（《零信任接口應用白皮書（2021）》編制單位）

任重道遠，零信任廣泛落地仍需面對現(xiàn)實困難

隨著云化技術(shù)發(fā)展，傳統(tǒng)以邊界防御為核心的安全模型已無法應對現(xiàn)代網(wǎng)絡(luò)安全風險，圍繞“Never trust，always verify”為基本原則的零信任理念給安全建設(shè)提供了新的理論支撐，被業(yè)界廣泛追捧和認可。

然而，當前零信任在實際落地中仍面臨諸多困難，薔薇靈動產(chǎn)品總監(jiān)熊瑛表示，作為專注于數(shù)據(jù)中心零信任的解決方案提供商，薔薇靈動在其實踐落地中發(fā)現(xiàn)兩個突出問題。首先，零信任作為新安全理念，大家對其理解并不統(tǒng)一，業(yè)內(nèi)廠商各說各話，廠商與客戶間常在不統(tǒng)一的話語體系中溝通，更有甚者經(jīng)常會搞混零信任的應用場景。第二，零信任本質(zhì)是面向業(yè)務(wù)進行全要素納管和細粒度的訪問控制，就數(shù)據(jù)中心落地零信任而言，工作負載數(shù)量規(guī)模普遍較大，但是由于用戶端IT管理水平參差不齊，在工作負載的管理能力上普遍薄弱，這就造成前期可能需要花費大量時間去做資產(chǎn)的業(yè)務(wù)角色梳理，而用戶如果對于前期工作量的投入持有疑慮，將對項目推進產(chǎn)生很大阻力。

除此之外，與會專家也紛紛表示，很多企業(yè)目前都有比較健全的網(wǎng)絡(luò)架構(gòu)，且各企業(yè)網(wǎng)絡(luò)架構(gòu)情況各不相同，如何在現(xiàn)有安全建構(gòu)基礎(chǔ)上進行零信任安全能力的集成，不同廠商的安全產(chǎn)品與服務(wù)如何對接，遇到與現(xiàn)有業(yè)務(wù)運作流程沖突應如何取舍等，都是目前零信任落地中的疑難問題。而針對不同用戶的問題和需求，在缺乏統(tǒng)一標準、接口的當下，均需要提供專門的定制化解決方案，復制難度較大，零信任落地推廣之路仍面臨諸多現(xiàn)實問題。

標準先行，統(tǒng)一標準是新技術(shù)推廣的有力抓手

今年6月，中電標協(xié)發(fā)布了《零信任系統(tǒng)技術(shù)規(guī)范》團體標準。該標準由零信任標準工作組編寫，明確了零信任理念、基本假設(shè)、基本原則及運用場景，重點針對用戶訪問資源、服務(wù)之間調(diào)用兩大零信任運用場景提出了系統(tǒng)邏輯架構(gòu)、認證、訪問授權(quán)管理、傳輸安全、安全審計、自身安全等方面的功能、性能技術(shù)要求和相應的測試方法。作為國內(nèi)首個零信任相關(guān)團體標準，《零信任系統(tǒng)技術(shù)規(guī)范》在建立統(tǒng)一標準化定義基礎(chǔ)上，有助于行業(yè)各方進一步洞察技術(shù)框架全貌，厘清各功能邊界，在產(chǎn)業(yè)發(fā)展和技術(shù)運用上具有很強的指導作用。

本次會議上發(fā)布的《零信任接口應用白皮書（2021）》，全面涵蓋了零信任系統(tǒng)服務(wù)接口需求、層次劃分、接口標準描述和接口應用場景等內(nèi)容，重點就身份安全、威脅情報、配置管理、密碼服務(wù)、訪問控制、安全聯(lián)動6類接口進行了詳細描述。本白皮書是《零信任系統(tǒng)技術(shù)規(guī)范》標準基礎(chǔ)上的進一步研究深化，通過解決零信任系統(tǒng)的模塊架構(gòu)和模塊之間互聯(lián)互通難題，將為零信任框架的進一步落地提供技術(shù)實踐指導。

