VPN的墻要倒了，但零信任時(shí)代還有多遠(yuǎn)？

　　疫情期間，猖狂的不只是新冠病毒，還有黑客。

　　美國(guó)的網(wǎng)絡(luò)安全公司 Proofpoint 的研究人員在2020年2月首先注意到，一封奇怪的電子郵件在2月份發(fā)送給了它的客戶。上述電郵來(lái)自一位神秘的醫(yī)生。他聲稱有一份文件，其中詳細(xì)記載了一種冠狀病毒疫苗。Proofpoint說(shuō)，好奇的收件人點(diǎn)擊了文件，就會(huì)被帶到一個(gè)看起來(lái)像一個(gè)正常、值得信賴的電子簽名頁(yè)面，但它實(shí)際上是一個(gè)罪犯自己建立的網(wǎng)頁(yè)，目的是獲取登錄者的細(xì)節(jié)。一旦他們擁有你的賬戶名稱和密碼，你這臺(tái)機(jī)器上的文檔也就變成了他們的文檔。

　　疫情暴發(fā)初期，黑客就開始冒充世界衛(wèi)生組織（WHO）發(fā)送信息。一些黑客創(chuàng)建了部分依托于政府網(wǎng)站內(nèi)容的假網(wǎng)站，模仿政府網(wǎng)站來(lái)發(fā)布有關(guān)新冠病毒的信息，或是向感染該病毒的患者提供建議與幫助。但是，一旦點(diǎn)擊這些按鍵，用戶的計(jì)算機(jī)就將遭到惡意軟件的入侵，此外，還會(huì)通過(guò)用戶的賬號(hào)傳播大量與新冠病毒相關(guān)的電子郵件。而隨著這些電子郵件傳播的，還有作為郵件附件的惡意程序。

　　許多國(guó)家相關(guān)部門已經(jīng)注意到這類情況，德國(guó)聯(lián)邦信息技術(shù)安全辦公室就在去年11月表示，此類惡意程序可能屬于加密和勒索型的程序，它們會(huì)對(duì)存儲(chǔ)在計(jì)算機(jī)或網(wǎng)絡(luò)中的所有數(shù)據(jù)進(jìn)行加密，例如一款叫做“ Emotet”的惡意軟件。黑客通常會(huì)勒索用戶，要求其支付贖金以換取對(duì)相關(guān)數(shù)據(jù)的再次解密。

　　更有甚者還專門針對(duì)疫苗研發(fā)企業(yè)實(shí)施攻擊。據(jù)路透社11月下旬的報(bào)道，這家英國(guó)與瑞典合作開發(fā)新冠疫苗的制藥公司的員工曾收到一份假電子郵件，稱可以提供報(bào)酬豐厚的工作機(jī)會(huì)。去年11月中旬，微軟一位高管在公司博客上報(bào)告了來(lái)自加拿大、法國(guó)、印度、韓國(guó)和美國(guó)的共7家知名疫苗制造商遭到黑客攻擊。

　　醫(yī)院也是黑客攻擊的熱門目標(biāo)。網(wǎng)絡(luò)安全解決方案提供商Check Point Research 在今年2月24日發(fā)布的《2021 年網(wǎng)絡(luò)安全報(bào)告》稱，2020 年第四季度，CPR 報(bào)告稱，全球范圍內(nèi)針對(duì)醫(yī)院的網(wǎng)絡(luò)攻擊（尤其是勒索軟件攻擊）增加了 45%，因?yàn)榉缸锓肿诱J(rèn)為，由于新冠病例激增造成的壓力，醫(yī)院更有可能滿足贖金要求。

　　VPN之墻已千瘡百孔

　　疫情加速了全球數(shù)字化進(jìn)程，但在黑客的攻擊之下，也暴露了傳統(tǒng)組織所架設(shè)的VPN之墻的落伍和脆弱。

　　VPN（虛擬專用網(wǎng)）是在公用網(wǎng)絡(luò)上建立專用網(wǎng)絡(luò)，通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)，在企業(yè)政府機(jī)構(gòu)遠(yuǎn)程辦公中起著舉足輕重的地位。VPN奉行的“內(nèi)部即可信”、“外部即不可信”的安全模式，也就是說(shuō)可信的員工在內(nèi)部，不可信的員工在外部。

　　過(guò)去，企業(yè)的服務(wù)器和辦公設(shè)備主要運(yùn)行在內(nèi)網(wǎng)環(huán)境中，所有的企業(yè)安全都是圍繞著內(nèi)網(wǎng)的“墻”來(lái)建設(shè)的，在這種情況下，VPN所搭建的防護(hù)墻還算牢靠。但這種模式不再適用于現(xiàn)代商業(yè)環(huán)境。

