从“自然村落”到“现代化城市”，零信任安全的演进

公众号新闻

2022-11-01 08:11

关注云报

洞察深一度

这个世界真的变了！

安全这一基石又怎能墨守成规？

回想一下，以前企业对待来自内外部的安全威胁和攻击，一向都是“兵来将挡、水来土掩”，哪里有安全漏洞，安全软件和工具就开发到哪里，安全补丁就装到哪里。可事与愿违，似乎越是积极防御，安全漏洞却越堵越多！扪心自问，是不是我们从一开始就错了？

哪里有安全威胁、漏洞，就去哪里“堵枪眼”，这种“被动防御”让我们总是赶不上威胁和变化，疲于奔命，而且这种层层叠加的安全防御，也加大了应用与管理的复杂性。

今天，网络安全与数据保护已经成了一个统一体，密不可分。更有效的安全举措实际是以“主动防御”为出发点，以零信任理念和架构作为基石，通过全面、智能、自动化的解决方案，以及专家的辅助，构筑起现代化的安全体系。

戴尔科技集团大中华区数据保护技术总监李岩

“安全与数据保护是两个闭环，两者又有交叉。为了防范共同的风险，必须拥有一套行之有效的统一规则。”戴尔科技集团大中华区数据保护技术总监李岩打比方说，“以前，人们看中了哪个山明水秀的地方，就会兴建一所房屋，久而久之便形成了一个‘自然村落’。但这种村落往往没有整体规划，也没有完备的公共设施，生活中可能会面临诸多不便。而一座‘现代化城市’的崛起，通常最初都有一个完善的全盘规划，各种配套设施齐全，一切井井有条。映射到安全与数据保护领域，‘自然村落’就像是传统安全，而‘现代化城市’则是基于零信任原则的现代化安全。”

零信任安全打开了通向现代化安全的一扇大门。

安全必须转型

毋庸置疑，对于IT来说，安全是头等大事。企业安全只有一个目标，就是确保企业的信息和资产仅用于合法目的。

“现在的备份解决方案不能解决现在的数据备份问题。”戴尔科技集团大中华区市场部高级顾问李君鹏至今仍清楚记得，他在1999年1月参加公司内部关于数据备份的一场培训，来自公司美国总部的专家说的这第一句话。

戴尔科技集团大中华区市场部高级顾问李君鹏

如果备份方案是十年前开发的，是不可能很好地解决用户现在遇到的问题的。用户的需求时刻都在变化，这就要求安全和数据保护的原则、架构、工具也要与时俱进。传统的安全模式是基于基础架构的所有权，根据网络拓扑实施安全策略。但是今天，这些前提条件已不可同日而语。我们已经进入一个应用程序和数据通道跨多云拓扑的新时代，所谓的边界都是虚拟的，数据也是分布的，用户可能根本不知道云中的网络架构是怎样的，又谈何沿着网络边界设防布控呢？

与数据备份一样，目前的安全解决方案也不能解决用户现在所面临的安全问题。仍旧遵循渐进式的、哪里出现漏洞就在哪里打补丁的传统安全模式，已经完全行不通了，必须来一次“壮士断腕”，一场彻底的变革。而这场变革的敲门砖或者说门槛，就是零信任。

安全必须转型！全面转向零信任架构是最好的选择。

打造零信任架构需自上而下

零信任是一种新的安全模式，它为IT环境带来了明确的控制：所有设备和实体必须是已知的，即必须通过认证和授权；所有的行为都是被明确允许的；所有的行为都能被理解和监控。

零信任架构包括三个基本组成部分，由上而下分别是：业务控制层、通用控制平面，以及零信任基础架构。零信任可自动应用安全和业务策略来保护数据，亦是为多云环境而构建。

李君鹏强调说，零信任架构不能是自下而上的，必须是自上而下的。首先要做业务控制。比如哪些人能够进行访问，哪些人不行；哪些数据是机密的敏感的数据，只能本地化，不允许出境。这些都属于业务控制，它与技术无关，通常需要咨询机构帮助用户进行分析、梳理。

从业务控制往下就到了控制平面，控制平面是一项技术活，主要包括身份管理、策略管理和威胁管理，目的是搞清“你是谁？你能干什么？你到底干了什么？”在零信任的架构中，所有的设备、用户和应用程序，能够运行在哪里，能够访问哪些基础架构，都有明确的定义，从而确保了安全。

最下层是基于零信任的基础架构，即企业的服务器、存储、网络、终端设备等能否支持和满足零信任的需要。只有基础架构完全遵循零信任的原则，才能与控制平面很好地整合。

“业务控制、控制平面和零信任基础架构这三层是相互联动的，缺一不可，构成了一个完整的零信任体系架构。”李君鹏话锋一转，“既然零信任架构如此完美，为何到现在还迟迟没有大规模普及?因为零信任当前还只是一个框架，每个具体部分该做什么并没有明确定义，不同部分之间如何协同配合也没有定论，更没有关于零信任的API。如果客户想部署和实施零信任架构，所有的集成工作都要自己完成，这对大多数客户来说将不堪重负。”

戴尔科技集团之所以热衷于推动零信任的落地，一方面源于自身拥有良好的基础。戴尔科技集团在包括服务器、存储等的IT基础架构和终端设备市场处于全球领先地位，并且其IT基础架构和终端设备在设计之初就支持零信任。另一方面，戴尔科技有技术、有专家，能够帮助客户实现零信任解决方案的集成，让客户更容易部署和应用零信任。此外，戴尔在整个IT行业拥有强大的号召力，能够依靠生态与上下游合作伙伴的力量，不断完善零信任的相关标准和缺失的环节，让零信任不仅可以落地，而且能够降低用户采纳和应用的门槛。

