受访者：芯盾时代的联合创始人兼CTO 孙悦

零信任不是近些年的新概念，但却日益受到更多安全工作者和企业级客户的认可与重视，尤其满足当下异构网络的业务安全需求。

业界对零信任理念的了解，大多最早来自谷歌的 BeyondCorp 项目和 Forrester 提出的零信任模型。虽然两者关注的侧重点不同，但“不再对网络和流量信任”和“贯彻最小权限原则”两个核心一致且被业界广泛接受。

谷歌的 BeyondCorp 项目背景：随着云技术越来越普及，大量员工在外网办公，大量手机、PAD等新设备出现，外协、临时员工的加入，使得边界变得没有意义。谷歌认为传统防火墙的保护效果变得不明显，不如破除内外网实行统一，将所有应用部署在公网上，用户不再需要通过VPN连接到内网，而是通过与设备为中心的认证、授权工作流，实现员工任何地点对资源的访问。

随着业务电子化，在移动互联网复杂多变的环境下，企业需要面临来自内外部的风险，疫情期间，企业纷纷开启移动办公模式，便捷处理带来便利的同时，也面临着移动端数据泄露、账号密码泄露、特权账号共享、内部员工违规操作、设备风险等众多问题；同时，企业对外业务还要面临资深黑产、薅羊毛、基础设施、金融欺诈、信贷欺诈等外部安全威胁，可谓“腹背受敌”，安全防护模式亟待改变。

安全牛近期就“零信任”这一话题，采访到了专注以“人”为业务安全切入点的零信任安全企业芯盾时代的联合创始人兼CTO-孙悦。此文将结合具体实践案例，解读零信任理念下的业务安全。

安全牛：提到零信任，孙总简单介绍下零信任安全理念的起源和目前主要应用范围吧？

孙悦：零信任概念是由网络去边界化发展改进而来。之前网络的建设理念中，将网络分为内网和外网，网络攻击来自于企业外部是业界的共识，默认做好边界防护就安全了。企业安全部门通过防火墙、IDS/IPS、VPN 、行为审计等技术手段和产品，保证员工的正常访问和合法的操作，能够识别和拦截恶意或非授权访问。

云的广泛应用和移动互联网技术的发展，带来日趋开放和复杂的网络边界，快速变化的人员架构，灵活的移动办公，内网边界也日趋复杂与模糊，让基于边界的安全防护逐渐失效，来自企业外部的欺诈和内部的信息泄露造成的损失逐年剧增。这些都在倒逼企业和安全服务提供商，寻找和尝试新的安全防护体系，以求在不降低办公效率前提下有效应对新型挑战。

逐利的本质使得攻击往往发生在有价值的利益点上，也就是企业的业务系统中。入侵者不再仅仅依靠0day漏洞入侵网络，更多是通过弱密码，临时员工账号等方式入侵网络。目前看来，业务发展、数据应用和安全访问的矛盾主要发生在金融、政府机构、电信、教育、互联网企业等行业，无论是哪个行业的企业，都会面临信息泄露和欺诈等新型威胁。在复杂的异构网络基础下，只有为企业用户解决业务安全问题，才能助推业务快速发展。

零信任安全“不以边界作为信任条件”符合当下异构网络和业务的发展需求的，尤其是对会带来巨额损失的业务系统的防护有着重要价值，是业务安全的防护的基础理念。零信任安全架构对业务的防护，主要通过对来自企业内外部的所有访问进行信任评估和动态访问控制，对所有访问企业资源的请求，进行认证、授权和加密，其中认证包括对用户和使用设备的全面验证，且对每一次访问请求进行不限于终端环境、用户操作风险、网络风险、外部威胁等因素的实时风险评估，根据评估结果进行动态访问控制。

