零信任應該更便宜

　　作為一種新的網絡安全范式，零信任被全球熱捧的主要原因之一，就是可以更省錢。相較于傳統的基于攻防對抗的亡羊補牢式的網絡安全范式，零信任將工作重點轉向構建起精細化的最小權限的網絡結構。這樣做從成本角度看有兩個明顯的影響：

　?。ㄒ唬臒o限螺旋轉為有限收斂

　　基于攻防的網絡安全，就像是永無止境的貓鼠游戲，Tom總在嘗試抓住Jerry，Jerry永遠有新的逃逸手段，在Tom和Jerry無休止的追逐博弈中，主人的家被搞得支離破碎。這種無休止的追與逃的過程，漸漸的已經把用戶壓得喘不過氣來，他們日益厭倦乃至心生憤怒，這就是美國為啥要搞零信任的原因。零信任的指導原則就是“以不變應萬變”。安全管理者，不再花心思研究攻擊者又出啥幺蛾子了，他拒絕成為攻擊者的舞伴。相反，他反過來仔細地研究自己的業務需求，以及內部用戶的身份以及行為特征。在了解了這一切之后，他要做到的就是，只有他充分理解，有基于數學計算的信任水平的訪問才允許發生，否則就絕不可以。在這場新的戰役中，管理者首次掌握了戰場主動權，而且他還得到了來自業務團隊與內部用戶的友軍支援。雖然，研究和管理內部業務也是個需要成本的過程，但是理論上這個過程是有盡頭的，從局部到整體，從個人到部門，從一個業務到全部業務，終究是在有限集合里面的可收斂行為，無限開口的預算轉化為有限的投入，這是一次質的飛躍，正如美國聯邦首席信息官所言：“零信任是隧道盡頭的曙光”。

　?。ǘ墓魧罐D向攻擊抑制

　　正如古代的武俠小說一樣，傳統的網絡安全行業往往津津樂道于攻擊過程中的高強度對抗，刀光劍影你來我往，浪漫而低效。而事實上，早在春秋時期，兵圣孫武就提出：“不戰而屈人之兵”、“善戰者無赫赫之功”的戰略指導原則。當戰斗已經打響，那么無論作戰過程是多么的精彩，其總體成本都是極其高昂的，其總體效果只能是傷敵一千自損八百。

　　相較而言，零信任體現了更為先進的戰略理念，它以極強大的體系性戰略優勢，在最大的可能上抑制了攻擊的發生。零信任首先要做的就是“隱藏”。所謂最小權限訪問，所謂暴露面管理，目的都是隱藏。讓業務與數據只被盡量少的用戶看到，甚至就連用戶在使用過程中也并沒有真正“看到”，連“看”都看不到，還怎么攻擊呢。傳統的網絡安全體系，在網絡層面上放的極寬，這使得攻擊者很容易看到攻擊目標并展開攻擊，勝負完全取決于擋（只是對抗，但無法隱藏）在攻擊目標前面的安全設備的能力。而零信任網絡本身成為了無法被看穿、無法被穿透的異次元空間，這使得攻擊完全無法發生，正如孫子兵法所言：“善守者，藏于九地之下”。

　　如果隱藏的努力失敗了，零信任下面的努力在于快速發現與精細化隔離。零信任發現攻擊的思路與傳統的攻防對抗也完全不一樣，攻防對抗研究的是攻擊本身，那是個永遠在變化的對象，因此研究也永無止境，成本永遠在支出。而零信任研究的是業務體自身，通過比對攻擊與業務的區別來發現攻擊。首先業務本身是穩定的，獲取其特征的成本在攻防兩端極度不對稱，防御者對它的獲取是一個完全可以自動化無成本執行的過程（DEVSECOPS負責搞這一塊）。其次，業務的復雜性一點也不比攻擊的復雜性低，這個復雜性反過來成為攻擊者必須要去對抗的東西，一下子成本優勢就來到了防御者一方，所以基于業務特征的對抗要遠比基于攻擊特征的對抗便宜得多。而一旦發現了攻擊的存在，零信任的處置手段是非常精細化的，因為零信任本來就要求有最小粒度的數據獲取與控制能力，因此在處置的時候就能做到“微創”、“無痛”，避免在對網絡攻擊進行“動態清零”的過程中形成“次生危害”。

