相信大家已經(jīng)通過各種信息渠道越來越多地接收到數(shù)字化轉(zhuǎn)型這個提法，特別是經(jīng)歷過新冠疫情大流行后,，至少會有一個共識,，即各行各業(yè)不僅僅是數(shù)字化基礎(chǔ)較好的互聯(lián)網(wǎng)行業(yè),，還包括傳統(tǒng)制造業(yè),，都需要立即啟動并持續(xù)深化數(shù)字化轉(zhuǎn)型,，這不是一個組織能否健康持續(xù)發(fā)展的選擇題,，而是一個事關(guān)組織基本生存的必答題,。那什么是數(shù)字化轉(zhuǎn)型？如何判斷組織的數(shù)字化轉(zhuǎn)型處于哪個階段,？成熟度如何,？

　　數(shù)字化轉(zhuǎn)型是通過開發(fā)數(shù)字化技術(shù)及支持能力以構(gòu)建一個富有活力的數(shù)字化業(yè)務(wù)生態(tài)，對企業(yè)來說就是最終構(gòu)建一個有活力的數(shù)字化商業(yè)生態(tài),，其中一個潛在的前提是所有的業(yè)務(wù)都可以在線完成,。數(shù)字化轉(zhuǎn)型有幾個發(fā)展階段，第一階段是信息數(shù)據(jù)化,，包含兩部分：第一部分是數(shù)字孿生,，物理空間有的實體通過建模仿真進行數(shù)據(jù)化存儲和展示，第二部分是在物理空間中沒有的只存在于虛擬世界中的實體,，比如網(wǎng)絡(luò)IP地址資源,、帶寬資源,、存儲容量,、CPU算力等，也需要進行數(shù)據(jù)化,。第二階段是基于已有數(shù)字化實體的數(shù)據(jù)進行流程化,，我們的業(yè)務(wù)都是基于這些數(shù)據(jù)的流動，如果不能將業(yè)務(wù)流程化那無法高效使用數(shù)據(jù),。第三階段是聯(lián)接在線化,，這不僅僅是業(yè)務(wù)在內(nèi)部的封閉式連接，更是需要業(yè)務(wù)更開放式在線化連接,，同時支持聯(lián)接人,、設(shè)備或者任意的身份實體以構(gòu)建萬物互聯(lián)的數(shù)字化業(yè)務(wù)生態(tài),。第四階段做到所有業(yè)務(wù)數(shù)字化在線化，不管在全球何時何地都可以方便聯(lián)接以及業(yè)務(wù)運作,。以上幾個階段體現(xiàn)了數(shù)字化轉(zhuǎn)型的不同成熟度,，疫情期間的遠程協(xié)作辦公也能側(cè)面體現(xiàn)當前數(shù)字化轉(zhuǎn)型的成熟度，如果成熟度不夠,，員工很難居家安全高效地完成所有業(yè)務(wù)運作,。

　　圖1 數(shù)字化轉(zhuǎn)型定義和層次結(jié)構(gòu)

　　站在業(yè)務(wù)角度來看我們?yōu)槭裁匆M行數(shù)字化轉(zhuǎn)型呢？首先從宏觀角度看,，我們?nèi)祟悮v史上三次工業(yè)革命,，第一次是蒸汽動力革命，第二次是電力革命,，第三次是信息化革命,。如果作為業(yè)務(wù)負責人，不考慮信息化去推進業(yè)務(wù)的數(shù)字化轉(zhuǎn)型,，那么跟時代的生產(chǎn)力發(fā)展是違背的,。其次是降本增效，通過數(shù)字化轉(zhuǎn)型我們可以把成本降低,，效率和質(zhì)量提升上來,。最后是打造開放協(xié)作的業(yè)務(wù)生態(tài)的需要。現(xiàn)在大家看到的平臺型互聯(lián)網(wǎng)公司,，都是在通過深度的數(shù)字化轉(zhuǎn)型來打造開放協(xié)作的業(yè)務(wù)生態(tài),，與整個社會經(jīng)濟融合共生，從而增強自己的生命力和抗風險能力,。我們舉一個快遞行業(yè)數(shù)字化轉(zhuǎn)型的例子,，很久之前大家寄快遞都是手寫面單，分撥中轉(zhuǎn)都是靠人工記憶大頭筆進行分流,，而現(xiàn)在都已經(jīng)變成了電子面單,，通過無人化的自動分揀來實現(xiàn)快件的中轉(zhuǎn)分流，這是數(shù)字化轉(zhuǎn)型的典型,，如果還繼續(xù)用手寫的話,，是很難達到目前的購物體驗的，在效率和成本上也是遠遠達不到現(xiàn)在的水平,。