安全牛：您上面提到如今网络架构逐渐趋向异构特点。那么何为异构网络？异构网络与零信任的关系又是什么样的呢？

孙悦：异构网络是业务增长自然发展而来，网络的开放，技术的发展，业务线上化趋势及承载设备类型增加等方面，都使得异构网络的程度在加深，这是较为明确的未来发展方向。

当下企业的业务处于异构网络中，在进行安全防护体系建设时，需要考虑到各种异构元素，主要有：异构的终端设备——接入业务的不同终端系统的设备，如手机、PC、服务器、浏览器等；异构的网络环境——可通过3G、4G、5G等移动网络或固定网络接入；异构的安全场景——以漏洞挖掘、攻防、边界为核心的网络安全需求和以识别并处置恶意用户、恶意操作为主的业务安全需求；异构的法规标准——安全体系需要满足不同的国家标准、行业标准和行业规范；还有异构的使用人群也是重要要素，包括固定办公、移动办公长期员工，外协单位、安保人员等短期员工，供应商、运维人员等合作单位及实习、离职员工等。

零信任安全的理念，以保护企业资源安全为目标，通过建立以人的身份为中心，人、设备、行为为子集的新安全架构，从设备风险、真实身份、数字身份、历史信誉和当前行为五个维度展开，解决当今企业IT环境下的风险问题。“人”对应组织架构复杂、人员组成多样化的特点，人具有其真实身份和数字身份的对应，这是人员异构的问题；手机、物联网设备带来终端设备快速更迭，人与设备的绑定关系越来越弱，设备对应网络环境越来越开放、设备越来越多样化的特点，这是设备终端异构和网络异构；行为对应历史信誉和当前行为，账号攻击、漏洞攻击等网络攻击方式都可以从行为上发现端倪，对访问行为的主动干预势在必行，即对应异构的安全场景。

零信任安全架构为异构网络下的业务安全需求提供了方法论的支持，是零信任的核心能力所在。零信任安全架构是符合当下业务安全需求和发展前景的，其核心目的主要是通过对于身份的验证和持续验证，发现并解决业务风险。

安全牛：如何在符合当下异构网络和业务的发展需求下，建设合理的零信任网络架构呢？

孙悦：零信任安全架构具有五个基本假设：

• 网络一直处于危险的环境中，网络中自始至终存在外部或内部威胁；
• 网络的位置不足以决定网络的可信程度，默认情况下不应该信任网络内部或外部的任何人/设备/系统；
• 基于认证和授权重构业务访问控制的信任基础；
• 所有的设备、用户和网络流量都应当被认证、授权和加密；
• 安全策略必须是动态的，并基于设备和用户的多源环境数据和访问行为数据计算而来。

零信任业务安全模型

零信任引导安全体系架构由“网络中心化”走向“身份中心化”，其本质诉求是以“人”为中心进行访问控制，在不可信的网络环境中，以身份为核心，基于认证和授权的访问控制管理重构可信的、安全的网络框架，满足异构网络的安全需求，解决因网络环境开放，用户角色复杂引发的各种身份安全风险、设备安全风险和行为安全风险。

我们认为零信任安全架构主要由四个组件组成，包括：设备端安全管理组件（验证设备）、用户的统一身份管理（验证用户）、动态访问控制网关（动态授予最小化权限）、智能安全大脑（持续自适应风险和信任评估），四个功能组件各有分工又互相联动，达到为企业业务安全服务。

网络架构微分层

如果将用户“访问网络-登录应用-使用及操作-退出应用”的过程，可以将网络架构由下到上分为网络通讯、设备认证、身份认证和行为管控四个微层次。每个微层次有其不同的作用：

网络通讯层：解决网络连通问题，以及网络层安全。

设备认证层：解决设备层安全威胁，包括移动设备、PC机、服务器、物联网设备等，分为识别和控制两个层面。

身份认证层：解决用户身份识别问题，通过对用户进行所知、所持、所有的信息进行持续、自适应认证的方式确定用户身份。

行为管控层：解决威胁发现与应急处置问题，通过人工智能技术动态发现用户行为中

的安全风险，并进行主动干预。

从建设零信任网络的角度来看，可以参考这四个微分层，在完成基础网络体系后，根据自身特点和业务情况逐步有序的进行建设。另外，很多企业在考虑是否上零信任时，大多会担心员工和外部用户的正常访问体验，其实随着控制节点的增加，对恶意用户而言是愈加严厉的认证策略，正常用户则趋向无感知。

