■ 云南 张锐

编者按：VPN 确保了企业员工之间的异地通信的便捷和高效，但如今VPN 也面临来自安全方面的挑战。特别是零信任理念诞生以来，经过多年的实践，很多人都非常看好零信任的发展。那么面对新技术的挑战，VPN 将会如何发展？零信任又将如何从根本上解决用户的安全挑战？本文将一一解析。

VPN 自诞生以来为远程工作者提供了连接企业网络的安全通道。但随着企业迁移到更灵活、更精细的零信任安全框架，VPN 面临被替代的可能。许多人认为，零信任框架更适合当今的数字业务世界。

VPN 是基于网络边界概念的安全策略的一部分——受信任的员工在内部，不受信任的员工被隔离在外部。但是，该模型已不再适用于现代业务环境，在该环境中，使用各种移动设备的员工可以从各种内部或外部位置访问网络，并且企业资产也由企业数据中心转移到了多云环境中。

Gartner 预测，到2023年将有60%的企业摒弃VPN，并采用零信任网络访问。零信任网络访问可以采取网关或代理形式，在允许基于角色的上下文感知之前对设备和用户进行身份验证访问。

与众多安全设备及模型的缺陷类似。VPN 无法解决内部攻击。对于供应商、第三方和供应链合作伙伴而言，VPN在这一方面表现得并不够好。如果攻击者窃取了某人的VPN 凭据，那么攻击者可以在内网畅通无阻。另外，随着时间的推移，当前的VPN 已变得尤为复杂且难以管理。目前很多用户表示为VPN 的安全而抓狂。

关注当前企业安全状况的人都知道，我们目前面临的安全形势已经越来越严峻。Forrester 首席分析师Chase Cunningham 甚至认为，目前基于边界的安全模型已经彻底失败了。并不是因为缺乏创新或缺乏投资，而是因为传统安全模型是建立在并不牢固的基础之上的。一旦安全防护体系出现一处短板，整个体系都将可能崩塌。

Palo Alto Networks 的分析师Jon Kindervag 在2009 年提出零信任安全框架以来，零信任理念已经开始为越来越多人所接纳。该理念很简单：持续验证，永不信任，并强制执行严格的访问控制和身份管理策略，以限制员工访问其工作所需的资源，仅此而已。

零信任不是某一项产品或技术，而是对安全性的另一种思考方式。很多人仍然停留在表层含义上，客户也常因供应商在其含义上的不一致而感到困惑。但是也有安全人员认为，零信任有可能从根本上改变传统安全的方式。

安全厂商开始拥抱零信任

尽管零信任理念及其框架已经诞生有10 年了，并且在业界引起了很大反响，但是直到最近一年左右，在企业侧才开始兴起。根据451 Group 近期的一项调查，只有大约13%的企业开启了零信任之路。这一比例似乎并不高，其中的一个关键原因是供应商的步伐缓慢。

零信任的成功典范可以追溯到2014 年，当时Google宣布了其BeyondCorp 安全模型。Google 花了无数的时间和金钱来建立起自己的零信任方案，但不是每个企业都是Google，巨额的投入使它们难以效仿Google 的先例。

如今零信任越来越受到关注，技术的进步终于赶上了当初美好的愿景。5 至7年前，企业还没有办法能够实现零信任的方法，而现在它们开始看到了可能。

供应商的壮大可以说从各个方面支持了零信任的发展。例如，在最新Forrester Wave 报告中的zero-trust eXtended Ecosystem（ZTX）就提到包括了像Palo Alto Networks、Akamai、Okta、Symantec、Illumio和Centrify 这样的各类厂家。并且思科、微软和Vmware 也都提供零信任产品。在国内，也有部分安全厂商开始对零信任开展研究实践。

因此，已经投入了大量人力和物力用于建立和加强传统网络安全体系的企业，面对一种全新的安全模型时，能否做到将所有人（无论是企业高管还是普通员工，或是第三方供应商）都视为同等信任？这是个不小的挑战。

如何开展零信任安全模型

第一个也是最重要的建议是从小处开始，逐渐积累而非一步到位。安全专家建议，首先可以选择从第三方供应商开始，找到一种将其与自身网络相隔离的方法。

Gartner 确定了三种新兴的零信任用例：针对供应链合作伙伴的新移动应用程序、云迁移方案和针对软件开发人员的访问控制。

刚刚被Okta 收购的Workiva 公司实施的针对DevOps 和IT 运营团队的访问控制，使该公司可以通过云访问特定的开发和模拟环境实例。Workiva 公司放弃了传统的VPN 方案，转而使用ScaleFT 的零信任访问控制。

改造之后，当公司的新员工拿起笔记本电脑时，该设备需要得到管理员的明确授权。为了访问网络，员工需要连接到中心网关，该中心网关部署了适当的身份和访问管理策略。

如今零信任已经不再是一个概念，而是已经实实在在得到了落地应用。而这一过程——在企业级解决方案问世之前，业界花费了近10年的时间。

供应商正围绕两个方向进行整合：以网络为中心的团队更加关注网络分段和应用感知防火墙，而以身份为中心的团队则倾向于网络访问控制和身份管理。

托管服务提供商FNTS 公司采取了以网络为中心的改造路线，通过Palo Alto Networks 的零信任安全堆栈对其基础架构进行了大幅改造，最终从根本上建立起公司云服务平台的下一代版本，以便可以扩展到多云环境。

零信任使企业能够更精细地执行员工每天的工作。零信任方案的成功部署需要充分了解员工角色，以确定员工完成工作所需的资产和应用，以及监视员工在网络上的行为。

FNTS 公司从非关键应用的有限部署开始，然后慢慢扩展，并还需要从公司的业务部门那里获得支持。FNTS公司也显示出，部署零信任架构不是完全由技术决定，而是企业业务战略的一部分。

Entegrus 公司同样致力于实现零信任，但其方法是以网络访问控制为中心。由于大型企业业务遍布世界各个地区，每个区域的员工都拥有多个设备，因此，企业网络的攻击面非常广泛且脆弱，需要特别加以保护。

Entegrus 公司因业务的需要，开始重建自己的网络。这也使得它能够有机会尝试零信任方案。该公司通过与PulseSecure 合作，部署了基于零信任的远程访问和网络访问控制工具。最终做到安全产品和业务系统的无缝对接，公司可以在员工连接到网络时应用这一策略。

Entegrus 公司采用了一种分阶段部署的方法，首先需要在实验室环境中进行试点项目并进行不断调整，然后再进行现场部署。这其中的关键是确保零信任基础架构对员工而言是无缝的。

对某些大型企业而言，零信任更多地是关于智能业务流程和数据流以及业务需求，而不仅仅是使用诸如防火墙和网络分段这样的安全产品。实际上，零信任更多的是动态响应不断变化的环境。

当然，企业放弃传统安全架构而过渡到零信任，会带来一定程度的不适应。但相较而言，承受短暂的痛苦总归是好过将来忍受长期无处不在的安全威胁。

零信任：为未知的、永无止境的安全未来做准备

对于考虑零信任理念的任何人或企业来说，这里有两个关键要点要注意。首先，当前并没有零信任部署路线图，也没有相关的行业标准作参考——至少目前还没有。您需要“摸着石头过河”。

正因如此，没有一个单一的策略，您可以尽可能地去尝试，充分发挥自己的创造力，以最小的阻力为您实现最大的控制力和可视性。

再者，安全发展永无止境。零信任同样是一个持续不断的过程，以帮助企业应对不断变化的业务状况。