　　綜上，零信任的工作邏輯從攻擊對抗轉向攻擊抑制，進一步極大地降低了網絡安全的總體成本。

　　零信任成本構成分析

　　零信任可以極大降低網絡安全總體成本，但是零信任自身也是需要成本的。對于零信任理念的探討，在國內外已經比較充分了，但是對于零信任自身成本的探討，還非常少見。這一方面是因為零信任的成功實踐還較少，給不出太多的數據，另一方面也是因為廠商對這塊視為機密，一直采取三緘其口諱莫如深的態度，甚至還在有意無意地塑造“零信任就應該花許多錢”的刻板印象，從而達成其獲利目的。在這方面，薔薇靈動的看法與眾不同，我們認為只有讓廣大用戶明白無誤地了解零信任的成本構成，準確地了解零信任投入產出的性價比，才有可能真正放大國內的零信任市場，加快網絡安全行業的零信任轉型。因此我們很愿意和大家一起分析下零信任的成本構成。

　　零信任項目的目標，是實現對核心業務與數據的保護，要求對每一個能訪問到業務和數據的流量都做基于身份的訪問控制，一般來說，需要IAM+SDP+微隔離這三大塊。

　?。ㄒ唬㊣AM

　　IAM在零信任里作為概念，定位比較清楚，但是作為項目中的產品，就可大可小了，可以展開如下：

　　1.1   身份管理系統（必須，不一定花錢）

　　負責身份的全生命周期管理，這塊可以由用戶系統內現存的身份體系來擔任（比如AD）。一般來說，企業要經營，最基本的IT需求就是身份服務，所以，身份服務系統的存在是普遍的，當然傳統的身份服務系統能力不那么全，但畢竟可用。

　　1.2   身份安全系統（必須，不一定花錢）

　　這個是零信任的基石，傳統身份服務系統的身份管理能力較強，但身份安全能力較弱，最好有個獨立的身份安全系統，去識別校驗身份的可靠性。行業客戶一般會自己采購和建設這套東西，中小企業有很多免費工具可用，比如企業微信和釘釘。

　　● 1.2.1 身份系統對接與遷移（不必須，得花錢）

　　如果你是重新建立了一套新的身份服務+身份安全系統，一般來說，意味著你需要把過去的身份體系遷移上來，或者讓新系統和老系統之間做個對接，這個過程取決于你的用戶規模以及對接或遷移方案，但無論如何，這部分成本還是比較可觀的，用時也較長，不應該被忽視。

　　1.3   基于身份的授權管理（必須，不一定花錢）

　　零信任就是面向身份的最小授權。一般來說，在建設零信任系統之前，企業內部沒有這套東西，而這套東西是零信任的核心，所以這個肯定得弄。這套系統可能在IAM體系里，也可能在SDP或者微隔離體系里，但不管物理上存在在哪里，邏輯上得有這個東西。如果你除了微隔離和SDP所需資源權限之外還希望能管理其他權限，你當然需要獨立買一套授權管理系統，但如果你就是給SDP和微隔離用的話，建議就別單獨買了，SDP或者微隔離系統一般都帶這套東西。

　　1.4   單點登錄（SSO）系統（不必須，得花錢）

　　SSO有兩個作用，一個是提升用戶工作效率，另一個是提升老業務的整體身份安全水平。作用一挺有價值，但不是零信任的必須，作用二也挺有價值，但是與SDP沖突。所以，整體看，SSO這個功能在零信任項目里可有可無。

　　● 1.4.1 業務系統身份驗證模塊對接（不必須，得花錢）

　　如果選擇了SSO，就有一個工作必須得做，那就是讓SSO系統與每一個需要被支持的系統進行對接。這塊取決于你現有的業務規模，以及其標準化程度，當然也取決于你選取的SSO系統的兼容性水平。

　　差不多在IAM這塊，零信任需要的預算就是這些。總的看，可以是很多錢，也可以不花錢。

　　（二）SDP

　　按Gartner的理解，IAM只是前提條件，本身不是零信任的一部分。真正的零信任就兩個東西，一個ZTNA（也就是SDP），一個微隔離。SDP主要解決南北向流量問題，微隔離解決東西向流量問題，兩個東西在一起就把全部流量都搞完了。

　　2.1   策略管理引擎（必須，得花錢）

　　零信任是軟件定義的結構，其中策略定義點（PDP）是核心，所以這個引擎就是SDP最重要，也最值錢的部分，當然得買了。

　　2.2   身份安全系統（不必須，得花錢）

　　一般來說，SDP應該和IAM聯動，這比較符合零信任得理念，但是確實國內很多用戶還沒有IAM系統，所以，國內的一些SDP系統也可以自建身份安全系統，這個要看用戶了。我們的建議是最好還是獨立建設IAM，然后別忘了讓SDP供應商在報價時把這部分系統的能力刨除下去。