安全牛：您认为零信任安全架构最突出的一个特点是？

孙悦：如果只能有一个突出特定，我想将它留给“动态”。

零信任安全是风险和信任之间的平衡状态，对于不同的风险级别，授予不同信任程度，分配不同的权限。在零信任架构中，没有绝对的可信或不可信。密码认证错误可能是输入错误，通过验证的多账号登录可能存在高危风险，异地登录、换设备登录，单独每一项都没有办法唯一确定信任与风险，风险和信任是互相纠缠的。

零信任还有一个不得不提的特定是最小授权，以OA具体应用为例，我们可以针对不同的功能设定风险等级，如查询个人邮件、回复邮件、群发邮件、查询工资、查询组织架构等，每次访问都会实时评估风险与权限的匹配。

另外，零信任建设过程中，需要与大量的应用系统进行数据对接，如操作系统、应用系统、安全产品、网关设备、终端设备等，这些数据可以做实时风险分析，也可以用于梳理用户画像，发现如监守自盗、数据泄露等潜在的安全风险。

安全牛：当下的新基建也是比较火热的一个趋势，那么零信任安全架构对于新基建领域是否也同样适用呢？

孙悦：新基建指以5G、人工智能、工业互联网、物联网为代表的新型基础设施，本质上是信息数字化的基础设施。新基建的实施必然加深移动办公等业务体系建设，新业务体系建设规范需符合网络安全法/密码法/等级保护等相关法律法规的要求。

新阶段以“身份治理”为核心的系统建设将快速开展，身份治理以互信、移动认证、2FA、UEBA接口为核心功能，这些均是零信任安全架构中建设的重点。新基建推动网络建设方向与零信任解决问题的范畴一致，可以说零信任安全架构不仅可以兼容移动互联网、物联网、5G等新兴应用场景，也可兼容等级保护2.0、国密改造、自主可控、可信计算等标准，是可预见未来的业务安全防护最佳方式。

安全牛：您能否结合具体的实际案例来讲解下，零信任理念如何做到落地实践呢？

孙悦：目前零信任解决方案在某股份制银行得到较大范围的推广，其内部数万人协调分工合作，全国范围分支网点，每一个岗位或多或少都能接触到行内的敏感数据。这背后的风险主要为数据/凭证泄露、员工违规操作、身份以及设备的异常等带来的风险和经济损失。以零信任架构的业务安全方案，可以结合身份鉴别、设备归属和行为判断，帮助客户完善对员工的管理，从而防止风险向威胁的转变，以及后续带来的经济和声誉损失。

• 在身份认证层面，以多因素认证能力，以多种认证手段结合的形式，利用短信、动态码、手势和基于生物特征的指纹、人脸、声纹等15种手段，进行真实身份和数字身份匹配关系的判断。
• 设备认证层面，则通过设备指纹来确保设备的唯一性，结合沙箱、白盒密钥、密钥拆分等能力的终端安全防护控件，作为独立系统的进程，对 app 以及终端环境以可视化的形式进行实时监测，也为终端安全存储密钥等敏感数据提供了基础保障。
• 行为管控层面，银行需求可大致分为移动端行为管控和业务操作行为管控两类，移动端行为特征包括用户的行走速度、摆动幅度、使用角度、按压力度等；业务操作的行为特征包括点击顺序、页面停留时间、日均下载次数、日均浏览次数等。通过异常行为判断是否为本人操作，并基于既定合规、安全管理以及风控规则进行违规操作判断。

此外，为了在不改造、不迁移现有业务系统的基础上实现持续且自适应的风险与信任的平衡，该银行在业务系统前端部署了符合等级保护要求的业务网关集群，从身份、设备、行为三个方面进行持续评估，同时通过该集群进行访问控制，以最小权限为基础，对提权操作或可疑身份/行为要求多次认证，对高风险用户以及确定的违规行为进行降权或者阻断，并后台告警。

在面对手机银行等业务风控（交易、信贷等欺诈行为）需求，基于终端环境、威胁情报、用户行为等数据，利用机器学习（囊括多种主流机器学习算法模块以及六类机器学习模型）进行画像（人工智能反欺诈IPA 方案）实现持续的业务操作风险评估所提供的反欺诈能力也极为重要。