在會上，來自東方富海的投資總監(jiān)楊震東先生，和數(shù)說安全創(chuàng)始人于江先生，分別從各自的專業(yè)角度對零信任在國內(nèi)的進(jìn)展進(jìn)行了闡述和分析，并對薔薇靈動的革命性創(chuàng)新進(jìn)行了深度點(diǎn)評。

什么是統(tǒng)一微隔離

統(tǒng)一微隔離，是一種在微隔離與ZTNA技術(shù)基礎(chǔ)上發(fā)展出來的，可以打通辦公網(wǎng)和數(shù)據(jù)中心網(wǎng)絡(luò)，為用戶提供端到端業(yè)務(wù)可視化分析與身份訪問控制的新一代零信任產(chǎn)品。

所謂統(tǒng)一，包含五個(gè)方面：

首先是辦公網(wǎng)與數(shù)據(jù)中心的統(tǒng)一。統(tǒng)一微隔離將辦公網(wǎng)與數(shù)據(jù)中心的邊界打開，將整個(gè)園區(qū)網(wǎng)，甚至是用戶的全部基礎(chǔ)設(shè)施（包括公有云和遠(yuǎn)程辦公地點(diǎn)）視為一張統(tǒng)一的網(wǎng)絡(luò)，然后對這個(gè)統(tǒng)一網(wǎng)絡(luò)做統(tǒng)一策略管理。這將使用戶歷史上第一次能夠獲得一張覆蓋全局的具有身份和業(yè)務(wù)屬性的統(tǒng)一零信任網(wǎng)絡(luò)和統(tǒng)一可視化業(yè)務(wù)視圖，這徹底改變了用戶過去一直以來做“拼圖”（很多時(shí)候還拼不起來）建“孤島”的安全管理窘境，讓網(wǎng)絡(luò)安全走進(jìn)了寰宇一統(tǒng)、金甌無缺的大統(tǒng)一時(shí)代。

其次是身份空間的統(tǒng)一。統(tǒng)一微隔離將人、設(shè)備、網(wǎng)絡(luò)、業(yè)務(wù)、數(shù)據(jù)的身份空間完全打通，并進(jìn)行統(tǒng)一管理，讓用戶基礎(chǔ)設(shè)施中的每一個(gè)要素，都能夠不受位置、環(huán)境、網(wǎng)絡(luò)的約束，擁有一個(gè)全局唯一且持續(xù)生效的身份標(biāo)識。這種對全要素進(jìn)行身份化網(wǎng)絡(luò)策略標(biāo)識與管理的能力，使得統(tǒng)一微隔離可以構(gòu)建覆蓋全要素的統(tǒng)一零信任網(wǎng)絡(luò)。

第三是網(wǎng)絡(luò)策略統(tǒng)一。統(tǒng)一微隔離允許用戶對整個(gè)基礎(chǔ)設(shè)施做軟件定義策略管理，通過一套單一的微隔離策略，對全部網(wǎng)絡(luò)流量作統(tǒng)一管理，用戶可以用一條策略直接描述某部門某用戶到某業(yè)務(wù)中的某工作負(fù)載的業(yè)務(wù)訪問權(quán)限，而這樣的跨基礎(chǔ)設(shè)施跨網(wǎng)絡(luò)的訪問控制要求，在過去要在若干分散的安全產(chǎn)品上通過多條組合策略才能近似達(dá)成。

第四是安全數(shù)據(jù)統(tǒng)一。對全局安全數(shù)據(jù)做統(tǒng)一分析是當(dāng)代安全體系的必然要求，也是等級保護(hù)2.0標(biāo)準(zhǔn)體系中的重要組成部分，但是實(shí)際情況卻不容樂觀，來自不同產(chǎn)品的不同格式的、零碎的、片段的、重疊的海量數(shù)據(jù)要清洗干凈并整合拼接起來實(shí)際上是非常困難的，而且這些數(shù)據(jù)基本都是基于IP的，這樣的數(shù)據(jù)沒有身份和業(yè)務(wù)信息，因此也很難進(jìn)行訪問意圖分析。而統(tǒng)一微隔離，基于其統(tǒng)一微隔離網(wǎng)絡(luò)和統(tǒng)一身份空間、統(tǒng)一策略空間的框架能力加持，能夠?qū)θ苛髁拷⑵鹨环萑株P(guān)聯(lián)、全局索引，并且是按照用戶身份和業(yè)務(wù)信息進(jìn)行整理和呈現(xiàn)的統(tǒng)一安全數(shù)據(jù)，這將使安全運(yùn)營走向一個(gè)全新的時(shí)代。