　　2.3   終端（必須，得花錢）

　　SDP有兩類，一類是基于客戶端的，這花錢好理解，但還有一類是基于瀏覽器隔離技術的，原則上不需要客戶端，但是在購買的時候還是要基于用戶接入數量支付費用。

　　● 2.3.1 終端安全系統（不必須，得花錢）

　　國外的SDP一般在終端安全上采用聯動方案，但國內的SDP很多都有較重的終端安全能力。這塊咋說呢，也不是說就一定好或者不好。要看用戶現在有沒有終端安全，也要看SDP自帶的終端安全能力如何，以及計算開銷怎樣。終端License是SDP采購成本中的大頭，而一般用戶都有一定的終端安全能力（免費的或付費的），所以如果不必要的話，把終端安全能力砍掉，只保留基本的網絡能力和身份能力，既降低終端資源開銷又省錢。

　　2.4   網關（必須，得花錢）

　　這個沒啥說的，要做服務隱藏，要做加密通信這些都需要一個網關的存在，而且網關的能力（比如吞吐、穩定性啥的）是SDP系統的核心能力。要說省錢吧，建議最好用虛擬化網關，因為硬件算力其實很便宜了，網關虛擬化后，不但不用多付硬件的錢，而且部署和管理都更加的方便，將來進行資源升級也很方便（硬件就得重新買了）。

　　2.5   與業務系統對接（必須，得花錢）

　　SDP要保護現有業務，必須和業務系統做對接，但復雜度不一樣。一般來說，對接分為兩塊，一塊是業務對接，一塊是技術對接。業務對接指的是讓SDP理解業務的訪問需求，并基于訪問需求設計最小權限策略（這部分是不可免的）。而技術對接的成本，要看SDP的具體技術，多數SDP產品采用的是七層代理，這就要求和業務做HTTP協議對接，除了SDP產品要做定制開發，原有的業務往往也得做出改動，這個成本較高。而還有的SDP技術采用的是四層隧道技術，這就不需要做任何的業務對接了。

　　跟SDP有關的指出就這些，這塊無論如何要花些錢，畢竟這是零信任的核心部分，但根據方案的不同，成本相差可以很大。

　?。ㄈ┪⒏綦x

　　3.1   引擎（必須，得花錢）

　　和SDP一樣，策略定義引擎也是微隔離產品的核心，因此需要花錢。和SDP不一樣的地方是，微隔離引擎的復雜度要高得多，根據管理規模不同，往往要求更大規格的策略管理引擎。這塊要注意這個引擎的可擴展性（最多能管多少服務器，是否滿足你的需求）。如果擴展性不強，將來就有可能還得重買，這部分錢就白花了。

　　3.2   終端（必須，得花錢）

　　微隔離的控制點在端上，因此這部分也是微隔離體系中不可或缺的部分。

　　● 3.2.1 終端安全（不必須，得花錢）

　　從國內外的實踐看，服務器端終端安全和微隔離基本沒有什么聯系，沒有任何供應商，敢基于服務器端終端安全產生的有很高誤報率的安全事件進行阻斷。另外，服務器端終端安全往往有較大系統開銷，在真正的關鍵業務生產網上部署很少，即使偶有部署的案例，后期往往由于各種問題被卸載掉。

　　3.3   業務系統對接（必須，得花錢）

　　微隔離部署完成后，需要對業務系統的東西向流量進行分析，并根據業務構成配置微隔離策略，這部分是不可少的。區別在于，有經驗的廠商會讓這個過程比較順暢，從而降低實施成本。

　　以上，就是我們對零信任項目全部成本構成的分析，可以看出來，零信任的內核部分其實并不大，但可選的技術模塊較多，根據用戶的具體選擇，成本可能有很大的不同。

　　統一微隔離的成本分析

　　統一微隔離是薔薇靈動在ZTNA技術和微隔離技術的基礎上研發的新一代零信任產品，可以通過一個產品解決用戶的全部業務訪問的零信任安全問題。在具體實施統一微隔離項目的過程中，根據用戶的不同技術選擇，統一微隔離項目的成本也會有一定的變化，但是，本文的標題是“用統一微隔離做零信任可以多便宜”，因此我們將在這個部分給出一個投入最少但功能完整的解決方案。

　?。ㄒ唬┍尘?/p>

　　薔薇靈動自己也是家中小企業，因此我們對零信任當然也是有需求的。而作為一家網絡安全公司，我們在認知上對于很多安全上過于激（kua）進（zhang）的價值主張一直抱有較深的懷疑態度。因此薔薇靈動在規劃統一微隔離的時候，從自身實際需求、企業資源限制、以及目前國內外最佳實踐的多維角度出發，設計出了一套與眾不同，簡約而不簡單的產品架構。本文要給出的就是我們自己的網絡安全實踐。