　　站在從業(yè)人員的角度看為什么要關(guān)注數(shù)字化轉(zhuǎn)型呢,？第一，作為從業(yè)人員要保住飯碗,，如果對數(shù)字化轉(zhuǎn)型,，對現(xiàn)有新的模式不了解，有可能無法很好地完成現(xiàn)有工作,，因為現(xiàn)在整個業(yè)務(wù)模式都在逐步發(fā)生改變,。第二,，如果在組織的數(shù)字化轉(zhuǎn)型過程中做出了貢獻，提高了業(yè)務(wù)效率和優(yōu)化了用戶體驗,，那就有更大概率得到升職加薪的機會,。第三，如果能夠適應(yīng),、了解,、學習、深刻地理解數(shù)字化轉(zhuǎn)型背后的技術(shù)和方法論及相關(guān)實踐,，那對個人和團隊來說是一個非常巨大的機會,，機會點來源于傳統(tǒng)方法論、技術(shù),、產(chǎn)品設(shè)備在未來都會被逐步淘汰,，我們就可以投身數(shù)字化轉(zhuǎn)型的革命打造出更適應(yīng)時代的產(chǎn)品和服務(wù)，這給從業(yè)人員的價值輸出提供了一個出入口,。

　　綜上所述,，關(guān)注和推進數(shù)字化轉(zhuǎn)型是各類組織及個人都要考慮的優(yōu)先重要任務(wù)，而且由于其復雜性必然是一個長期戰(zhàn)略,，因此在真正落地執(zhí)行之前需要考量以及準備的事項非常多,，其中信息安全是數(shù)字化轉(zhuǎn)型中最重要的基礎(chǔ)保障之一。要構(gòu)建開放成熟的深度化的數(shù)字業(yè)務(wù)生態(tài)也必然會面臨實際的信息安全挑戰(zhàn),，一部分是原本線下的或者內(nèi)部的轉(zhuǎn)移過來的安全風險,，另外一部分就是線上必然要面對的安全風險。下面列舉一些數(shù)字化轉(zhuǎn)型中可能會面臨的安全挑戰(zhàn)場景,。

　　一,、護城河式或城堡式的安全建設(shè)思路帶來的安全挑戰(zhàn)

　　這種思路通常是以網(wǎng)絡(luò)邊界為中心來打造安全邊界，典型的做法有部署域控,、VPN,、防火墻等，我們從頻發(fā)的信息安全事件結(jié)果來看這類方法無法更有效地降低安全風險,。另外從數(shù)字化轉(zhuǎn)型的安全保障需求來看,，首先我們需要整個業(yè)務(wù)生態(tài)對外開放和在線協(xié)作，我們的業(yè)務(wù)需要在全球范圍內(nèi)隨時隨地通過BYOD接入并高效運作,。其次公有云,、私有云,、混合云是任意異構(gòu)使用的,，對用戶來說感知到的是業(yè)務(wù)服務(wù)本身，需要能夠在多云切換下獲得絲滑般如2C下的一致性用戶體驗,。目前常用的以網(wǎng)絡(luò)邊界為中心的傳統(tǒng)安全訪問控制模型難以滿足上述需求,，需要遷移到更現(xiàn)代化的以全面身份化為支撐,、軟件定義并構(gòu)建動態(tài)虛擬邊界、基于策略的新安全訪問控制模型,。

　　二,、串糖葫蘆式安全建設(shè)思路帶來的安全挑戰(zhàn)

　　這種思路通常是將多個廠商的產(chǎn)品串行到業(yè)務(wù)鏈路中去，相互之間無中心化的控制平面使用統(tǒng)一的的安全策略進行聯(lián)動,，相當于強調(diào)各自的單兵作戰(zhàn)能力但是無協(xié)同,，同時下發(fā)安全策略通常需要申請每個設(shè)備的變更窗口。另外由于串行的設(shè)備比較多,，只能最大限度地保障相鄰設(shè)備之間的高可用,，無法保障整體業(yè)務(wù)鏈路的高可用。而在數(shù)字化轉(zhuǎn)型視角下,，我們需要業(yè)務(wù)應(yīng)用及市場活動能夠快速上線并試錯,，其安全策略等必須得到快速配置和應(yīng)用以及業(yè)務(wù)的安全性和連續(xù)性有充分的保障。因此現(xiàn)有的串糖葫蘆式的安全產(chǎn)品部署模型需要更新迭代到更適用的部署模型,，即打造一個中心化的安全控制平面,，各類安全功能組件以插件化的方式部署在業(yè)務(wù)鏈路的數(shù)據(jù)平面上，統(tǒng)一格式規(guī)范的安全策略通過策略管理控制臺實時下發(fā)配置和應(yīng)用,，從而在架構(gòu)層面實現(xiàn)縱深上的即時聯(lián)動以取得較好的安全防御效果,，同時獲得足夠的高可用性及充分的靈活性。

　　三,、外掛飆車式安全建設(shè)思路帶來的安全挑戰(zhàn)

