新IT環境下，“零信任”守護企業數據安全

劉炅

在2022中國國際大數據產業博覽會中，會議強調了加強數據安全治理體系和能力建設對當今數據引領的經濟發展的重要性。另外，根據聯合國貿易發展組織（UNCTAD）統計，截至2022年2月21日，全球約80%的國家（共194個國家）已完成數據安全和隱私立法，或已提出法律草案。

在這一環境下，中國也不斷在數據安全頂層建設方面提速加碼。2021年，中國已初步搭建完成數據安全的法律架構：繼《網絡安全法》施行后，《數據安全法》、《個人信息保護法》又相繼于2021年9月和11月落地實施。

盡管各國政府相繼出臺支持數據安全措施的框架，過去一年發生的各種網絡入侵事件仍突顯出企業需要加大在系統數據安全和隱私合規方面的投資。據Risk Based Security（RBS）機構的數據泄露報告顯示，2021年度全球披露的數據泄露事件有4145起，共導致227.7億條數據泄露。

IT環境的快速改變令這一問題變得更加復雜。隨著云計算、大數據、移動互聯網、物聯網、5G及其應用，以及混合工作模式的轉變，惡意攻擊者借助這些變化不斷進行網絡攻擊，網絡安全風險與日俱增。在這種威脅無處不在的情況下，基于“永不信任，永遠驗證”原則的零信任架構成為新時代為企業機構網絡安全保駕護航的重要手段。

新IT環境下，“零信任”已成為企業網絡安全的必選項

Gartner報告顯示，2022年，面向生態系統合作伙伴開放的80%新數字業務應用程序將通過零信任網絡進行訪問。到2023年，將有60%的企業從遠程訪問 VPN 向零信任網絡架構轉變。新IT環境下，零信任模式將取代以邊界為中心的安全架構。

零信任模式會對每個設備和個人進行高強度的身份驗證和授權，無論設備或個人在網絡邊界之內還是之外，驗證通過后才能在專用網絡上進行任何訪問或數據傳輸。該過程還會結合分析、篩查和記錄來驗證行為的正確性，以及持續監控入侵信號。如果用戶或設備表現出不同以往的行為跡象，系統則會將其記錄下來并視為疑似威脅進行監控。

這種模式的轉變在過去十年間抵御了大量入侵，攻擊者無法利用邊界中的漏洞，進入防御層來濫用企業的敏感數據和應用程序。如今，零信任安全模式已得到擴展，基于零信任原則的架構形式眾多，完整的零信任解決方案將整合不同防御型技術以應對安全挑戰，提供更高級的威脅防護。

零信任網絡訪問

數字化轉型和云計算驅動的業務生態系統實際上擴大了企業的受攻擊面。最近的報告顯示：在遠程辦公期間，超過67%的員工使用個人設備辦公，而80%員工的自帶設備（BYOD）均為完全非托管設備，只有不到10%的組織表示他們完全了解哪些設備訪問了他們的網絡。

2021年61%的針對組織的惡意軟件通過云應用程序對遠程辦公人員發起攻擊，大約30%的組織報告網絡攻擊嘗試激增，這種現象不免令人擔憂。超過四分之三（75%）的員工和經理預計將在未來三年內在其業務或代理機構內采用混合工作模式，企業采用零信任網絡訪問（ZTNA）提高自己的安全能力已刻不容緩。

零信任網絡訪問（ZTNA）技術能夠加強網絡訪問控制，消除冗余的訪問權限，執行基于風險的多重身份驗證。在應用零信任網絡訪問時，用戶只有通過身份驗證后，才能被授予對特定應用程序或資源的訪問權限。一旦通過身份驗證，零信任網絡訪問技術就會使用安全的加密隧道授予用戶對特定應用程序的訪問權限。該隧道通過將原本可見的 IP 地址屏蔽起來提供額外的安全保護層，以保障數據的私密性。

安全Web網關

隨著云計算服務、BYOD和遠程辦公的增加，網絡攻擊已超越了傳統的企業網絡邊界。Gartner指出，網絡安全和風險相關的七大趨勢中，第一個就是“攻擊面擴大”。最新數據也揭示了嚴峻的網絡安全形勢，其中網絡釣魚攻擊問題十分嚴重。據 Verizon 報告，網絡釣魚仍是數據泄露的主要原因 （36%），其次是使用被盜憑證 （25%） 和勒索軟件 （10%）。究其原因，經濟利益仍是第一驅動力。同時，70%的企業面臨網絡釣魚郵件增加的風險，76%的公司稱網絡釣魚行為有所增加。

在企業安全邊界消失的情況下，安全Web網關通過其URL過濾、應用程序控制、數據丟失防護技術可為組織提供可靠的Web安全性能。URL過濾可控制對網站的訪問，阻止對惡意域、URL和內容的訪問，有效確保訪問云端資源的安全。

另外，安全Web網關的數據丟失防護（DLP）可通過監控數據移動并遵守行業合規性法規和標準，防止關鍵和敏感信息泄露。而應用程序控制能夠根據用戶創建的Web安全策略，識別、阻止或限制 Web 應用程序和小部件的使用，確保應用程序使用和共享的數據的私有性和安全性。

微分段技術

隨著數據存儲、應用的不斷增多，以及遠程辦公模式的改變，數據中心網絡流量從以前的南北向為主轉變為東西向流量為主，逐漸擴大了攻擊者的影響范圍，攻擊也變得愈加頻繁。數據顯示，2022年，勒索軟件攻擊導致的數據泄露事件增加了13%，超過了過去五年的總和。此外，勒索軟件攻擊的頻率在2021年翻了一倍。例如美國最大的輸油管道公司Colonial Pipeline等公司被勒索軟件攻擊，并在 2021年成為頭條新聞。

因此，企業對內部流量進行安全管控就變得尤為重要，一旦攻擊者沖破邊界防護，便可隨意攻擊數據中心內部的服務。而一旦受到攻擊，勒索軟件會對數據和文件進行加密，使數據不可用，對數據安全造成極大的危害。因此用戶在數據中心內部，需要針對內外部的流量構建全面的安全體系。在新的網絡環境中，嚴格遵守零信任原則，把攻擊范圍降至最小。

基于網絡的微分段技術是實現零信任模式“最小權限”原則的基礎。首先，微分段可以提供比子網粒度更細的分組規則，并對數據中心的內部網絡進行分組，然后對所有分組之間的流量部署安全策略，監控不同分段、主機之間的數據流動。這種方法可以在協議層面、應用進程層面進行識別和阻斷，阻擋勒索軟件的擴散。這樣就可以實現更精細的業務策略控制，限制攻擊行為在網絡內部橫向移動的能力，以增強安全性。其次，利用微分段技術可以深入探究跨數據中心和云應用程序的應用程序流，使企業能夠更細致地了解和保護從核心到云的整個基礎設施。這有助于企業提早發現入侵，以便盡快采取糾正措施。

隨著數字經濟的快速發展，傳統IT架構正在從“有邊界”向“無邊界”轉變。零信任代表了新一代的網絡安全防護理念。應用零信任架構可確保企業核心數據資產不受侵害，數據安全則業務安全。相信企業通過與值得信賴的云安全合作伙伴合作，利用創新的零信任解決方案保護網絡和資源，將成功擊退攻擊者，使商業生態系統蓬勃發展。