是否一致，以及是否存在額外風險。過去安全系統是割裂的，發現問題後需要運維和安全人員手動操作。而騰訊安全大腦可以與各個安全系統高效聯動，發現安全問題自動排程各個系統進行處理，大幅提高了對抗能力。

譚曉生：相信很多其他企業在發展的過程中，都會遇到類似的問題，騰訊和中國移動分屬於不同的領域，中國移動如何看待此類問題？

張晨：中國移動也在做類似的嘗試，但電信運營商的網路複雜度和網際網路公司相比有很大區別，機器學習的成本也高得多，目前實踐效果不夠理想。比如運維正在進行一項關鍵操作，UEBA把它攔下了，中間出現了一段懸空狀態，這對網際網路公司可能沒什麼影響，但對通訊網路的影響不好估量。

譚曉生：從甲方客戶的視角來看，剛才幾位專家的討論對葛蘭素史克的下一步安全建設是否有所啟發？

顧偉：零信任是一個很好的理念，但是不是所有企業都能用的很好，需要根據其自身情況來定。

首先是成本。要做到持續驗證，必須把基石鋪得很好，由此帶來的終端成本是否合理？

其次是人力。就葛蘭素史克而言，它在全球有非常豐富的安全資源，但中國是相對獨立的業務，沒有很好的安全能力，主要依賴第三方。我們內部沒有很多安全運維人員，只有安全標準和框架，需要第三方來具體實施。

第三是歷史包袱。拿資料層面的標籤驗證來說，它的前置條件是做好資料分類分級，缺少這個條件就無法實現。

譚曉生：葛蘭素史克遇到的問題是沒人、沒錢和系統改造難度大，針對這類客戶騰訊可以提供怎樣的解決方案？

蔡晨：我這兩年做得比較多的一件事情，是和騰訊安全團隊一起，用騰訊零信任相關的最佳實踐和產品賦能產業網際網路。我們服務了很多家世界500強企業，發現每個行業的安全建設成熟度是不一致的，行業的文化、特性也有所差異。但我有信心和騰訊安全一起，找到更加符合每個行業特性的解決方案。

零信任是一種理念，不能依靠單個產品解決所有問題，但只要能解決你當下最迫切的問題，它的價值和收益就是非常大的。騰訊經過這兩年的產業網際網路實踐，不僅對網際網路行業非常熟悉，也對物流、教育、地產等行業有了更加深入的理解，可以透過產品迭代，真正滿足他們的一些安全訴求。

譚曉生：最後幾分鐘，我們來討論一下零信任之後會有什麼。想問問騰訊和CSA如何看待零信任與SASE的關係。

蔡晨：我個人理解，SASE概念比零信任更大，它是一個雲安全邊界的概念，還包括SDN、SD-WAN等雲上安全能力。它實際是組合了身份認證、邊界訪問、微隔離等安全技術，共同來解決雲上訪問的安全問題。騰訊雲作為專業的雲服務廠商，在相關技術和元件上已經擁有多年的積累，目前正在將概念和產品進行整合。

賈良玉：SASE主要針對邊緣訪問，它不僅僅是安全，還包括了很多其他功能。SASE是從SD-WAN發展出來的，它可以結合零信任理念，把其中的一些技術——比如SDP、微隔離加入其中。

而從安全形度來說，除了邊緣訪問安全還有終端安全等等，這是SASE覆蓋不了的，但可以用零信任來補充。簡單來說，從安全形度出發，零信任比SASE的範圍更大，SASE只是在邊緣上零信任的一種具體實現。