　　當前無論是甲方還是乙方在安全建設(shè)心態(tài)上都是求穩(wěn)為主,，甲方角度是希望線上業(yè)務(wù)可用性別出問題，出了事也要能免責,，乙方為了產(chǎn)品服務(wù)能容易落地銷售不可避免要迎合這樣的心理,，在這種情況下安全建設(shè)的初心就被改變了，同時動作也不可避免地變形,，安全建設(shè)的效果就很難真正保障,，這種情況在安全產(chǎn)品部署方式上體現(xiàn)的最為明顯，即相當一部分安全產(chǎn)品都是以旁路鏡像的方式部署,，俗稱外掛,，就像原生系統(tǒng)多出來的外來補丁，難免水土不服,，無法高效聯(lián)動,，難以發(fā)揮出該有的作用。而在數(shù)字化轉(zhuǎn)型的視角下,，萬物互聯(lián)場景中聯(lián)接的深度和廣度是前所未有的,，而且聯(lián)接的協(xié)議和內(nèi)容也更加豐富并更實時互動，同時它們普遍采用各類加密方式進行傳輸，不同安全等級的應(yīng)用訪問控制策略需求差異非常大,，即使同一個應(yīng)用也會細分不同的業(yè)務(wù)場景有不同的業(yè)務(wù)規(guī)則參與訪問控制策略的生成和執(zhí)行,，也就是說傳統(tǒng)的所有流量請求全部走一遍大一統(tǒng)的訪問控制策略列表是行不通的，同時需要能在明文情況下將業(yè)務(wù)規(guī)則參與進來,。因此我們的方案是在應(yīng)用層接入和分流應(yīng)用場景并解析所有上下文為明文,，結(jié)合業(yè)務(wù)規(guī)則在串行的鏈路接入統(tǒng)一的安全控制平面執(zhí)行安全策略，將上述安全能力巧妙地融入到現(xiàn)有的技術(shù)和業(yè)務(wù)架構(gòu)的基礎(chǔ)設(shè)施中,，實現(xiàn)原生的安全賦能,。

　　四、東西向放羊式安全現(xiàn)狀帶來的安全挑戰(zhàn)

　　當前內(nèi)網(wǎng)東西向的安全防護能力普遍較弱,，大部分組織幾乎處于放羊式管控現(xiàn)狀,，而業(yè)界也沒有太多切實有效的安全方案，源于其巨大的落地實施的復雜性,，這也是上了很多安全產(chǎn)品或者服務(wù)后依然會被突破邊界進而全局失陷的重要原因之一,。在未來，隨著網(wǎng)絡(luò)邊界的模糊,，東西向不僅僅局限在內(nèi)網(wǎng),，更是擴散到不同組織的IDC到IDC之間，云服務(wù)到云服務(wù)之間,，安全風險更是上升到新的層面?，F(xiàn)有的一些對東西向安全有幫助的方案如微隔離、HIDS,、欺騙防御等,，要么難以實施要么隔靴搔癢，如基于防火墻等設(shè)備實施的微隔離方案實施集成的難度非常大,、HIDS稍有幫助但是從架構(gòu)上難以有更好的效果,、欺騙防御思路很好但目前常用方案仍有引狼入室的風險。在數(shù)字化轉(zhuǎn)型的視角下,，大的趨勢是面向用戶的業(yè)務(wù)流程編排化,、底層服務(wù)中臺化、所有實體的身份化,，各類服務(wù)之間相互依賴加深,，非人員的身份實體自動化訪問增加，我們需要的將是能對各類資源,、身份實體及訪問行為進行實時動態(tài)地自動化精細化的訪問控制管理,，這也需要基于原生架構(gòu)就能支持的數(shù)據(jù)面和控制面結(jié)合的安全能力，此時所謂的東西向和南北向的邊界也會模糊并走向融合,。

　　五,、保險箱式安全建設(shè)思路帶來的安全挑戰(zhàn)

　　當前偏傳統(tǒng)型的組織在做安全保護時采用的是嚴防死守的思路,，把關(guān)鍵數(shù)據(jù)核心資產(chǎn)像鎖到保險箱一樣重重保護起來，設(shè)置多層訪問控制和加密等,，如VPN、防火墻,、堡壘機,、客戶端加密、文件加密,、數(shù)據(jù)庫加密,、操作系統(tǒng)層加密、各類網(wǎng)閘設(shè)備等,，在業(yè)務(wù)處理流程上設(shè)置多級審批,，操作上純?nèi)巳獍徇\，這類解決方案在部分場景以及特殊組織下是合理的,，但是對于需要在線運營業(yè)務(wù)的組織或者用戶來說就是體驗和效率的噩夢,，極大地制約生產(chǎn)效率和市場競爭力。在數(shù)字化轉(zhuǎn)型的視角下,，我們需要絕大部分的數(shù)字資產(chǎn)如數(shù)據(jù),、服務(wù)等都是聯(lián)接在線的，通過內(nèi)外部的開放協(xié)作以打造閉環(huán)的業(yè)務(wù)生態(tài),，如果還是采用保險箱式安全建設(shè)思路,，要么嚴重阻礙組織的數(shù)字化轉(zhuǎn)型進程要么讓業(yè)務(wù)暴露出極大的安全風險，其對策就是根據(jù)安全信任評估模型在數(shù)據(jù)面的策略執(zhí)行點上實施實時動態(tài)的安全訪問控制策略,，打造真正的零信任數(shù)據(jù)安全閉環(huán)解決方案,，從而讓數(shù)據(jù)像血液一樣高效流動起來以促進業(yè)務(wù)發(fā)展并且確保安全和合規(guī)。