　?。ǘ臒o限螺旋轉為有限收斂

　　2.1   IAM

　　我們用的是釘釘，其實企業微信和飛書也可以，他們都內建了組織架構系統，而且都有極強的身份驗證能力，最關鍵的是，他們都是免費的。

　　2.2   統一微隔離引擎

　　薔薇靈動的統一微隔離兼具ZTNA和微隔離能力，一套引擎干兩套引擎的活，少用一套引擎不說，管理、維護以及算力開銷都低了不少。

　　2.3   終端

　　統一微隔離把用戶終端和數據中心終端放在一起來管理，加起來部署了幾百個點吧。

　　2.4   終端安全

　　服務器端沒有終端安全，用戶側主要依靠免費安全軟件。

　　2.5   網關

　　用兩臺4核8G虛擬機搭建起一對HA統一微隔離網關。統一微隔離網關為四層架構，因此不需要做業務適配，可以對現存業務做完整的防護。

　　2.6   云端無網關

　　這里再介紹一個薔薇靈動的獨門絕技。一般來說SDP都是必須要有網關的，雖說薔薇的網關是虛擬化的，花在算力上的錢比軟硬一體產品少多了，但是這畢竟也是錢呀，尤其是考慮到公有云場景，哪怕是建立一個2核4G的小鏡像，一年也得大幾百的成本。不過，大家別忘了，薔薇靈動是干微隔離出身，我們擁有點到點直接訪問控制的能力，因此我們在云端就沒有部署網關，而是通過工作負載上的終端直接進行訪問控制，這又省了一筆錢。

　　（三）效果

　　3.1   所有業務完成身份安全升級

　　過去薔薇很多自建業務（比如wiki、代碼服務器、文件服務器等）甚至都沒有身份安全的設計，有也只是簡單的用戶名密碼系統?，F在，所有業務的訪問都必須經過釘釘系統的身份認證，相當于一分錢沒花，讓這些系統的身份安全都達到了一個業界非常主流的水平上。

　　3.2   所有業務系統基于身份做零信任訪控

　　過去薔薇的業務系統的訪問控制也是基于IP來做的，服務器有一個固定網段，辦公網有一個大的網段，通過開源防火墻實現從辦公網段到服務器網段的訪問控制?，F在，已經全部實現基于用戶身份（角色）到域名的細粒度訪問控制。

　　3.3   域名改造與IP地址隱藏

　　過去，對服務器的訪問時直接面向IP的。現在，利用統一微隔離的FAKEDNS能力，實現了域名化改造。不但如此，FAKEDNS還會對服務器IP地址進行偽造和隱藏，用戶通過DNS解析得到的是個虛擬IP地址，真實地址不再可見。而且通過服務器上部署的微隔離終端與微隔離網關之間的策略協同，使得一切嘗試繞過網關的訪問都無法成功，徹底鎖死了業務的訪問路徑。

　　3.4   云端統一防護

　　薔薇的網站是部署在云端的，從接入的體驗來說，以及對DDOS攻擊的防御水平而言，公有云顯然更有優勢，另外，把對公眾的業務放在本地其實相當于開了一個本地業務對互聯網的大口子，也不是個安全的做法。但是，因為云端就這么一臺虛擬機，要是為了這一臺虛擬機再買一臺虛擬機做微隔離網關就顯得太浪費了。于是我們采用了基于端點的防御能力，把從公司員工到網站的運維管理流量給管理了起來，網站只留一個對公網的443端口。

　　3.5   遠程安全接入

　　薔薇的團隊，主要分布在北京、上海、深圳和武漢。疫情期間，各團隊被反復隔離在家。但是由于部署了統一微隔離系統，使得員工在家辦公和在辦公室辦公基本沒有任何區別。不但對于全部內部業務（包括各種測試、運維、遠程桌面等）都能正常使用，而且由于采用了終端分流的技術，使得只有企業業務被引流回公司數據中心，而其它業務還走原來的網絡路徑，使得企業網的壓力也沒有太過劇烈的上升，挺住了疫情期間遠程訪問集中爆發的網絡壓力。

　　而實現這一切，我們沒花一分錢（因為統一微隔離是我們做的）。我們想，如果我們的用戶也采用我們的方案（雖然不完美，但真的很夠用了），那么除了統一微隔離，他也不用花任何額外的一分錢。有人說，你們這個就叫丐版零信任吧。我們說，這咋能叫丐版零信任呢，應該叫普惠零信任！

更多信息可以來這里獲取==>>電子技術應用-AET<<