“零信任是戴尔基础架构端到端生命周期中不可或缺的一部分。从产品研发开始，我们已经将安全原则与产品紧密结合在一起，并贯穿从开发、设计、制造到交付的始终。”李君鹏表示，“我们在基础架构的全生命周期持续做创新，以有效应对日益增长的安全威胁。”

戴尔科技集团

在零信任市场的“江湖地位”

以前，经常谈论零信任的主要是专业的安全厂商或云厂商，似乎没人将安全与戴尔科技集团挂上钩。而戴尔科技集团恰恰另辟蹊径，从IT基础架构的角度、从数据安全的角度，诠释了零信任架构，而且给出了可以落地的解决方案和工具。

戴尔科技集团并不是就零信任谈零信任，而是从建立现代化数据安全体系的角度明确了零信任的核心地位和重要作用。李君鹏表示，现代企业安全包括三大要素：以信任为基础，简化零信任的应用，以及拥有可靠网络恢复计划。正是秉承上述原则，戴尔科技不断扩展和完善自身的网络安全解决方案，包括但不限于与风险保持一致的数据保护和恢复、先进的检测和响应平台、技术与流程自动化、业务连续性和事件响应计划、与业务需求相一致的网络恢复，以及外部专家的协助等。

在加强企业现代安全方面，戴尔科技集团的经验和建议是：首先要全面保护数据和系统，其次要不断提升网络弹性，最后要降低安全措施的复杂性。

具体来看，强化企业现代安全的第一步，就是要重新思考如何保护数据和系统。戴尔科技集团提供了领先的可信赖的基础架构、网络和端点技术。戴尔科技集团的优势主要体现在具有内在安全的基础架构，以及端到端的整体解决方案，这有效保证了用户的系统和数据具有更高的效率、安全性以及一致性，并且提供了一致的规划，确保更快地进行恢复。

增强企业现代安全的第二步就是增强网络弹性。“现在的问题不是网络安全问题会不会发生，而是何时发生。因此，关键是提前做好准备，并尽可能快速恢复，以减少对企业运营的影响。”李岩表示，“这就是从网络安全转向网络弹性的必要性。”

网络安全是从IT的角度分析客户面临哪些威胁，采用什么样的方案来应对威胁。但网络弹性是从业务的角度思考问题，设备故障、网络故障也好，各种灾难、安全威胁也罢，业务都不能停摆。动用各种手段，保持业务的连续性，就是实现网络弹性的意义所在。“与其说网络弹性是一种技术，不如说它是一种策略，同时也是企业必须具备的一种能力，更是企业希望获得到的一种好的结果，即确保业务不间断运行。”李岩如是说。

众所周知，NIST(国家标准与技术研究院)提出的安全框架包括识别、保护、检测、响应和恢复，前四个都属于安全的范畴，当“网络安全+恢复”，就构成了网络弹性。既然恢复手段如此重要，那么如何才能做到恢复的万无一失呢？李岩的回答是“三位一体”，即BR+DR+CR，企业所有的数据都要做备份（BR），重要的数据做容灾（DR），而企业的“黄金数据”（最核心的数据）则要放入“数据避风港”（CR）。只有“三位一体”的网络架构，才能够抵御所有数据风险。

业内关于BR和DR的论述已经很多，在此不再赘述。需要特别强调的是，实现CR有三个关键点：数据隔离、不可篡改、智能分析，缺一不可。

“复杂性是安全的敌人。”李君鹏表示，“降低安全的复杂性，就必须转向自动化、智能和整合，实现规模化，将更多的人工智能和机器学习技术注入到安全工具中，赋予用户更大的自主权来管理威胁，提供更好的业务建议。戴尔科技集团基于云的监控和分析软件CloudIQ实现了面向智能基础架构的智能运维，结合了主动监控、自动通知、推荐、机器学习和预测分析等技术，能够帮助用户降低基础架构的风险。”

除了整合安全工具、利用自动化和智能化降低安全管理复杂性以外，戴尔科技集团的专家也能为用户提供安全策略、规划、服务等方面的支持。

零信任是一个完整体系

从广义来讲，安全应该是全面的、智能的和可扩展的，能够跨整个行业，具有一致的目标和策略应用。而零信任则是实现上述目标的新基石。

从现实情况看，零信任不可能一蹴而就，因为它不是一个孤立的产品，而是一个庞大而完善的体系，是从基础架构就开始的安全理念和实践的颠覆。如果企业现有的服务器、存储都不支持零信任原则，一个简单的例子，如果硬件不支持双因子认证，那么融入零信任体系、与控制平面对接就是空谈。

零信任架构的建设需要的是一个生态。从这个角度来说，这正是戴尔科技集团的优势。戴尔科技集团基于零信任原则、微软解决方案和专业的安全知识，创建了可加速保护微软生态系统的方法。比如Microsoft Defender解决方案套件和戴尔服务有助于确保重点防御领域的安全（如端点、微软365和活动目录），并提供与Microsoft Sentinel SIEM平台和IT服务管理平台（如ServiceNow）的集成。戴尔科技集团全球首席技术官John Roese表示：“我们相信零信任战略是最好的发展道路。戴尔拥有久经验证的IT和安全体系、丰富的技术集成经验，以及广泛的全球合作伙伴生态系统，可帮助客户简化其网络安全转型。”

李君鹏建议说，用户可以从最紧迫的需求入手，比如先建立网络弹性，引入“数据避风港”解决方案，确保数据能够在任何情况下实现快速恢复。这是很多用户容易忽视的一步，却是建立企业现代安全的一个基本前提。

往期回顾

◆“数据避风港”是如何建成的？

◆打通企业的“韧”督二脉，戴尔科技赋能数智远见者

◆软件驱动创新，戴尔科技打造现代化存储体验

微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。

来源: qq

点击查看作者最近其他文章