“身份”与“安全”正被前所未有地紧密联系在一起。
现实世界里，受疫情影响，出入证、健康宝、核酸检测结果、14 日出行轨迹证明……成了人们在不同场景下验证身份安全的重要手段，验证通过方可被允许出入。
同样，在暗流汹涌的网络世界里，身份安全也正成为解决网络安全问题的有力武器。

今天，我们就来聊聊近来圈内大火的安全热点——以身份为中心的零信任安全。

何为“零信任”？

顾名思义，零信任即信任度为零，“永远不信任，始终要验证”（Never Trust，Always Verify）。

零信任的核心思想是在默认情况下不应该信任网络内部和外部的任何人、设备和系统，需要基于认证和授权重构访问控制的信任基础。

零信任从何而来？

传统IT网络安全是基于城堡和护城河的概念，以“边界”为核心，即默认内网是可信的，内网事物全都享有访问权限，只对外网的威胁进行防御，比如部署防火墙、WAF、IPS等。

但在全球数字化浪潮下，随着越来越多企业将数据信息分散存放在多个云上，以及自携设备办公（BYOD）、移动办公的普及，内外网边界已逐渐模糊，更高级、有组织的攻击可以轻松突破边界，进入内网如入无人之境，肆虐横行。

此外，正所谓“日防夜防，家贼难防”，内网用户发起的攻击防不胜防，造成的损害日益严重。

如此的形势下，传统的安全防护架构逐渐失效。

企业无法基于传统的物理边界构筑安全护城河，构建一种新的安全边界的防护思维和方法成为破局关键。

零信任安全架构（Zero Trust）由此而生。

零信任通过对人、终端和系统都进行识别、访问控制、跟踪，实现全面的身份化，创建了一种以身份为中心的全新边界。

这一全新边界经证实可以有效防止数据泄露。IBM最近赞助的一项研究表明，一次数据泄露的平均成本超过300万美元。所以企业何乐而不为呢？

零信任的核心思路和原则为：

以身份为中心
不论用户、设备、应用和接口都需要具备唯一的“ID身份”，经过认证、授权后才能通行。
就好比，在军营出入要出示令牌证件。
最低权限访问
只给用户所需要的最小访问权限。
同上，在军营，为防止军机泄露，将军只会让普通士兵掌握最基础的信息。
微隔离单独访问
安全边界被分割成小区域，不同网络部分保持单独访问。
比如军营分成多个区域，A区域的士兵如果没有被单独授权，就无法进入其他营区。
持续评估、动态信任
持续监测用户访问行为并进行信任评估，动态控制和扩展用户的最小访问权限。
如果士兵小宿长期表现良好、值得信任， 那么他就可以被委以更多的任务，准许在军营里出入更大的范围。然而，一旦发现他行为有异常，那么他的权限会再次被降低。
业务安全访问
业务隐藏于可信接入网关之后，只对合法用户/设备可见。
当小宿获得了信任和一定的权限后，他才能在真正接触到任务。

零信任提高了访问的灵活性、敏捷性和可扩展性，同时还避免将数字业务直接暴露给网络，减少被攻击的风险，被视作是提升企业数字化业务和网络整体安全的有效手段。

当前，零信任安全需求正快速普及。

Cybersecurity Insiders联合Zscaler发布的《2019零信任安全市场普及行业报告》指出，78%的IT安全团队希望在未来应用零信任架构。Gartner 的 《零信任访问指南》也认为，到2022年，80%向生态合作伙伴开放的新数字业务应用将通过零信任网络访问接入，到 2023 年，60%的企业将采用零信任替代大部分远程访问虚拟专用网（VPN）。目前全球各大厂商都对此纷纷展开了技术探索和布局。

值得注意的是，2019年Gartner又提出了比零信任维度更高的SASE模型（Security Access Service Edge，安全访问服务边缘）。

SASE的理念是通过将SD-WAN和零信任、安全Web网关等安全能力和边缘计算集合成云交付网络，保障在任何时间、任何地点、任何终端和边缘都能进行安全的连接和访问。

目前，网宿已经在SASE这一前沿领域有所突破。

网宿近期发布的零信任企业安全接入产品ESA(Enterprise Secure Access)就采用了这一模型——基于零信任访问架构，集成了网宿在云安全和企业应用加速方面的领先技术能力，能够针对远程、移动办公等日趋多样化的办公场景，为用户打造更安全、高效的办公体验。

未来，伴随“新基建”的提速，各行各业的数字化渗透将持续深入，对零信任的需求也将不断扩大。

网宿将以强大的边缘智能安全平台为依托，始终站在技术前沿，以客户需求为中心持续进行技术创新和产品优化，为全球打造流畅、安全的网络体验。