　　六,、抓瞎式盲目自信的安全建設(shè)思路帶來的安全挑戰(zhàn)

　　安全建設(shè)者的根本任務(wù)是保護組織的關(guān)鍵和高價值的資源以及規(guī)避或者緩解業(yè)務(wù)風險,，但是如果連組織的資源和業(yè)務(wù)的詳情都不能梳理得非常清楚、資源和業(yè)務(wù)的狀態(tài)變化不能實時感知,、各類主體的操作行為不能識別監(jiān)測和控制,，那么很難講安全建設(shè)體系有多完善，組織的安全成熟度有多高,，即使拿了多少安全合規(guī)證書或者修復了多少漏洞以及開發(fā)了多么酷炫的態(tài)勢感知大屏,，都屬于抓瞎式盲目自信安全。道理很簡單,，因為連被保護對象都不能足夠了解就無法推斷出安全保護工作做得有多好的結(jié)論,。在數(shù)字化轉(zhuǎn)型視角下，組織需要將所有的有形和無形資產(chǎn)數(shù)據(jù)化轉(zhuǎn)化成資源,，梳理好這些資源并嘗試通過各類業(yè)務(wù)進行變現(xiàn),，更有挑戰(zhàn)的是這些資源是隨時動態(tài)變化的,，需要能夠進行自動化全生命周期的管理。解決方案是打造統(tǒng)一的資源管理中心,，建立全局的統(tǒng)一資源標識體系,，將所有資源按照分類分級以及標簽梳理清楚，對資源狀態(tài)及變更即時感知和應(yīng)用策略進行聯(lián)動,，對所有訪問資源的操作主體的行為進行識別,、監(jiān)測、控制和審計,。

　　如何正面化解和規(guī)避上述常見的種種安全挑戰(zhàn)和潛在安全風險,，我認為零信任安全架構(gòu)將會是一個有價值的長期發(fā)展方向，并且與可信計算方向其實也是殊途同歸,，因為究其本質(zhì)現(xiàn)有的各類安全風險都是一個安全信任治理問題,，都是需要解決信任的問題。各類安全風險絕大多數(shù)可以歸結(jié)為特定網(wǎng)絡(luò)邊界或區(qū)域內(nèi)及區(qū)域間默認信任問題,、身份偽造騙取信任問題,、會話過程或代碼執(zhí)行過程中劫持信任問題等。我們需要對安全信任的全生命周期進行更加精細化和動態(tài)化的治理,，包括信任的預授權(quán)準備,、信任建立和傳遞過程、信任的動態(tài)評估和度量,、信任與其他實體（資源,、身份、操作行為等）的綁定聯(lián)動,、信任的撤銷等,。那現(xiàn)有的護城河式或者外掛式等安全建設(shè)方法的問題是只能在某些孤立的點或者環(huán)節(jié)對信任進行管理控制，由于在架構(gòu)設(shè)計時并沒有融入安全,，從而無法在業(yè)務(wù)流程的關(guān)鍵點進行控制和及時拿到安全控制所需的足夠數(shù)據(jù),，同時不同的環(huán)節(jié)無法進行默契的聯(lián)動做到全生命周期的信任治理。因此如果能在架構(gòu)層面融入原生的安全設(shè)計并做到安全信任的全生命周期治理那一定是個正確的解題方向,，這里的架構(gòu)層面既包括技術(shù)架構(gòu)同時包括業(yè)務(wù)架構(gòu),，需要說明的是安全架構(gòu)是融入其中而不是新建一個平行空間。

　　接下來簡要介紹零信任安全架構(gòu),，包括相關(guān)概念,、技術(shù)方向、部分業(yè)界落地實踐案例以及未來可能的發(fā)展方向等,。

　　零信任安全架構(gòu)的基本概念如下圖所示,，另外它也不是萬能的，只有在充分的基礎(chǔ)設(shè)施支持的前提下才可以解決大部分安全問題,。

　　圖2 零信任安全架構(gòu)的基本概念

　　零信任安全架構(gòu)有幾個理念如下圖所示,。第一,，我們不作任何假定。比如說不會假定內(nèi)網(wǎng)是安全的,。第二,，不信任任何身份。這是指在初始情況下不信任任何身份,，而是要從零開始建立信任,，并且要盡可能收縮隱式信任的范圍，這里隱含一個前提是首先要能對相關(guān)實體全面身份化,。另外傳統(tǒng)情況下會把IP作為一個受信任的網(wǎng)絡(luò)身份來進行訪問控制策略配置,，但在零信任理念里IP僅是基礎(chǔ)設(shè)施資源,。第三,，隨時檢查一切。這是對每次操作請求都進行檢查,，而且重新進行信任評估,，收窄了傳統(tǒng)的會話隱式信任。第四,，防范動態(tài)威脅,。從訪問控制策略本身到信任評估結(jié)果在運行時都可以是動態(tài)的。第五,，準備最壞的情況,。設(shè)想一些最壞的情況，比如數(shù)據(jù)中心部分節(jié)點失陷,、部分用戶端點失陷以及內(nèi)外勾連等場景下,，組織的核心敏感資源也應(yīng)該能得到有效保護。