　　但是在遠(yuǎn)程辦公、云計(jì)算日益普及的今天，一方面，云計(jì)算、 移動(dòng)互聯(lián)等技術(shù)的采用讓企業(yè)的人和業(yè)務(wù)、數(shù)據(jù)“走”出了企業(yè)的 邊界;另一方面，大數(shù)據(jù)、物聯(lián)網(wǎng)等新技術(shù)的開放協(xié)同需求導(dǎo)致了外部人員、平臺(tái)和服務(wù)“跨”過(guò)了企業(yè)的數(shù)字護(hù)城河。復(fù)雜的現(xiàn)代企業(yè)網(wǎng)絡(luò)基礎(chǔ)設(shè)施已經(jīng)不存在單一的、易識(shí)別的、明確的安全邊 界，或者說(shuō)，企業(yè)的安全邊界正在逐漸瓦解。

　　因此，VPN的“內(nèi)部即可信”、“外部即不可信”的安全模式成為其致命弱點(diǎn)。企業(yè)不可能把阿里云、騰訊云都裝到自己的防火墻里面，當(dāng)然也不可能把防火墻修到世界每個(gè)角落。

　　黑客也專挑VPN的漏洞下手。Check Point Research 在今年2月24日發(fā)布的《2021 年網(wǎng)絡(luò)安全報(bào)告》稱，黑客利用新冠疫情造成的混亂，特別是針對(duì)遠(yuǎn)程辦公的vpn的安全事件快速增長(zhǎng)，其中，87% 的組織曾經(jīng)歷利用已知漏洞的網(wǎng)絡(luò)攻擊，46% 的組織至少有一名員工下載了惡意移動(dòng)應(yīng)用。

　　去年三月，雷鋒網(wǎng)援引外媒消息稱， 影響 iOS 13.3.1或更高版本的當(dāng)前未匹配的安全漏洞可能會(huì)阻止虛擬專用網(wǎng)絡(luò)（VPN） 對(duì)所有流量進(jìn)行加密。雖然連接到 iOS 設(shè)備上的后 VPN 后進(jìn)行的連接不受此錯(cuò)誤的影響，但所有以前所建立的連接都將在 VPN 的安全隧道之外。

　　Check Point 軟件技術(shù)公司產(chǎn)品副總裁 Dorit Dor 表示：“全球企業(yè)對(duì)其 2020 年數(shù)字計(jì)劃的推進(jìn)速度感到驚訝：據(jù)估計(jì)，數(shù)字化轉(zhuǎn)型提前了最多 7 年。但與此同時(shí)，攻擊者和網(wǎng)絡(luò)犯罪分子也改變了其作案策略，借以利用這些變化和疫情所造成的混亂，各行各業(yè)遭受的攻擊均迅猛增長(zhǎng)。”

　　零信任網(wǎng)絡(luò)靠譜嗎？

　　隨著企業(yè)轉(zhuǎn)向更靈活、粒度更細(xì)的零信任安全框架(該框架更適合當(dāng)今的數(shù)字業(yè)務(wù)世界)，數(shù)十年來(lái)一直為遠(yuǎn)程工作者提供進(jìn)入企業(yè)網(wǎng)絡(luò)的安全通道的古老VPN正面臨消亡。

　　誰(shuí)來(lái)取代VPN？Gartner 2019年4月發(fā)布的《零信任網(wǎng)絡(luò)訪問(wèn)市場(chǎng)指南2019》預(yù)測(cè)，到2023年，60％的企業(yè)將淘汰大部分遠(yuǎn)程訪問(wèn)虛擬專用網(wǎng)絡(luò)（VPN），轉(zhuǎn)而使用ZTNA（零信任網(wǎng)絡(luò)）。

　　零信任網(wǎng)絡(luò)并非橫空出世。零信任的最早雛形源于 2004 年成立的耶利哥論壇 (Jericho Forum)，其使命正是為了定義無(wú)邊界趨勢(shì)下的網(wǎng)絡(luò)安全問(wèn)題并尋求解決方案。2010 年，零信任術(shù)語(yǔ)正式出現(xiàn)，并指出默認(rèn)情況下所有的網(wǎng)絡(luò)流量都是不可信的，需要對(duì)訪問(wèn)任 何資源的任何請(qǐng)求進(jìn)行安全控制。

