當零信任和云安全組起CP，如何架構來強防護安全體系？

萬物互聯(lián)時代，現(xiàn)代企業(yè)如果僅依靠本地安全防護體系，從物理邊界部署安全策略，很難預見內部安全隱患。面對多終端安全漏洞，網絡攻擊者會采取竊取身份憑證等手段，不斷威脅企業(yè)安全體系。當下，企業(yè)安全往往面臨如下痛點：

• 企業(yè)決策者如何兼顧安全防護與穩(wěn)定服務；

• 如何在安全防護領域，實現(xiàn)降本增效；

• 云時代，如何防護上云企業(yè)的 IT 設備、員工信息；

• IT 部門重復性工作繁重，如何實現(xiàn)自動化運維。

進擊的零信任

當傳統(tǒng)以邊界為核心的安全防護體系遭遇瓶頸，零信任、原生云安全等理念隨之興起，為企業(yè)建設新一代安全體系提供了指引。2021年可信云大會上，“零信任”便被納入到中國信通院云計算與大數(shù)據研究所正式發(fā)布的“2021云計算十大關鍵詞”之中。簡而言之，零信任（Zero-Trust）是一種理念而非具體技術。這種安全理念，不再區(qū)分內外網，而是需要在不可信網絡中構建基于身份動態(tài)的可信訪問安全體系。

當下，零信任與原生云安全正處于不斷融合態(tài)勢。在研發(fā)階段，越來越多的企業(yè)開始以零信任原則設計應用系統(tǒng)，云服務或云上應用來實現(xiàn)原生零信任，由此大幅提升安全能力；在運營階段，零信任作為云安全產品不斷原生化，零信任從私有化部署向 SaaS 服務演進，能夠應對海量訪問請求，同時微隔離作為零信任關鍵技術，對云內東西向流量進行訪問控制，彌補傳統(tǒng)安全防護機制在云環(huán)境應用的不足。

整體而言，架構企業(yè)安全體系，從來不是獨角戲，無法依靠某一個專屬團隊完成。這需要商業(yè)/技術領導層、架構師和技術經理以及實施團隊的通力合作。以微軟為例，表現(xiàn)為以下三個方面：

• 微軟架構零信任模型時，自上而下的流程依次為確保數(shù)字化轉型、業(yè)務和安全集成、制定安全策略程序、部署架構和策略以及在技術層面上的規(guī)劃與實施；

• 微軟體系下的零信任架構組件：安全運營中心、云服務保護、設備管理、混合云架構安全、loT 及 OT 安全架構、信息保護、身份管理、人員安全；

• 微軟架構零信任模型四大階段：核對身份、核對設備、核對訪問、核對服務。

微軟的硬實力

應對持續(xù)變化的網絡安全風險，微軟長期關注零信任領域發(fā)展變革，并進行深入探索實踐。即將上線的微軟 IT 直播間，會針對微軟 IT 管理、微軟企業(yè)安全經驗下的優(yōu)選實踐進行分享。整體而言，微軟在安全領域沉淀如下優(yōu)勢：

• 基于網絡安全參考架構(MCRA)，微軟利用各類安全服務、安全產品與微軟智能云矩陣平臺，保障全球150多個國家、30多萬員工、64萬臺設備每時每刻的安全訪問；微軟將90%+業(yè)務應用安全遷移上云，將完整的本地體驗從微軟云傳輸?shù)絺€人任何設備，隨時隨地進行高效辦公和團隊協(xié)作，讓 IT 部署更靈活，開展業(yè)務更便捷。

• 微軟目前已經將零信任安全模型踐行于公司內部，讓零信任安全戰(zhàn)略貫穿于組織的架構、技術選型、運營流程以及組織的整體文化和員工的思維方式。在持續(xù)零信任實踐過程中，微軟基于“永不信任，始終驗證”的理念，提出了自己零信任原則：進行顯式驗證、授予最小特權訪問、假定違規(guī)。

• 為保證企業(yè)短期安全需求與長期安全戰(zhàn)略間的統(tǒng)一性，微軟為有序推進“零信任”系統(tǒng)工程實踐，微軟提出零信任成熟度模型，將其劃分為傳統(tǒng)、中期、理想3重階段，并開發(fā)了零信任評估工具來助力客戶確定在零信任實施過程中所處的階段，并針對零信任的關鍵節(jié)點提供下一步實施計劃和部署指南。實施部署過程中，微軟建議企業(yè)從身份、設備、應用程序、數(shù)據、基礎結構和網絡這6要素進行推進完善，進而持續(xù)加固企業(yè)的安全防護體系。

• 微軟基于自身數(shù)字化轉型經驗，從理論到實踐提供 Azure 遷移支持，從人力、規(guī)劃和過程、技術3方面提出了整體實踐方案。組織人力層面上，宜自上而下推動文化變革、建立完備的遷移中心，確保利益相關者參與以及提供學習途徑與認證；規(guī)劃和過程中，設置規(guī)劃遷移策略，小處著手跟蹤遷移并優(yōu)化云支持；技術布局上，將網絡標識擴展至 Azure 以建立強大的安全基礎，并提供不斷發(fā)展的工作負載管理方法以及遷移工具