9月15日，由中國(guó)信息通信研究院主辦、中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)云計(jì)算標(biāo)準(zhǔn)和開源推進(jìn)委員會(huì)承辦的會(huì)當(dāng)“零”絕頂·零信任沙龍?jiān)诰€上舉行。會(huì)上，天翼云科技有限公司安全攻防專家王鑫淵分享了天翼云在零信任安全體系方面的建設(shè)思路、產(chǎn)品優(yōu)勢(shì)，以及在攻防側(cè)的實(shí)踐應(yīng)用。

隨著數(shù)字化辦公、后疫情時(shí)代遠(yuǎn)程辦公常態(tài)化，以及設(shè)備、人員、應(yīng)用等接入場(chǎng)景多元化，傳統(tǒng)的邊界安全防護(hù)變得日益模糊，企業(yè)網(wǎng)絡(luò)安全面臨嚴(yán)峻挑戰(zhàn)。在這樣的背景下，亟待推動(dòng)零信任深入更多場(chǎng)景，幫助企業(yè)構(gòu)建安全護(hù)城河。

我國(guó)也加大政策保障，著力推動(dòng)零信任加速落地。2021年1月，工信部發(fā)布《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動(dòng)計(jì)劃(2021-2023年)(征求意見稿)》，再次強(qiáng)調(diào)要加快開展基于零信任等框架的網(wǎng)絡(luò)安全體系研發(fā)。

近年來零信任產(chǎn)業(yè)愈發(fā)成熟，應(yīng)用越來越廣泛，企業(yè)開始追求更快速、更高效、更安全的企業(yè)零信任。王鑫淵表示，天翼云堅(jiān)持科技創(chuàng)新，探索更優(yōu)的企業(yè)安全訪問方式，基于用戶需求打造零信任產(chǎn)品，可以抵御惡意攻擊，實(shí)現(xiàn)簡(jiǎn)單、安全的遠(yuǎn)程訪問管理，為企業(yè)從根本上提供更好的安全性以及更卓越的用戶體驗(yàn)。

具體而言，天翼云零信任產(chǎn)品搭建了穩(wěn)定可靠的體系架構(gòu)，包含安全插件、數(shù)據(jù)面、控制面三大重要組成部分。安全插件集成DDoS防護(hù)、WAF等天翼云資深安全產(chǎn)品，可提供強(qiáng)大的安全防護(hù)能力，保證鏈路安全及應(yīng)用安全；數(shù)據(jù)面通過零信任網(wǎng)關(guān)持續(xù)認(rèn)證，并與連接器建立起更安全的“隧道”，實(shí)現(xiàn)內(nèi)網(wǎng)數(shù)據(jù)的穿透；控制面通過零信任控制臺(tái)進(jìn)行身份安全校驗(yàn)、終端設(shè)備評(píng)估、訪問日志等可信評(píng)估，最終聯(lián)動(dòng)零信任網(wǎng)關(guān)，實(shí)現(xiàn)安全訪問。

天翼云零信任產(chǎn)品具有眾多優(yōu)勢(shì)。借助遍布全國(guó)的邊緣云資源，基于邊緣云底座原子能力，天翼云建立起零信任安全訪問網(wǎng)關(guān)與策略管理點(diǎn)，能夠靈活部署到各地的分布式邊緣云端且支持按需動(dòng)態(tài)擴(kuò)展，保障企業(yè)最快接入與最近訪問。依托天翼云邊緣云平臺(tái)出色的可擴(kuò)展性，通過以用戶、應(yīng)用程序?yàn)橹行牡陌踩L問模型，可以降低技術(shù)復(fù)雜性和技術(shù)負(fù)擔(dān)。同時(shí)，天翼云零信任產(chǎn)品享有天翼云邊緣云節(jié)點(diǎn)所建設(shè)的網(wǎng)絡(luò)攻擊防護(hù)、全球訪問加速等能力，具有融合安全加速能力。

天翼云零信任產(chǎn)品可以構(gòu)建新型辦公企業(yè)安全訪問體系。基于可信授權(quán)、最小授權(quán)、持續(xù)認(rèn)證、業(yè)務(wù)隱身、終端安全、應(yīng)用安全、鏈路安全等核心能力，對(duì)訪問過程進(jìn)行持續(xù)的安全保護(hù)，實(shí)現(xiàn)在任意網(wǎng)絡(luò)環(huán)境中安全訪問企業(yè)資源。其中，持續(xù)認(rèn)證過程引入RBAC與ABAC鑒權(quán)體系，能根據(jù)角色及用戶屬性、環(huán)境屬性、資源屬性等綜合授予用戶訪問權(quán)限，避免因授權(quán)力度過大導(dǎo)致的權(quán)限漏洞，通過更靈活地進(jìn)行權(quán)限管控，讓零信任更加實(shí)用。

此外，天翼云零信任產(chǎn)品整個(gè)訪問鏈路的檢測(cè)融合了ATT&CK框架，覆蓋了ATT&CK攻擊矩陣中高頻攻擊戰(zhàn)術(shù)的入侵檢測(cè)。通過將ATT&CK框架集成到零信任的檢測(cè)能力中，持續(xù)檢測(cè)攻擊者行為，從而檢測(cè)到攻擊技術(shù)，并映射到ATT&CK，可以清晰了解攻擊者所處攻擊階段，避免攻擊者通過簡(jiǎn)單的變形繞過檢測(cè)，進(jìn)而提升企業(yè)整體安全防御能力。

作為一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全理念，目前零信任已在多個(gè)行業(yè)場(chǎng)景中應(yīng)用。在數(shù)字化環(huán)境中，企業(yè)應(yīng)對(duì)潛在的威脅和保障安全需求不斷增多，推動(dòng)零信任技術(shù)在國(guó)內(nèi)的進(jìn)一步發(fā)展和部署落地是大勢(shì)所趨，這就需要相關(guān)企業(yè)進(jìn)行探索和實(shí)踐，重構(gòu)企業(yè)安全架構(gòu)，并協(xié)同聯(lián)動(dòng)共同促進(jìn)零信任產(chǎn)業(yè)的良性發(fā)展。