　　作為VPN的一種替代方案，零信任的核心思想就是：默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)，需要基于認(rèn)證和授權(quán)重構(gòu)訪問(wèn)控制的信任基礎(chǔ)。零信任對(duì)訪問(wèn)控制進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，其本質(zhì)訴求是以身份為中心進(jìn)行訪問(wèn)控制。

　　零信任網(wǎng)絡(luò)已是大勢(shì)所趨，并將引導(dǎo)安全體系架構(gòu)從網(wǎng)絡(luò)中心化走向身份中心化，中美兩國(guó)均已把零信任網(wǎng)絡(luò)作為未來(lái)發(fā)展方向。

　　2019 年 4 月，美國(guó)技術(shù)委員會(huì)—行業(yè)咨詢委員會(huì)（ACT-IAC）發(fā)布了《零信任網(wǎng)絡(luò)安全當(dāng)前趨勢(shì)》，對(duì)當(dāng)前零信任的技術(shù)成熟度及可用性進(jìn)行評(píng)估，隨后國(guó)防創(chuàng)新委員會(huì)（DIB）、美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)（NIST）均發(fā)表了零信任相關(guān)的報(bào)告或標(biāo)準(zhǔn)，其中《零信任架構(gòu)》標(biāo)準(zhǔn)正式版也于今年 8 月 11 日發(fā)布，美國(guó)國(guó)防部已明確將零信任實(shí)施列為最高優(yōu)先事項(xiàng)。

　　中國(guó)零信任亦緊鑼密鼓地展開，標(biāo)準(zhǔn)及應(yīng)用案例逐漸落地。2019 年 9 月，工信部發(fā)布的《關(guān)于促 進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見（征求意見稿）》中將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò) 安全關(guān)鍵技術(shù)”。2019 年 7 月騰訊牽頭提交的《零信任安全技術(shù)—參考框架》行業(yè)標(biāo)準(zhǔn)通過(guò)評(píng)審。

　　在美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院（NIST）發(fā)布的零信任架構(gòu)標(biāo)準(zhǔn)中，明確列出了當(dāng)前實(shí)現(xiàn)零信任的三大技術(shù)路線，可以歸納為“SIM”組合：SDP，軟件定義邊界; IAM，增強(qiáng)的身份管理; MSG，微隔離。這三種技術(shù)路線既可以單獨(dú)實(shí)現(xiàn)零信任方案，也可以配合起來(lái)實(shí)現(xiàn)更加全面的零信任架構(gòu)。

　　Gartner發(fā)布的《零信任網(wǎng)絡(luò)訪問(wèn)市場(chǎng)指南 (2020版)》表示，ZTNA削弱了網(wǎng)絡(luò)位置的優(yōu)勢(shì)地位，消除了過(guò)度的隱式信任，代之以顯式的基于身份的信任。從某種意義上說(shuō)，ZTNA創(chuàng)建了個(gè)性化的“虛擬邊界”，該邊界僅包含用戶、設(shè)備、應(yīng)用程序。ZTNA還規(guī)范了用戶體驗(yàn)，消除了在與不在企業(yè)網(wǎng)絡(luò)中所存在的訪問(wèn)差異。最關(guān)鍵的是，它還將橫向移動(dòng)的能力降到最低。

　　安全新賽道誰(shuí)在搶跑

　　早在政府確定零信任標(biāo)準(zhǔn)前，一波科技巨頭已在悄然布局，而SDP模式已一馬當(dāng)先，成為零信任相對(duì)成熟的技術(shù)路線。

　　谷歌堪稱先鋒，早在2014年Google 基于其內(nèi)部項(xiàng)目 Beyond Corp 的研究 成果，陸續(xù)發(fā)表了多篇論文，闡述了在 Google 內(nèi)部如何為其員工構(gòu)建零信任架構(gòu)。2011-2017年期間，Google Beyond Corp項(xiàng)目實(shí)施落地，實(shí)現(xiàn)不區(qū)分內(nèi)外網(wǎng)，讓員工不借助VPN安全地在任何地方開展工作，將訪問(wèn)權(quán)限從網(wǎng)絡(luò)邊界轉(zhuǎn)移到設(shè)備、用戶和應(yīng)用。Beyond Corp的核心思想是組織不應(yīng)該信任任何實(shí)體，無(wú)論該實(shí)體是在邊界內(nèi)還是在邊界外，應(yīng)該遵循“永不信任，始終驗(yàn)證”的原則。

