（《零信任接口應(yīng)用白皮書（2021）》編制單位）

任重道遠(yuǎn)，零信任廣泛落地仍需面對(duì)現(xiàn)實(shí)困難

隨著云化技術(shù)發(fā)展，傳統(tǒng)以邊界防御為核心的安全模型已無法應(yīng)對(duì)現(xiàn)代網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，圍繞“Never trust，always verify”為基本原則的零信任理念給安全建設(shè)提供了新的理論支撐，被業(yè)界廣泛追捧和認(rèn)可。

然而，當(dāng)前零信任在實(shí)際落地中仍面臨諸多困難，薔薇靈動(dòng)產(chǎn)品總監(jiān)熊瑛表示，作為專注于數(shù)據(jù)中心零信任的解決方案提供商，薔薇靈動(dòng)在其實(shí)踐落地中發(fā)現(xiàn)兩個(gè)突出問題。首先，零信任作為新安全理念，大家對(duì)其理解并不統(tǒng)一，業(yè)內(nèi)廠商各說各話，廠商與客戶間常在不統(tǒng)一的話語體系中溝通，更有甚者經(jīng)常會(huì)搞混零信任的應(yīng)用場景。第二，零信任本質(zhì)是面向業(yè)務(wù)進(jìn)行全要素納管和細(xì)粒度的訪問控制，就數(shù)據(jù)中心落地零信任而言，工作負(fù)載數(shù)量規(guī)模普遍較大，但是由于用戶端IT管理水平參差不齊，在工作負(fù)載的管理能力上普遍薄弱，這就造成前期可能需要花費(fèi)大量時(shí)間去做資產(chǎn)的業(yè)務(wù)角色梳理，而用戶如果對(duì)于前期工作量的投入持有疑慮，將對(duì)項(xiàng)目推進(jìn)產(chǎn)生很大阻力。

除此之外，與會(huì)專家也紛紛表示，很多企業(yè)目前都有比較健全的網(wǎng)絡(luò)架構(gòu)，且各企業(yè)網(wǎng)絡(luò)架構(gòu)情況各不相同，如何在現(xiàn)有安全建構(gòu)基礎(chǔ)上進(jìn)行零信任安全能力的集成，不同廠商的安全產(chǎn)品與服務(wù)如何對(duì)接，遇到與現(xiàn)有業(yè)務(wù)運(yùn)作流程沖突應(yīng)如何取舍等，都是目前零信任落地中的疑難問題。而針對(duì)不同用戶的問題和需求，在缺乏統(tǒng)一標(biāo)準(zhǔn)、接口的當(dāng)下，均需要提供專門的定制化解決方案，復(fù)制難度較大，零信任落地推廣之路仍面臨諸多現(xiàn)實(shí)問題。

標(biāo)準(zhǔn)先行，統(tǒng)一標(biāo)準(zhǔn)是新技術(shù)推廣的有力抓手

今年6月，中電標(biāo)協(xié)發(fā)布了《零信任系統(tǒng)技術(shù)規(guī)范》團(tuán)體標(biāo)準(zhǔn)。該標(biāo)準(zhǔn)由零信任標(biāo)準(zhǔn)工作組編寫，明確了零信任理念、基本假設(shè)、基本原則及運(yùn)用場景，重點(diǎn)針對(duì)用戶訪問資源、服務(wù)之間調(diào)用兩大零信任運(yùn)用場景提出了系統(tǒng)邏輯架構(gòu)、認(rèn)證、訪問授權(quán)管理、傳輸安全、安全審計(jì)、自身安全等方面的功能、性能技術(shù)要求和相應(yīng)的測(cè)試方法。作為國內(nèi)首個(gè)零信任相關(guān)團(tuán)體標(biāo)準(zhǔn)，《零信任系統(tǒng)技術(shù)規(guī)范》在建立統(tǒng)一標(biāo)準(zhǔn)化定義基礎(chǔ)上，有助于行業(yè)各方進(jìn)一步洞察技術(shù)框架全貌，厘清各功能邊界，在產(chǎn)業(yè)發(fā)展和技術(shù)運(yùn)用上具有很強(qiáng)的指導(dǎo)作用。

本次會(huì)議上發(fā)布的《零信任接口應(yīng)用白皮書（2021）》，全面涵蓋了零信任系統(tǒng)服務(wù)接口需求、層次劃分、接口標(biāo)準(zhǔn)描述和接口應(yīng)用場景等內(nèi)容，重點(diǎn)就身份安全、威脅情報(bào)、配置管理、密碼服務(wù)、訪問控制、安全聯(lián)動(dòng)6類接口進(jìn)行了詳細(xì)描述。本白皮書是《零信任系統(tǒng)技術(shù)規(guī)范》標(biāo)準(zhǔn)基礎(chǔ)上的進(jìn)一步研究深化，通過解決零信任系統(tǒng)的模塊架構(gòu)和模塊之間互聯(lián)互通難題，將為零信任框架的進(jìn)一步落地提供技術(shù)實(shí)踐指導(dǎo)。