　　圖3 零信任安全架構(gòu)的理念

　　具體技術(shù)設(shè)計上,，首先從抽象模型出發(fā),，這里我們參考美國國家標準技術(shù)研究院（NIST）發(fā)布的模型，如下圖,。其核心元素有處于不可信域的訪問端點,、邊界的策略執(zhí)行點和策略決策點、隱式可信域的受保護資源,，因此零信任安全架構(gòu)的最終目標是保護資源,，基于策略的訪問控制、身份管理等都是實現(xiàn)這一目標的必要支撐,。

　　圖4 NIST零信任安全抽象模型

　　基于上述抽象模型,，NIST也發(fā)布了零信任安全概念框架如下圖所示，目前業(yè)界廠商的相關(guān)產(chǎn)品基本上都是按照這個框架來設(shè)計,，整個概念框架更加細化,，拆分成數(shù)據(jù)平面和控制平面,，再加上一些外部支撐組件，如身份管理,、公鑰基礎(chǔ)設(shè)施,、威脅情報、合規(guī)遵循,、行為分析,、統(tǒng)一訪問控制策略等。

　　圖5 NIST零信任安全概念框架

　　上述NIST零信任安全概念框架在全球范圍內(nèi)有較大的影響力,，當前業(yè)界的產(chǎn)品方案大都以此為藍本,，具體的實現(xiàn)技術(shù)上有三個方向：SDP軟件定義邊界方向、MSG微隔離方向,、現(xiàn)代化IAM身份增強方向,。這三個技術(shù)方向并不是相互獨立的，而是可以相互融合和支撐以構(gòu)成端到端的零信任整體安全解決方案,，并且在架構(gòu)上都需要具備獨立的數(shù)據(jù)平面和控制平面,，功能上SDP和MSG都需要IAM作為基礎(chǔ)支撐。接下來簡要介紹這三個發(fā)展方向以及典型的落地實踐案例,。

　　一,、SDP軟件定義邊界方向

　　這個方向目前是最為成熟的，其初始階段的落地部署相對容易,，主要著眼點在終端用戶端點的安全以及南北向的安全接入,，對于東西向安全訪問控制考慮得較少，可以直接替換原有的遠程辦公接入工具如各類VPN等,，因此也是眾多零信任安全供應(yīng)商選擇的方向,。下圖是CSA云安全聯(lián)盟推薦的SDP抽象模型，但實際落地場景中通常不會直連服務(wù),，而是通過代理或者網(wǎng)關(guān)進行中轉(zhuǎn),，因為安全策略控制點需要可以融入到代理或者網(wǎng)關(guān)。

　　圖6 CSA推薦的SDP抽象模型

　　國外比較經(jīng)典的案例是Google的BeyondCorp方案,，如下圖所示,。這套方案嚴格意義上屬于SDP技術(shù)方向，采用了流量代理的模式,，主要面向的是內(nèi)部員工辦公場景,，對線上生產(chǎn)業(yè)務(wù)以及服務(wù)間東西向的安全考慮得較少。國內(nèi)相關(guān)產(chǎn)品較多,，大多采用了網(wǎng)關(guān),，部分使用了隧道代理等。

　　圖7 Google的BeyondCorp方案

　　二,、MSG微隔離方向

　　這個方向是相對較難部署實施的,，因為需要梳理現(xiàn)有資產(chǎn)以及應(yīng)用和服務(wù)間相互的依賴關(guān)系,，還要能進行動態(tài)的自動化管理，挑戰(zhàn)非常大,，但是它可以對東西向應(yīng)用和服務(wù)做嚴格的安全訪問控制,，因此價值也非常大。這個方向有三條技術(shù)路線,，第一條是通過復用現(xiàn)有的SDN軟件定義網(wǎng)絡(luò)的基礎(chǔ)設(shè)施實施可編程的網(wǎng)絡(luò)控制,，但實際上這條路線是難以走通的，因為零信任安全需要在應(yīng)用層借助類自然語言的訪問控制策略做更深度的解析和控制,。第二條是通過復用現(xiàn)有的軟硬件防火墻或者虛擬化設(shè)備來實施訪問控制,，這條路線挑戰(zhàn)也非常大，因為現(xiàn)有設(shè)備的開放性及對接聯(lián)動等方面的困難導致難以形成統(tǒng)一的控制平面和策略管理,，應(yīng)用層的支持往往也不夠好,。第三條是通過附著在工作負載上的EDR組件來組建整個微隔離控制網(wǎng)絡(luò)，我認為這條路線是可以走通的,，目前業(yè)界也有些比較成功的案例,。需要說明的是這不是簡單的基于主機的HIDS方案,，而是更加深入的融合數(shù)據(jù)面和控制面的策略執(zhí)行組件,，基于此還可以發(fā)展出更加先進的欺騙防御解決方案等，形成真正的縱深防御體系,。