（零信任結(jié)構(gòu)全景圖）

以零信任與配置管理系統(tǒng)的對接為例，薔薇靈動在為國內(nèi)某大型互聯(lián)網(wǎng)金融企業(yè)構(gòu)建數(shù)據(jù)中心零信任項目中，其自適應微隔離安全平臺通過與客戶現(xiàn)有的CMDB系統(tǒng)對接，并基于統(tǒng)一的資產(chǎn)信息進行業(yè)務(wù)角色標定，在較短的時間內(nèi)便完成了兩地三中心數(shù)萬點工作負載的微隔離部署工作，實現(xiàn)了安全控制與業(yè)務(wù)流程的高效融合。未來，如果微隔離系統(tǒng)與CMDB能夠形成統(tǒng)一接口標準，則將極大有助于降低微隔離系統(tǒng)的實施成本，從而促進數(shù)據(jù)中心零信任方案快速落地推廣。

（工作負載數(shù)據(jù)同步接口）

打破藩籬，開放生態(tài)是零信任高速發(fā)展的未來

隨著零信任安全相關(guān)標準的推出，其框架已經(jīng)得到了行業(yè)內(nèi)越來越強的共識。從狹義零信任而言，被視為零信任三駕馬車的身份和訪問管理（IAM）、軟件定義邊界（SDP）、微隔離（Micro Segmentation）僅僅算是其核心的結(jié)構(gòu)性要求。換言之，上述三項技術(shù)和方案的部署是開展零信任的基礎(chǔ)。

從更廣義的零信任而言，我們關(guān)注到國內(nèi)外目前發(fā)布的所有零信任指導架構(gòu)中都描述了更大的體系。例如，前不久發(fā)布的《零信任系統(tǒng)技術(shù)規(guī)范》中體現(xiàn)了零信任需與多類第三方支撐系統(tǒng)協(xié)同，以集成更為廣泛的安全能力。美國國防部在《零信任參考架構(gòu)》中提出“零信任能力7支柱”模型，認為零信任的安全能力需要覆蓋用戶、設(shè)備、網(wǎng)絡(luò)/環(huán)境、應用、數(shù)據(jù)、可視化分析、自動化編排等方方面面，粗略統(tǒng)計即有30余類技術(shù)和對應產(chǎn)品可融入該框架。

（美國國防部《零信任參考架構(gòu)》中“零信任能力7支柱”模型）

就實際情況而言，沒有任何廠家的產(chǎn)品可以對30余類產(chǎn)品進行全面覆蓋，而基于用戶端不同網(wǎng)絡(luò)架構(gòu)及安全建設(shè)程度，所需產(chǎn)品及能力也各不相同，所以健康可持續(xù)發(fā)展的零信任建設(shè)需集各家之所長，在開放協(xié)作中發(fā)展。各廠商既要找準市場定位，發(fā)揮技術(shù)專長，不提斷升產(chǎn)品性能及服務(wù)水平，也要加強生態(tài)協(xié)作和互聯(lián)互通。全行業(yè)只有合力對標準及接口應用不斷進行完善，構(gòu)建健全的生態(tài)鏈，才能快速提升整個行業(yè)的交付質(zhì)量，擴大零信任市場范圍，促進產(chǎn)業(yè)良性循環(huán)及健康發(fā)展。

作為國內(nèi)數(shù)據(jù)中心零信任建設(shè)的先行者和長期實踐者，薔薇靈動積極參與了《零信任系統(tǒng)技術(shù)規(guī)范》及《零信任接口應用白皮書（2021）》的編制工作。目前，行業(yè)標準化、接口開放化仍處在早期階段，伴隨開放生態(tài)下的協(xié)作及更多項目的成功落地，高度協(xié)同的解決方案也將得到持續(xù)完善，薔薇靈動將為此持續(xù)貢獻力量。

免責聲明：市場有風險，選擇需謹慎！此文僅供參考，不作買賣依據(jù)。

關(guān)鍵詞： 信任 參編 國內(nèi)