最后也是最重要的，是零信任平臺統(tǒng)一。一直以來，ZTNA與微隔離被認(rèn)為是零信任的兩個(gè)技術(shù)基石，ZTNA用于解決業(yè)務(wù)外部訪問安全接入問題，微隔離用于解決業(yè)務(wù)內(nèi)部流量安全交互問題，也就是一般所謂的，ZTNA管南北，微隔離管東西的架構(gòu)體系。這種結(jié)構(gòu)是目前常見的零信任架構(gòu)，但也是一種缺陷明顯的架構(gòu)，在這種架構(gòu)下，ZTNA與微隔離之間存在著一個(gè)巨大的策略與數(shù)據(jù)鴻溝，攻擊者可以利用這個(gè)鴻溝同時(shí)繞過微隔離與ZTNA的防御。統(tǒng)一微隔離在一個(gè)統(tǒng)一平臺上同時(shí)解決了外部業(yè)務(wù)安全接入與內(nèi)部流量安全訪問兩個(gè)問題，徹底弭平了現(xiàn)有架構(gòu)下的各種縫隙，真正做到全局統(tǒng)一業(yè)務(wù)分析和全局統(tǒng)一精細(xì)化策略編排，這是對零信任技術(shù)的一次重大創(chuàng)新，也是零信任技術(shù)發(fā)展的必然方向。

零信任的理想與現(xiàn)實(shí)

要深入的理解統(tǒng)一微隔離這個(gè)全新技術(shù)品類的革命性意義，有必要回顧下零信任的發(fā)展歷程與現(xiàn)狀。零信任究竟要解決什么問題和零信任如何解決這些問題一直都是兩件獨(dú)立的事情。

先說理想。零信任一直以來要嘗試解決的其實(shí)就是一件事，那就是網(wǎng)絡(luò)邊界消失問題。虛擬化技術(shù)因?yàn)橛?jì)算資源的池化隨機(jī)分配，帶來了數(shù)據(jù)中心內(nèi)部邊界消失。云計(jì)算（特指公有云）由于多云架構(gòu)，以及云內(nèi)多資源池架構(gòu)，帶來了數(shù)據(jù)中心外部邊界消失。而移動設(shè)備的廣泛使用帶來了辦公網(wǎng)內(nèi)部邊界的消失，而遠(yuǎn)程辦公的盛行又帶來了辦公網(wǎng)外部邊界的消失。所謂消失，不是形容詞，就是物理意義上的消失，意思是沒有一個(gè)（或幾個(gè)）固定的物理位置可以確定地獲取所需管理的網(wǎng)絡(luò)流量并進(jìn)行訪問控制。邊界消失，對于安全行業(yè)一直以來沿用的邊界防御理念以及防火墻產(chǎn)品構(gòu)成了顛覆性打擊。

零信任概念的提出就是希望建立起一個(gè)全局統(tǒng)一的，網(wǎng)絡(luò)無關(guān)的分析與控制體系，從而實(shí)現(xiàn)在整個(gè)基礎(chǔ)設(shè)施范圍內(nèi)，對全部流量進(jìn)行統(tǒng)一分析和控制，對全部安全能力進(jìn)行按需的交付和編排。所以，零信任自始至終一直是個(gè)網(wǎng)絡(luò)問題，就是希望搭建一個(gè)精細(xì)化的網(wǎng)絡(luò)位置無關(guān)的邏輯結(jié)構(gòu)，對全網(wǎng)流量進(jìn)行精細(xì)化控制和按需的安全防御。

