零信任嵌入式安全沙箱技術對企業轉型的優勢

零信任模型介紹

零信任是一種基於嚴格身份驗證的網路安全架構。在該架構下，只有經過驗證與授權的使用者和裝置才能訪問應用程式與資料。同時，它保護這類應用程式和使用者遠離複雜的網際網路危險。

這類模型最初是由 Forrester 研究公司的分析師提出的。隨著數字化轉型對企業網路安全架構帶來的影響愈發強烈，零信任模型的作用也變得愈發重要。

零信任模型的基礎

我們將零信任視為一種經過深思熟慮的概念，可用於構建網路安全生態系統。因此，這能表明我們在實施這種方法後想要實現的最終目標。

零信任安全模型的三大支柱：

• 關閉所有連線

防火牆等許多系統採用傳輸策略，資料在接受稽核時被傳輸到接收方。在此情況下，如果發現惡意檔案，則會發出通知，但通常為時已晚。零信任的用處在於，它會關閉所有連線，讓系統可以在不熟悉的檔案到達目的地之前對檔案加以儲存和分析。代理架構負責以線速檢查所有流量，這包括加密流量，深度資料和威脅分析予以進一步的支援。

• 消除攻擊面以降低風險頻率

由於零信任，使用者只需連線到他們需要的應用程式和服務，無需連線到網路。允許一對一連線，減小橫向移動的可能性，並防止受感染裝置盯上其他網路資源。值得注意的是，由零信任保護的人和應用程式在網際網路上不可見，因此無法被跟蹤或定位。

• 使用細粒度策略的資料保護

零信任使用使用者標識和裝置狀態來智慧驗證訪問許可權。它還因基於環境（比如裝置、使用者、請求的應用程式和內容型別）採用特定的業務法規而受到認可。當環境發生變化（比如使用者的裝置或位置）時，由於策略是可調整的，因此使用者的訪問能力也會受到定期檢查。

零信任對企業的優勢

• 有效控制雲和容器環境

說到遷移到雲和使用雲，安全專家最擔心的是失去可見性和訪問管理。儘管雲服務提供商（CSP）近年來在安全方面取得了顯著進步，但工作負載安全這個問題仍然是 CSP 和使用雲的公司的共同責任。

實施零信任架構時，安全策略基於所識別的通訊工作負載，並直接與工作負載相關聯。因此，安全措施會盡可能貼近需要保護的資產，不受 IP 地址和協議等網路結構的影響。保護機制不僅能夠適應試圖傳輸的工作負載，而且環境變化後，依然能夠保持一致。

• 降低資料洩露風險

由於零信任基於最小特權原則，因此會假設每個實體（裝置、使用者和工作負載）都是敵對的。每個請求都要經過審查，個人和裝置都需得到確認，許可權都要得到評估，之後才能建立信任。此外，每當環境發生變化，比如使用者的位置或所訪問的資料，這種“信任”都會進行重複審查。

由於不可信賴，透過受感染裝置或其他弱點訪問網路或雲例項的攻擊者將無法獲取資料。此外，透過零信任安全方法所建立安全的網段，無法橫向遷移。因而，攻擊者將無處可去，所有訪問都將受到阻止。

• 助力合規計劃

零信任分段可用於針對特定類別的敏感資料設立邊界，這包括資料備份、PCI 資料和信用卡資料。採用細粒度限制有助於受監管的資訊和不受監管的資訊之間保持資料的清晰分離。對於在資料洩露事件中提供過度特權訪問的扁平網路設計，零信任分段解決方案提供了更大的可見性和控制性。

• 降低業務和組織層面的風險

在零信任模型中，所有應用程式和服務都被視為是有害的，除非它們的身份特徵得到明確驗證，否則無法通訊。

因此，零信任透過暴露網路上的所有內容以及這些資產的連線方式來降低風險。由於已建立了基準，零信任還會刪除過度配置的軟體和服務以及定期驗證每個通訊資產的憑據，以降低風險。

零信任嵌入式安全沙箱技術

支撐數字化的下一代企業軟體是什麼樣子的？凡泰極客認為“小程式化”、“安全沙箱化”是其中一個基石。邏輯如下：

• 企業的一切業務內容，表現方式就是軟體化程式碼化。企業的數字內容資產，就是軟體
• 軟體形態和過去不一樣了，它已經徹底脫離PC時代的“單機”，它天然是網路化的、連線型的、傳播式的，企業需要掌握軟體的出版權、分發權、流動權、使用權
• 隨需隨用、用完即走的“輕應用”軟體形態（見 《怎麼理解後App時代的輕應用技術》 ），最符合上述要求。其中“小程式”又是輕應用型別技術中最有廣泛基礎、最貼近Web因此最有生命力的技術（見 《似水無形 - 小程式化》 ）。
• 使用者甚至不再需要去主動意識到“軟體”這個概念的強存在，程式碼都是自動下載、看到就用到的，不再有傳統觀念下的安裝、升級，一切都是透明的
• 透過網路分發傳播而下載執行的程式碼，永遠不可信賴，它只能被關在安全沙箱這樣的隔離環境裡面跑，沒有其他選擇
• 傳統企業之間的資源交換與整合，它的數字化形態就是交換自己的“數字內容資產”，也就是我的平臺讓你的軟體放進來跑一跑服務我的客戶，我的軟體投放到你的環境裡觸達一下你的客戶。“你中有我，我中有你”，可是我們倆彼此在技術層面沒有任何信任基礎，只認技術安全，“零信任”。所以你的程式碼我只能放在沙箱裡跑，我投放到你那邊的程式碼，也用沙箱隔離著你的環境
• 在所謂企業“內網”裡，執行的一切軟體，也不能保證安全，誰知道程式碼裡面用了什麼開源元件、供應鏈是不是已經被汙染、是否隨著員工隨身裝置“肉身”翻入了防火牆內部？都得被安全沙箱關著才能執行

凡泰極客的FinClip技術，是一種雲端可控的裝置端（包括IoT）安全沙箱技術，它以可分發、可流通的小程式程式碼格式為軟體形態，充當下一代企業應用軟體的技術底座。 作為Web前端技術的“超集”，基於令牌（non-forgeable token）的安全模型，和當前“零信任架構”下的其他基礎技術在最貼近使用者、應用的地方能建立良好的配合。

同時，FinClip它有一個比較有趣的邏輯： 企業的軟體供應鏈在數字化時代可能是需要被重新定義的 - 有可能你的合作伙伴的程式碼執行在你這裡、也有可能你的程式碼借道合作伙伴的平臺去觸達對方的客戶。FinClip的核心是一個可嵌入任何iOS/Android App、Windows/MacOS/Linux Desktop Software、Android/Linux作業系統、IoT/車載系統的多終端安全執行沙箱。

FinClip安全沙箱中執行的輕應用，選擇了相容網際網路主流的小程式規範。這是一個非常明智的設計，FinClip的開發團隊沒有重新發明自己的技術規格，而是全力支援小程式這種形態的輕應用，一方面是因為小程式類技術的體驗和效果在網際網路上得到充分驗證、獲得巨大成功，另一方面是網上積累了豐富的技術生態、開發框架、以及更重要的 - 人才資源，從而讓企業IT幾乎是無縫掌握這個技術，能迅速投入應用。

零信任架構，可以幫助你確保應用程式的安全性、適應性與可擴充套件性。企業必須保持零信任網路架構才能保持競爭力。無論使用者和裝置位於何處，零信任都能夠保護企業資料，併為應用程式的快速流暢執行保駕護航。