對網(wǎng)絡(luò)安全而言，我們過去處于“預(yù)防”和“檢測”時代，現(xiàn)在過渡到“遏制/控制”的時代。這并不意味著企業(yè)應(yīng)該停止他們的預(yù)防和檢測策略，而是在原本的基礎(chǔ)上，三管齊下增加遏制及控制措施。

網(wǎng)絡(luò)安全公司Illumio的首席產(chǎn)品官M(fèi)ario Espinoza指出，“造成最大損害的往往并非初始漏洞，而是攻擊者可以在不被發(fā)現(xiàn)的情況下在整個企業(yè)中橫向移動，從而導(dǎo)致業(yè)務(wù)中斷和數(shù)據(jù)泄露?！?/span>
日前，企業(yè)為方便生產(chǎn)、辦公，采用混合工作模式（遠(yuǎn)程+內(nèi)網(wǎng)接入），該模式幫助企業(yè)的同時，也擴(kuò)大了網(wǎng)絡(luò)攻擊面，從而為非法者提供了便利之門。過去被動的預(yù)防、檢測機(jī)制在快速阻止移動的攻擊方面、縮小暴露面效果欠佳。網(wǎng)絡(luò)犯罪者仍能通過系統(tǒng)漏洞或其他方式潛伏進(jìn)企業(yè)內(nèi)部，并將病毒迅速橫向擴(kuò)散。
因此向 “遏制/控制” 時代演進(jìn)，意味著企業(yè)在努力預(yù)防和檢測漏洞同時，必須要主動阻止威脅的擴(kuò)散來最大限度地降低攻擊帶來的影響，通盤考慮網(wǎng)絡(luò)和安全設(shè)計，有的放矢采取不同的分段方法，保障企業(yè)的運(yùn)營效率。

零信任分段的防御思路
零信任分段是指弱化攻防對抗技術(shù)，重點(diǎn)采用身份識別技術(shù)與訪問控制技術(shù)，通過主動阻止漏洞的擴(kuò)散來最大限度地降低漏洞帶來的影響。在“遏制/控制” 時代，可以利用零信任分段，遏制大部分非法入侵，限制其在企業(yè)內(nèi)部的橫向移動，減小攻擊面并縮短停留時間。
過去我們做網(wǎng)絡(luò)分段是面向IP的，現(xiàn)在則要面向ID?？瓷先H有字母的差異，但背后代表的技術(shù)內(nèi)涵有著本質(zhì)不同。過去基于IP地址的分段，前提是有個默認(rèn)假設(shè)，那就是企業(yè)對要進(jìn)行訪問控制的資源一定有著網(wǎng)絡(luò)位置上的確定性?，F(xiàn)如今，隨著云計算的廣泛使用，特別是隨著遠(yuǎn)程辦公和BYOD的盛行，地址已經(jīng)不再具備唯一確定性。
而零信任分段是在軟件定義網(wǎng)絡(luò)環(huán)境下工作，該分段方法破除傳統(tǒng)以IP作為接入唯一標(biāo)識的不穩(wěn)定因素，從ID入手，采用默認(rèn)拒絕方式處理工作負(fù)載通信，在這種架構(gòu)下，企業(yè)可以將用戶帳戶(員工、供應(yīng)商、遠(yuǎn)程人員、特權(quán)用戶等)和端點(diǎn)都分為微分段，所有數(shù)據(jù)源和計算服務(wù)都將被視為資源：筆記本電腦、臺式機(jī)、物理服務(wù)器、虛擬機(jī)等實(shí)體，由此可見這些端點(diǎn)與用戶之間的關(guān)聯(lián)性。
三種零信任分段方法
Gartner于2021年發(fā)表了《三種零信任分段方法》：Agent-based 基于代理，Network-Based基于網(wǎng)絡(luò)，Hypervisor-Based基于虛擬化。

①　基于代理的分段方法基于代理的方法會在終端上使用軟件代理。通過監(jiān)測并分析流入和流出主機(jī)的流量，制定適當(dāng)?shù)木?xì)策略、提前驗(yàn)證。該方法適用于對保護(hù)措施的靈活性要求較高的場景，如保護(hù)措施需要跟隨工作負(fù)載跨環(huán)境移動。
②　基于網(wǎng)絡(luò)的分段方法基于網(wǎng)絡(luò)的方法會把各交換機(jī)和路由器的流量管理作業(yè)交由一個集中化軟件進(jìn)行處理，后者為網(wǎng)絡(luò)設(shè)備提供基于策略的自動化能力。該方法非常適用于需要防護(hù)攻擊和大范圍覆蓋的使用場景。它可以覆蓋到數(shù)據(jù)中心或公有云中的虛擬化工作負(fù)載，以及物理服務(wù)器、物聯(lián)網(wǎng)、OT 和資料采集與監(jiān)視系統(tǒng)。
③　基于虛擬化的分段方法該方法將網(wǎng)絡(luò)和安全服務(wù)從硬件中抽象出來，然后以虛擬機(jī)為單位提供服務(wù)。它將網(wǎng)絡(luò)和安全功能嵌入hypervisor層，從而顯著拉近這些服務(wù)與虛擬機(jī)操作系統(tǒng)的距離。
阻止內(nèi)網(wǎng)漫游成為可能
零信任分段提供終端之間以及網(wǎng)絡(luò)其他部分如何通信的可見性，使安全團(tuán)隊能夠在第一時間發(fā)現(xiàn)風(fēng)險，更快地對事件做出反應(yīng)，優(yōu)先保護(hù)最脆弱的區(qū)域。這意味著企業(yè)具備了在正常工作時抵御網(wǎng)絡(luò)威脅的能力，這樣一來，一個小的漏洞就不至于蔓延成一場大災(zāi)難，就可以大大增加“首個被入侵的筆記本電腦也是最后一個”的可能性。
零信任分段可以防止惡意行為者在初始入侵后在企業(yè)內(nèi)部“漫游”的情況，讓企業(yè)更好地平衡安全與業(yè)務(wù)，讓用戶更安全地訪問被保護(hù)的應(yīng)用資源。

本文由易安聯(lián)

猛禽實(shí)驗(yàn)室寫作

專注網(wǎng)安行業(yè)發(fā)展方向

解讀熱門產(chǎn)品技術(shù)趨勢

歡迎技術(shù)大咖學(xué)習(xí)交流

標(biāo)簽：零信任身份訪問