　　國(guó)際云安全聯(lián)盟于2013年成立SDP工作組，由美國(guó)中央情報(bào)局(CIA) CTO Bob 擔(dān)任工作組組長(zhǎng)，并于2014年發(fā)布SPEC 1.0等多項(xiàng)研究成果。SDP作為新一代網(wǎng)絡(luò)安全解決理念，其整個(gè)中心思想是通過(guò)軟件的方式，在移動(dòng)和云化的時(shí)代，構(gòu)建一個(gè)虛擬的企業(yè)邊界，利用基于身份的訪問(wèn)控制，來(lái)應(yīng)對(duì)邊界模糊化帶來(lái)的粗粒度控制問(wèn)題，以此達(dá)到保護(hù)企業(yè)數(shù)據(jù)安全的目的。

　　經(jīng)過(guò)多年發(fā)展，SDP技術(shù)越來(lái)越被廣泛應(yīng)用，成為零信任最成熟的商業(yè)解決方案，Zscaler、Akamai、網(wǎng)宿科技等國(guó)外著名云安全廠商和一些國(guó)內(nèi)公司如聯(lián)軟科技、云深互聯(lián)等都有相關(guān)產(chǎn)品和解決方案。其中，Google、Microsoft 等巨頭率先在企業(yè)內(nèi)部實(shí)踐零信任并推出了完整的解決方案；OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為 中心”的零信任方案；Cisco、Symantec、VMware、F5 等公司推出了偏重于網(wǎng)絡(luò)實(shí)施方式的零信任方案；此外 Vidder、Cryptzone、Zscaler、Illumio 等創(chuàng)業(yè)公司亦表現(xiàn)。

　　疫情之下快速的普及遠(yuǎn)程辦公和不斷增長(zhǎng)的黑客攻擊，也加速了零信任網(wǎng)絡(luò)的用戶教育。2019 年底，Cybersecurity Insiders 聯(lián)合 Zscaler 發(fā)布的《2019 零信任安全市場(chǎng)普及行業(yè)報(bào)告》指出， 78%的 IT安全團(tuán)隊(duì)希望在未來(lái)應(yīng)用零信任架構(gòu)，19%的受訪者正積極實(shí)施零信任，而 15%的受訪者已經(jīng)實(shí)施了零信任，零信任安全正迅速流行起來(lái)。

　　萬(wàn)事俱備，一場(chǎng)企業(yè)安全升級(jí)的新賽道徐徐展開。?MarketsandMarkets預(yù)計(jì)，到2024年，零信任安全的全球市場(chǎng)規(guī)模將達(dá)到386.31億美元（約合人民幣2585.6億元），復(fù)合年化增長(zhǎng)率為19.9%。

　　今年1月27日，谷歌云官方發(fā)布博客宣布，零信任平臺(tái)BeyondCorp Enterprise正式上市，該產(chǎn)品替代并擴(kuò)展了谷歌云去年4月發(fā)布的BeyondCorp遠(yuǎn)程訪問(wèn)產(chǎn)品，標(biāo)志著零信任時(shí)代的正式到來(lái)。幾乎同一時(shí)間，網(wǎng)宿科技發(fā)布面向企業(yè)安全領(lǐng)域的新一代零信任遠(yuǎn)程訪問(wèn)接入產(chǎn)品——SecureLink。據(jù)介紹，網(wǎng)宿SecureLink遵循CSA軟件定義邊界（SDP）標(biāo)準(zhǔn)規(guī)范與Zero-Trust安全框架體系，并整合全鏈路傳輸加速能力開發(fā)而成，顛覆了VPN、遠(yuǎn)程桌面等傳統(tǒng)內(nèi)網(wǎng)訪問(wèn)技術(shù)，針對(duì)云與移動(dòng)時(shí)代企業(yè)全場(chǎng)景遠(yuǎn)程辦公安全訪問(wèn)需求，提供以身份認(rèn)證與動(dòng)態(tài)信任為基礎(chǔ)的企業(yè)遠(yuǎn)程訪問(wèn)安全接入服務(wù)。證券日?qǐng)?bào)網(wǎng)報(bào)道稱，網(wǎng)宿科技為CDN轉(zhuǎn)型云安全的后起之秀，今年在零信任領(lǐng)域發(fā)力較為明顯，基于中國(guó)本土產(chǎn)業(yè)格局，零信任安全公司估值仍具有較大想象空間。

　　網(wǎng)絡(luò)安全的潮水正在轉(zhuǎn)向，零安全網(wǎng)絡(luò)時(shí)代已悄然降臨。