　　下面介紹兩個不同應(yīng)用場景下的微隔離案例,，都是屬于EDR組件技術(shù)路線的。首先是Google的在云原生場景下的BeyondProd的方案,，其和BeyondCorp相互補充,，構(gòu)成了谷歌企業(yè)辦公和業(yè)務(wù)生產(chǎn)完整的零信任安全解決方案。如下圖所示,，首先在GFE完成邊緣的安全接入,，形成一個安全邊界，同時將TLS轉(zhuǎn)化成內(nèi)部的ALTS,，將請求加密傳輸?shù)綉?yīng)用前端,，應(yīng)用前端對請求進行認證，這里認證包括對作為調(diào)用方的前端服務(wù)是否合法（運行的二進制是否在中心倉庫注冊驗證過,、運行的環(huán)境是否為正?？尚艈印?nèi)部的ALTS雙向加密傳輸是否合法,、本次調(diào)用是否符合以服務(wù)為身份來配置的權(quán)限策略）和本次請求中的終端用戶的身份憑據(jù)是否合法有效,，認證通過后生成包含終端用戶上下文加密的臨時有效的ticket，再新建ALTS通道將ticket附加到本次請求轉(zhuǎn)發(fā)到后端服務(wù),，這樣前端應(yīng)用和后端服務(wù)形成一個安全的調(diào)用鏈,，最后在后端服務(wù)上根據(jù)ticket獲得的上下文等來執(zhí)行配置好的服務(wù)訪問策略得到相關(guān)判定結(jié)果,。整體而言，微隔離方案在容器環(huán)境下更加容易部署實施,。

　　圖8 Google的BeyondProd方案

　　而在非云原生環(huán)境下,，微隔離就比較困難了，但Illumio落地實施的微隔離方案讓人眼前一亮,，其架構(gòu)如下圖所示,。其采用虛擬執(zhí)行節(jié)點安裝在各類工作負載上，通過和控制中心進行聯(lián)動,，組建成一套能夠跨越物理網(wǎng)絡(luò)邊界的面向混合云的微隔離解決方案,，當然背后的自動化的資產(chǎn)依賴關(guān)系梳理、策略管理等都是需要并且難以邁過去的檻,。

　　圖9 Illumio的微隔離方案架構(gòu)

　　三,、現(xiàn)代化IAM身份增強方向

　　首先從個人角度解讀一下為什么過去偏冷門的IAM突然就變得重要和火熱起來了?；谏鲜龅陌踩L險本質(zhì)上是信任治理的問題,，信任治理首先是要以身份為中心進行該身份的全生命周期的動態(tài)信任管理，對于某次的資源訪問則是根據(jù)身份信息結(jié)合身份行為基線,、身份被賦予的權(quán)限,、外部環(huán)境及上下文信息等給出信任評估結(jié)果，該信任評估結(jié)果則是被應(yīng)用在對本次資源訪問請求的訪問控制上,，因此對于每一次的訪問請求都可能會出現(xiàn)相當不同的訪問控制結(jié)果,。零信任被證明能夠解決上述的大部分安全風險，那么既包括身份治理也包括動態(tài)訪問控制能力的現(xiàn)代化IAM必然會逐步成為數(shù)字化轉(zhuǎn)型下IT基礎(chǔ)設(shè)施的堅實底座,。

　　那么相比現(xiàn)在,，IAM要達到作為數(shù)字化轉(zhuǎn)型下IT基礎(chǔ)設(shè)施的成熟度，從安全的角度看還有哪些挑戰(zhàn)呢,？第一,，在身份層，數(shù)字實體還未完成全面身份化,，特別是企業(yè)內(nèi)網(wǎng)的微服務(wù),、中間件服務(wù)以及遍布各個角落的IOT設(shè)備，沒有完成身份化,，意味著無法做精準的安全訪問控制,。第二，在協(xié)議層,，業(yè)界特別是國內(nèi)還沒有升級到統(tǒng)一標準的現(xiàn)代化身份認證協(xié)議,，目前很多企業(yè)還在應(yīng)用基于LDAP的AD域控，對多因子認證及實時的人機挑戰(zhàn)等缺乏靈活的支持，同時安全性不足,。第三,，在訪問控制層，單純基于身份的訪問控制模型仍然停留在傳統(tǒng)的4A模型,，無法滿足在淡化網(wǎng)絡(luò)邊界的混合云環(huán)境下更靈活的訪問控制需求,，例如結(jié)合身份的基于資源的訪問控制、基于會話的訪問控制和基于權(quán)限邊界的訪問控制需求等,，需要一個結(jié)合身份的全新訪問控制模型,。

　　現(xiàn)代化IAM設(shè)計的核心目標之一就是適配數(shù)字化轉(zhuǎn)型下對數(shù)字化身份治理平臺的新要求。一是解決全面身份化的問題,。需要設(shè)計和實現(xiàn)獨立的數(shù)字化身份實體管理模塊,，將所有數(shù)字實體進行有效管理并通過唯一資源標識進行身份化處理。二是解決現(xiàn)代化的身份認證協(xié)議問題,。設(shè)計和實現(xiàn)一套框架兼容現(xiàn)有的各類身份認證協(xié)議,，能夠靈活支持多因子認證和人機挑戰(zhàn)的編排，并能夠?qū)崿F(xiàn)和傳統(tǒng)AD域控打通或者替換,。三是實現(xiàn)滿足現(xiàn)代化的動態(tài)訪問控制需求的新模型以及必要的延伸組件如融入策略執(zhí)行點的訪問網(wǎng)關(guān),、EDR和RASP等。 核心點之一是需要設(shè)計和實現(xiàn)基于策略的訪問控制模型PBAC,，PBAC結(jié)合了RBAC和ABAC的最佳特性,，在應(yīng)用層采用自然語義的策略管理，它能實現(xiàn)更多應(yīng)用場景復雜且靈活的管理控制需求,，是當前和未來的最佳訪問控制方案,。一個可供參考的現(xiàn)代化IAM框架如下圖所示,，但其缺乏必要的策略執(zhí)行組件,。