零信任的理想是一回事，實(shí)現(xiàn)又是另一回事。2010年Forrester提出零信任概念時(shí)，實(shí)際上就給出過一個(gè)解決方案，他當(dāng)時(shí)的設(shè)想是，引入一個(gè)全局統(tǒng)一的交換機(jī)，上面有全部安全板卡，然后所有流量通過這個(gè)交換機(jī)，通過策略配置安全能力的作用。事實(shí)上，2010年的時(shí)候這本來就是很多大型數(shù)通廠商的常見方案，在之后也出了一些產(chǎn)品，不過這種物理上的流量與安全能力集中，顯然是一種過于沉重的解決方案，根本無法在大規(guī)模網(wǎng)絡(luò)中使用，因此2010年之后，零信任概念并也沒有真正流行起來，一直到2020年，NIST零信任草案的提出。在這個(gè)草案里，零信任有了新的解決方案，那就是通過IAM，SDP，和微隔離這三個(gè)技術(shù)基石構(gòu)建起的零信任框架。SDP與IAM是兩種不同但又有交集的ZTNA技術(shù)，可以面向用戶身份設(shè)計(jì)訪問策略，從而解決外部邊界消失問題。微隔離可以面向業(yè)務(wù)和工作負(fù)載身份設(shè)計(jì)訪問策略，從而解決內(nèi)部邊界消失問題。這個(gè)結(jié)構(gòu)是具有真正可行性的架構(gòu)，因此得以在全世界廣泛部署，帶來了零信任的真正繁榮。

但這個(gè)框架也有其自身的問題，那就是ZTNA與微隔離的割裂。ZTNA對于公有云以及SAAS訪問解決得很好，但是對于本地?cái)?shù)據(jù)中心的防護(hù)就差了很多。暴露在公網(wǎng)的業(yè)務(wù)相對來說有限且比較標(biāo)準(zhǔn)，基本都是通過HTTP協(xié)議來訪問的，而那些只能被本地訪問的私有業(yè)務(wù)從流量類型到訪問途徑都五花八門，甚至他們的存在都不被管理員所了解，這種情況下，對于要求具備明確訪問關(guān)系才能部署的ZTNA方案來說就變得非常困難。而與此同時(shí)，微隔離也面臨著自身的挑戰(zhàn)。微隔離與工作負(fù)載和業(yè)務(wù)部署在一起，因此它天生能夠看到全部訪問流量，并且具備最完整的控制能力，但是因?yàn)槲⒏綦x只擁有業(yè)務(wù)和工作負(fù)載身份，對于來自外部的訪問（南北向）流量則沒有理解，它看到的還是普通的IP流量，這就使得面對這些流量的時(shí)候，微隔離就只能退回到過去的基于IP網(wǎng)段的粗粒度訪問控制邏輯上。微隔離和ZTNA各自負(fù)責(zé)南北和東西，實(shí)際上為網(wǎng)絡(luò)攻擊留下了一個(gè)可以被利用的“縫隙”。而這就是零信任架構(gòu)在統(tǒng)一微隔離之前所面臨的技術(shù)現(xiàn)實(shí)，它比過去要好，但還不夠好！

統(tǒng)一是零信任的必然趨勢

零信任基礎(chǔ)技術(shù)架構(gòu)從分裂走向統(tǒng)一是大勢所趨。在Gartner 2022年2月發(fā)布的最新的ZTNA報(bào)告《Market Guide for Zero Trust Network Access》（ZTNA市場指南）中，有這樣一段話：

Vendors continue to expand offerings into the data center with identity-based segmentation as separate products or combined with ZTNA offerings — blurring the lines between segmentation technologies.

譯文：

ZTNA供應(yīng)商都在想辦法為數(shù)據(jù)中心提供微隔離技術(shù)，微隔離可能被當(dāng)作獨(dú)立的產(chǎn)品提供，也可能直接和ZTNA產(chǎn)品整合在一起，從而打破兩種分段技術(shù)的區(qū)隔。

這里先講幾個(gè)背景知識。在Gartner的話語體系中，微隔離一共改過三次名字，現(xiàn)在最新的叫法是 identity-based segmentation。在garnter看來，微隔離最本質(zhì)的價(jià)值就是可以利用身份來組建網(wǎng)絡(luò)分段。另外，在Gartner2022年更新的另一篇報(bào)告《What Are Practical Projects for Implementing Zero Trust?》（靠譜的零信任項(xiàng)目究竟是啥？）中，有這么一段話：

Organizations looking to move to practical implementation should focus on two primary projects: user-to-application segmentation (ZTNA) and workload-to-workload segmentation (identity-based segmentation).