（零信任結(jié)構(gòu)全景圖）

以零信任與配置管理系統(tǒng)的對(duì)接為例，薔薇靈動(dòng)在為國內(nèi)某大型互聯(lián)網(wǎng)金融企業(yè)構(gòu)建數(shù)據(jù)中心零信任項(xiàng)目中，其自適應(yīng)微隔離安全平臺(tái)通過與客戶現(xiàn)有的CMDB系統(tǒng)對(duì)接，并基于統(tǒng)一的資產(chǎn)信息進(jìn)行業(yè)務(wù)角色標(biāo)定，在較短的時(shí)間內(nèi)便完成了兩地三中心數(shù)萬點(diǎn)工作負(fù)載的微隔離部署工作，實(shí)現(xiàn)了安全控制與業(yè)務(wù)流程的高效融合。未來，如果微隔離系統(tǒng)與CMDB能夠形成統(tǒng)一接口標(biāo)準(zhǔn)，則將極大有助于降低微隔離系統(tǒng)的實(shí)施成本，從而促進(jìn)數(shù)據(jù)中心零信任方案快速落地推廣。

（工作負(fù)載數(shù)據(jù)同步接口）

打破藩籬，開放生態(tài)是零信任高速發(fā)展的未來

隨著零信任安全相關(guān)標(biāo)準(zhǔn)的推出，其框架已經(jīng)得到了行業(yè)內(nèi)越來越強(qiáng)的共識(shí)。從狹義零信任而言，被視為零信任三駕馬車的身份和訪問管理（IAM）、軟件定義邊界（SDP）、微隔離（Micro Segmentation）僅僅算是其核心的結(jié)構(gòu)性要求。換言之，上述三項(xiàng)技術(shù)和方案的部署是開展零信任的基礎(chǔ)。

從更廣義的零信任而言，我們關(guān)注到國內(nèi)外目前發(fā)布的所有零信任指導(dǎo)架構(gòu)中都描述了更大的體系。例如，前不久發(fā)布的《零信任系統(tǒng)技術(shù)規(guī)范》中體現(xiàn)了零信任需與多類第三方支撐系統(tǒng)協(xié)同，以集成更為廣泛的安全能力。美國國防部在《零信任參考架構(gòu)》中提出“零信任能力7支柱”模型，認(rèn)為零信任的安全能力需要覆蓋用戶、設(shè)備、網(wǎng)絡(luò)/環(huán)境、應(yīng)用、數(shù)據(jù)、可視化分析、自動(dòng)化編排等方方面面，粗略統(tǒng)計(jì)即有30余類技術(shù)和對(duì)應(yīng)產(chǎn)品可融入該框架。

（美國國防部《零信任參考架構(gòu)》中“零信任能力7支柱”模型）

就實(shí)際情況而言，沒有任何廠家的產(chǎn)品可以對(duì)30余類產(chǎn)品進(jìn)行全面覆蓋，而基于用戶端不同網(wǎng)絡(luò)架構(gòu)及安全建設(shè)程度，所需產(chǎn)品及能力也各不相同，所以健康可持續(xù)發(fā)展的零信任建設(shè)需集各家之所長，在開放協(xié)作中發(fā)展。各廠商既要找準(zhǔn)市場定位，發(fā)揮技術(shù)專長，不提斷升產(chǎn)品性能及服務(wù)水平，也要加強(qiáng)生態(tài)協(xié)作和互聯(lián)互通。全行業(yè)只有合力對(duì)標(biāo)準(zhǔn)及接口應(yīng)用不斷進(jìn)行完善，構(gòu)建健全的生態(tài)鏈，才能快速提升整個(gè)行業(yè)的交付質(zhì)量，擴(kuò)大零信任市場范圍，促進(jìn)產(chǎn)業(yè)良性循環(huán)及健康發(fā)展。

作為國內(nèi)數(shù)據(jù)中心零信任建設(shè)的先行者和長期實(shí)踐者，薔薇靈動(dòng)積極參與了《零信任系統(tǒng)技術(shù)規(guī)范》及《零信任接口應(yīng)用白皮書（2021）》的編制工作。目前，行業(yè)標(biāo)準(zhǔn)化、接口開放化仍處在早期階段，伴隨開放生態(tài)下的協(xié)作及更多項(xiàng)目的成功落地，高度協(xié)同的解決方案也將得到持續(xù)完善，薔薇靈動(dòng)將為此持續(xù)貢獻(xiàn)力量。

免責(zé)聲明：市場有風(fēng)險(xiǎn)，選擇需謹(jǐn)慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞： 信任 參編 國內(nèi)