　　圖10 現(xiàn)代化IAM框架參考（來自于網(wǎng)絡(luò)，侵刪）

　　現(xiàn)代化IAM到底是如何基于PBAC對任何資源進行訪問控制的,？這種深入到底層架構(gòu)層面的徹底改造是非常有挑戰(zhàn)的,，從全球角度來看，個人認為AWS是做得非常到位的,，真正實現(xiàn)了包括服務(wù)在內(nèi)的所有資源的原生安全,，其概覽如下圖所示，可以看到AWS是非常有遠見的,，很多年前就定下了服務(wù)化的強制性的架構(gòu)原則,，如果不能把訪問實體、資源以及操作資源的API定義清楚,，那么將無法實現(xiàn)如此靈活和強大的現(xiàn)代化IAM,，具體的設(shè)計和實現(xiàn)細節(jié)會在后續(xù)文章里進行解讀，敬請關(guān)注本公眾號（gotocreate）,。

　　圖11 AWS現(xiàn)代化IAM設(shè)計原型（來自于網(wǎng)絡(luò),，侵刪）

　　以上介紹了零信任安全架構(gòu)的三種典型技術(shù)方向和部分業(yè)界落地實踐案例,，未來可能的發(fā)展方向個人認為是以上三種典型技術(shù)的相互滲透和融合。如某互聯(lián)網(wǎng)金融企業(yè)的流量處理技術(shù)架構(gòu)演進如圖12所示,，在此基礎(chǔ)上可以較好地融合SDP南北向和微隔離東西向的安全解決方案,。

　　圖12 SDP南北向和微隔離東西向的融合示意圖（來自于網(wǎng)絡(luò)，侵刪）

　　另外該互聯(lián)網(wǎng)金融企業(yè)所提的切面安全概念,，如圖13所示,，理念上和零信任安全架構(gòu)也非常相似。它是從用戶端,、外網(wǎng)接入層,、應(yīng)用層再到應(yīng)用底層的微服務(wù)網(wǎng)關(guān)層形成全鏈路的安全防護，每一層都設(shè)計有統(tǒng)一代理層即數(shù)據(jù)平面以深入解析和管控所有資源的訪問,，層與層之間有統(tǒng)一的控制面以共享基礎(chǔ)信息和聯(lián)動防控,，可以支持全鏈路的數(shù)據(jù)安全流動。

　　圖13 某互聯(lián)網(wǎng)金融企業(yè)所提的切面安全概念（來自于網(wǎng)絡(luò),，侵刪）

　　總結(jié)起來,，零信任安全架構(gòu)理念在工程實現(xiàn)上需要能做到兩點，如圖14所示,。第一點是在業(yè)務(wù)全流程的關(guān)鍵節(jié)點實現(xiàn)全流量的代理層從而嵌入策略執(zhí)行點進行安全訪問控制,，第二點是建立統(tǒng)一的策略控制平面及相關(guān)組件，實現(xiàn)全局的安全策略聯(lián)動和策略決策點的功能,。在數(shù)據(jù)平面動態(tài)加載各類功能插件,，結(jié)合和控制平面相關(guān)聯(lián)的策略執(zhí)行點，可以解決護城河式,、串糖葫蘆式,、外掛式、東西向放羊式等安全建設(shè)思路帶來的安全管控問題,，以上架構(gòu)再結(jié)合KMS和在線加解密服務(wù)等保障數(shù)據(jù)全鏈路安全閉環(huán)流動,。另外零信任安全架構(gòu)對清晰的資源定義以及相互調(diào)用的依賴關(guān)系有明確的需求，資源是一切可以抽象為具體數(shù)據(jù)表征的對象,，如身份實體,、被操作對象、操作行為等,，它們的屬性在資源中心可以使用標簽來方便地創(chuàng)建和聚合查詢,。資源中心定位為一個中心式的數(shù)據(jù)倉庫，作為底層基礎(chǔ)組件,，提供了統(tǒng)一的數(shù)據(jù)出口,、入口以及完備的數(shù)據(jù)訂閱消費和同步機制，為所有安全組件共享數(shù)據(jù)及保持數(shù)據(jù)一致性搭建了橋梁，并負責與外部系統(tǒng)的數(shù)據(jù)對接,。通過資源中心對所有數(shù)字實體及其訪問依賴關(guān)系進行全生命周期的管理和可視化,，來解決抓眼瞎式安全問題，其中部署在工作負載和業(yè)務(wù)運行托管環(huán)境上的EDR組件作為資源中心的數(shù)字資產(chǎn)及資源狀態(tài)的關(guān)鍵來源,。