這段話核心就是說，真正的零信任項(xiàng)目就兩個(gè)， 一個(gè)ZTNA，一個(gè)微隔離。ZTNA解決的是人到業(yè)務(wù)（南北向）的網(wǎng)絡(luò)分段問題，微隔離解決的是工作負(fù)載間（東西向）網(wǎng)絡(luò)分段問題。這其實(shí)就是我們前文提到的，零信任問題自始至終是個(gè)網(wǎng)絡(luò)問題，ZTNA是南北向網(wǎng)絡(luò)分段問題，微隔離是東西向網(wǎng)絡(luò)分段問題。

了解了以上背景知識，我們再來看《Market Guide for Zero Trust Network Access》中的那段話，就很好理解了，Gartner就是說，根據(jù)他的觀察，ZTNA正在嘗試打通和微隔離之間的邊界，從而構(gòu)建統(tǒng)一的零信任網(wǎng)絡(luò)，這就是我們?yōu)槭裁凑f，一切分裂都是暫時(shí)的，統(tǒng)一才是大勢所趨。

作為佐證，大家可以看一下ZTNA領(lǐng)域典型代表企業(yè)zscaler的產(chǎn)品線，他就是通過一款獨(dú)立的微隔離產(chǎn)品來實(shí)現(xiàn)的（雖然這樣做不完美）。

而除了ZTNA廠商在向微隔離領(lǐng)域發(fā)展，微隔離廠商也在努力向ZTNA領(lǐng)域拓展。近日，全球微隔離市場領(lǐng)導(dǎo)者illumio更新了他的產(chǎn)品線，正式發(fā)布了illumio endpoint（南北向ZTNA），從而和illumio core（東西向微隔離）以及 illumio CloudSecure（云原生微隔離）一起構(gòu)成了其完整的零信任網(wǎng)絡(luò)框架。

無論從業(yè)界的發(fā)展趨勢看，還是從Gartner的分析看，兩種分段技術(shù)的融合是一個(gè)不可阻擋的趨勢，而這也就是薔薇靈動發(fā)布統(tǒng)一微隔離的原因。

薔薇靈動的微隔離之路

對于中國的網(wǎng)絡(luò)安全行業(yè)來說，薔薇靈動和微隔離基本上是劃等號的。但是薔薇靈動一直拒絕使用”領(lǐng)導(dǎo)者“、”領(lǐng)先者“一類的稱呼，按照薔薇靈動自己的話說，這種自我標(biāo)榜的宣傳口徑，不符合其企業(yè)文化。薔薇靈動對自己的定位是，零信任領(lǐng)域的長期主義者。這不是一種自我標(biāo)榜，而是一種自我鞭策，和自我約束，同時(shí)也是一種品牌承諾。而就微隔離這件事而言，薔薇靈動也確實(shí)對得起”長期主義者“這樣的稱呼。薔薇靈動創(chuàng)建于2017年一月，最早將基于主機(jī)代理軟件的微隔離技術(shù)引入中國，并編寫了中國第一個(gè)也是目前為止唯一的一個(gè)微隔離技術(shù)標(biāo)準(zhǔn)，從而親手開啟了中國的微隔離市場。薔薇靈動的產(chǎn)品目前在國內(nèi)的大型數(shù)據(jù)中心已經(jīng)擁有了很高的市占率，其技術(shù)水平已經(jīng)與其海外對標(biāo)達(dá)到相同能力甚至在某些領(lǐng)域還有所領(lǐng)先。而正是由于其產(chǎn)品在大型數(shù)據(jù)中心生產(chǎn)網(wǎng)的廣泛使用，才讓薔薇靈動領(lǐng)先于國內(nèi)同行，與全球零信任領(lǐng)導(dǎo)者們幾乎同步意識到了微隔離技術(shù)基因里就存在的問題。

