网络安全的新基石，从“零信任”开始

图片来自“123RF”，作者：脑极体

编者按：本文系投稿稿件，作者脑极体，版权归原作者所有。

2020年注定要和一个词紧紧联系在一起，那就是安全。

新冠疫情全球蔓延，几乎让所有人都开始谨慎地减少外出，与他人保持社交距离。与之对应的是，人们有了更多的时间花费在电子设备和网络世界当中。

相比较于病毒肆虐所造成的人身健康的威胁，网络世界的安全威胁则显得更难以察觉。但随着企业和个人越来越多地将自身最重要的数据资产存放在网络端和云端，网络安全的威胁也正在变得棘手和严重起来。

2月底，SaaS服务商微盟的业务数据遭到内部员工故意删库，导致300万个平台商家的小程序全部宕机，众多商家损失惨重，同时微盟市值大幅缩水。这一事件被业内视为企业数据安全的拐点性事件。

4月初，受疫情影响而出现用户量暴增的远程视频软件Zoom，却被曝出重大安全漏洞，引发股东集体诉讼。漏屋偏逢连夜雨，最近Zoom又被曝出53万条用户网络凭证挂在暗网低价出售。尽管Zoom数据泄露原因被指向是黑客的撞库攻击，但由于Zoom这一视频会议软件会涉及会议内容、摄像头、远程桌面等隐私问题，此次数据泄露再次引发媒体和众多企业组织的抵制和禁用。

结合之前众多国内企业在用户数据安全、隐私保护上的暴露出的种种问题，我们会发现网络安全仍然是企业在产品开发和运营当中的一大短板。

而现在，远程协同办公的兴起也让企业内网正在面临着新的安全威胁，由传统的VPN和防火墙构成的网络安全架构，已经难以满足企业员工的大量外网的接入需要。

一种早在10年前就提出，一直在蓄势发展的“零信任安全”，成为当下可供企业网络安全选择的新架构。

不信任，才是迈向最佳安全性的第一步？

关于信任的一场安全危机，最早可能就来自于古希腊神话中的“特洛伊木马”。希腊人制定的木马计划，骗取了特洛伊人的信任。木马被他们自己迎接进了特洛伊城，而希腊人则从内部将其攻破。这一经典战术启发了互联网时代最猖狂的网络攻击，通过在正常的程序中植入木马程序，就可以实现对被感染计算机的远程控制。

对现在很多企业的数据中心，传统意义上的网络安全就是通过一系列防火墙或者杀毒软件的手段来防御这些外部威胁。但是如果是具有正当凭证以及权限的用户进入系统，这些外围防御系统就会自动放过，而系统内部则隐含着对他们的信任关系，也就很难阻止这些用户的不良行为。

一种是用户账户被盗取后的黑客侵害行为；一种是用户本人的侵害行为，就如微盟内部员工的“删库”，而这样的内部损害也可能更为严重。

真正能够做到系统内部的数据保护，目前最可行的一种方式就是零信任网络访问的模式。这一安全架构将改变企业数据保护的现有规则。

所谓零信任网络访问（Zero-Trust Network Access，简称“ZTNA)”），是在2010年由研究机构Forrester副总裁兼首席分析师约翰