　　圖14 零信任安全架構(gòu)理念的抽象工程實現(xiàn)

　　最后回到本文的主題,，我的判斷是傳統(tǒng)的信息安全建設(shè)思路已經(jīng)無法滿足當下及未來的數(shù)字化轉(zhuǎn)型需求，包括以網(wǎng)絡(luò)為中心的安全邊界防護方法論,、以護城河式串糖葫蘆式和外掛式的堆孤島設(shè)備的安全實踐,、以傳統(tǒng)4A為基礎(chǔ)的安全訪問控制模型以及以保險箱式的封閉式非在線協(xié)作的數(shù)據(jù)安全保護方法等，那零信任安全架構(gòu)將大概率地逐步成為數(shù)字化轉(zhuǎn)型的基石,，其主要特征如下圖所示,，主要包括以資源保護為中心、以全面身份化為基礎(chǔ)支撐,、以動態(tài)策略執(zhí)行為訪問控制和以應(yīng)用層動態(tài)信任評估及信任的全生命周期管理為根,。

　　圖15 零信任安全架構(gòu)的主要特征

　　因此建議各類組織的負責人們特別是數(shù)字化轉(zhuǎn)型及信息安全方面的負責人可以盡早考慮規(guī)劃起本組織的零信任安全架構(gòu)的中長期演進路線圖，早做相關(guān)的準備工作,，逐步推進起來,。因為零信任安全與數(shù)字化整體架構(gòu)共生，觸及數(shù)字化轉(zhuǎn)型靈魂,，在技術(shù)架構(gòu)層面還需解耦為數(shù)據(jù)平面和控制平面,，還要融合業(yè)務(wù)架構(gòu)做業(yè)務(wù)層的風險控制，與技術(shù)架構(gòu),、業(yè)務(wù)架構(gòu),、組織架構(gòu)以及組織的安全成熟度強相關(guān)，決策上需要組織的CXO進行戰(zhàn)略決策,，在項目推進部署實施過程中也會面臨比較多的挑戰(zhàn)和風險,。首先是整體技術(shù)難度比較高，現(xiàn)有系統(tǒng)及歷史遺留系統(tǒng)的改造周期漫長,。其次是投入成本較大,，需各業(yè)務(wù)部門協(xié)助配合改造，并且有可能影響線上業(yè)務(wù)系統(tǒng)的高可用,。最后是沒有一招鮮的方案，需要盡可能借鑒業(yè)界最佳實踐以少走彎路,，然后根據(jù)自身需求進行裁剪,。

　　那具體如何推進組織的零信任安全架構(gòu)戰(zhàn)略呢？需要能遵循必要的戰(zhàn)略規(guī)劃和部署遷移步驟,，如下圖所示,。首先要確定組織的戰(zhàn)略愿景，安全架構(gòu)的調(diào)整一定要匹配組織的業(yè)務(wù)及其技術(shù)支撐戰(zhàn)略，如果組織現(xiàn)有情況比如業(yè)務(wù)規(guī)模還比較小,、業(yè)務(wù)還處于野蠻生長階段,、現(xiàn)存的安全風險缺口還能控制得住等，可能不太需要花太多時間在部署實施零信任安全架構(gòu)上,，只需要把基礎(chǔ)安全,、數(shù)字資產(chǎn)梳理、帳號權(quán)限,、安全運營等提升到一定成熟度即可,。如果經(jīng)過組織決策層判斷決定部署遷移到零信任安全架構(gòu)，就進入到確定戰(zhàn)略規(guī)劃階段,，這個階段最重要的是搞定人和組織資源,，因為零信任安全項目是典型的一把手工程，如果沒有決策層的一把手掛帥和鼎力支持,，是很難持續(xù)走下去的,。有了一把手支持、具體負責人,、項目團隊及相關(guān)資金預算支持后,，就可以根據(jù)現(xiàn)狀確定具體的技術(shù)路線、藍圖和演進路線,，在戰(zhàn)略上明確建設(shè)哪些核心能力以及改造哪些業(yè)務(wù)及其改造范圍,。確定戰(zhàn)略規(guī)劃后可以根據(jù)經(jīng)典的項目管理方法論制定詳細的項目計劃，特別注意預留一些處理各種意外的緩沖時間,，在這個階段需要確定范圍優(yōu)先還是能力優(yōu)先,，或者是兩者混合交替進行。范圍優(yōu)先是指某些能力達到一定成熟度后不斷地擴大應(yīng)用范圍,，待推廣實施完后再繼續(xù)提升打磨能力,，能力優(yōu)先是指盡可能地在特地范圍內(nèi)打磨能力到相當成熟度后再進擴大范圍推廣。最后是進入真正的分步迭代建設(shè)階段,，根據(jù)已制定的項目計劃,，每一步經(jīng)歷概念驗證、業(yè)務(wù)接入或者回退以及能力演進,。

　　圖16 零信任安全架構(gòu)的戰(zhàn)略規(guī)劃和部署遷移