“我們只能解決70%的問題”，這就是薔薇靈動做統(tǒng)一微隔離的直接原因。70%這個(gè)數(shù)據(jù)來自于其大量的客戶現(xiàn)場的真實(shí)業(yè)務(wù)統(tǒng)計(jì)。零信任要保護(hù)的是數(shù)據(jù)中心（辦公網(wǎng)在零信任的技術(shù)體系里和互聯(lián)網(wǎng)基本上是等同的，不是被保護(hù)對象而是要防御的對象），而數(shù)據(jù)中心的流量分為兩份，一份是南北向流量（占比約30%），一份是東西向流量（占比約70%）。微隔離可以將全部東西向流量零信任化（基于ID的最小權(quán)限訪問），但是對于南北向流量就束手無策了。國內(nèi)數(shù)據(jù)中心的入口事實(shí)上非常多樣，通過微隔離產(chǎn)品，能夠看到來自各種入口的南北向流量，有來自本地辦公網(wǎng)的，來自遠(yuǎn)程分支的，來自互聯(lián)網(wǎng)的，以及來自堡壘機(jī)的等等。而這些流量都是非零信任的！也就是說從微隔離看來，至多只能分辨（其實(shí)是猜測）出這是來自哪個(gè)地理空間的流量，在這種情況下，微隔離能做的就只能是基于IP地址段，給與一個(gè)非常寬泛的訪問權(quán)限。因?yàn)闆]有具體的身份信息，微隔離無法對其來源做進(jìn)一步驗(yàn)證，更無法基于其角色給出細(xì)粒度的訪問權(quán)限。有人說，ZTNA是可以保證從ZTNA網(wǎng)關(guān)進(jìn)入的流量都是安全的，微隔離就都放開就行了。但事實(shí)上，當(dāng)下的ZTNA往往只能覆蓋極其有限的一小部分業(yè)務(wù)訪問，還有大量的業(yè)務(wù)不是通過ZTNA進(jìn)入的，甚至很多用戶根本就沒有部署ZTNA。而就算是對于那些通過ZTNA接入的流量，微隔離也不應(yīng)該就直接予以放行，而是應(yīng)該根據(jù)其訪問的業(yè)務(wù)訴求，嚴(yán)格限制其在內(nèi)部的訪問空間，這就避免了ZTNA成為新的攻擊點(diǎn)，一旦ZTNA被突破乃至被控制，微隔離還可以構(gòu)建起縱深防御體系，從而和ZTNA網(wǎng)關(guān)形成異構(gòu)，但由于ZTNA網(wǎng)關(guān)過來的流量就是完全丟失了身份信息甚至都丟失了源地址信息的無差別訪問流量，讓微隔離的縱深防御能力也等于被廢掉了。

這些情況是薔薇靈動在用戶現(xiàn)場真實(shí)遇到的問題。在歷次攻防演練中，在有微隔離的環(huán)境下，想通過拿下數(shù)據(jù)中心內(nèi)部主機(jī)，再進(jìn)行橫向掃描和平移基本上沒有機(jī)會了。但是，拿著泄露了的用戶名密碼，或者利用業(yè)務(wù)系統(tǒng)漏洞，從辦公網(wǎng)直接進(jìn)來的攻擊流量卻防不勝防，這就是因?yàn)槲⒏綦x無法判斷這些來自辦公網(wǎng)的流量究竟是誰發(fā)起的，以及是否有權(quán)利有必要訪問那些業(yè)務(wù)系統(tǒng)。

無論從技術(shù)發(fā)展趨勢以及零信任理論研究的角度，還是從微隔離業(yè)務(wù)實(shí)踐以及一線攻防實(shí)戰(zhàn)的經(jīng)驗(yàn)出發(fā)，薔薇靈動都堅(jiān)定了要做一款能夠覆蓋全部基礎(chǔ)設(shè)施，對全部流量進(jìn)行身份化統(tǒng)一零信任管理的全新零信任產(chǎn)品的決心，這就是統(tǒng)一微隔離！

通過統(tǒng)一微隔離，薔薇靈動可以實(shí)現(xiàn)對數(shù)據(jù)中心100%流量的零信任管理，實(shí)現(xiàn)全網(wǎng)上帝視角，和全網(wǎng)精細(xì)化策略編排。這是薔薇靈動在其微隔離創(chuàng)新之路上的一小步，但絕對是零信任歷史上的一大步。他把國內(nèi)的零信任水平帶到了一個(gè)全新的高度，他讓國內(nèi)用戶第一次有機(jī)會，在一個(gè)平臺上，通過一套統(tǒng)一的身份空間和策略空間，對全部流量做到100%的零信任覆蓋。

薔薇靈動的微隔離之路走到今天，已經(jīng)到達(dá)了一個(gè)前所未有的新高度，但是我們相信這仍然不是這條路的終點(diǎn)，在長期主義的精神引領(lǐng)下，薔薇靈動必將不斷做出真正有世界領(lǐng)先水平的原生性創(chuàng)新，讓我們拭目以待。

songjy