安全新邊界需要從“零”構建丨深信服出席電信和互聯網行業網絡安全年會

數字化轉型是一把雙刃劍，回報與風險并存。越來越多的組織正采用數字化的方式來提高生產效率，享受數字化轉型帶來的巨大紅利，但與此同時伴生的網絡安全問題也逐漸顯露。

12月10日，由通信企業協會、中國信息通信研究院主辦的2021年(第十一屆)電信和互聯網行業網絡安全年會在武漢成功舉辦，深信服運營商事業部CTO趙馬煜受邀出席“創新安全技術論壇”，并發表了題為《從“零”構建安全新邊界》的主題演講。

?

圖片來源：2021年(第十一屆)電信和互聯網行業網絡安全年會主辦方

邊界逐漸消失，安全風險激增

在運營商行業，數字化轉型的進程也在不斷加速。無處不在的連接使得業務系統需要更加開放，而業務系統的云化使得用戶的IT系統部署更為分散，傳統基于邊界防護的安全防線逐漸瓦解。同時，伴隨著數字化進程的推進，運營商行業的辦公網絡環境變得越來越復雜，接入終端多樣化、網絡環境多樣化、業務系統多樣化、業務訪問角色多樣化成為典型特征，這都為用戶的網絡安全埋下定時炸彈。

?

趙馬煜現場指出，近年來邊界的逐漸消失導致了內外部風險激增。例如，員工的移動終端可以同時訪問互聯網和內網，非常容易淪為黑客釣魚攻擊的跳板；大量應用/中間件面向互聯網開放，使得網絡暴露面急劇擴大；移動辦公、遠程訪問過程中，數據在互聯網上傳輸，存在被非法竊取和泄露的風險。此外，日益復雜的辦公網絡環境還帶來了管理運維困難等諸多問題，員工的訪問體驗難保障也似乎成為一道繞不過去的“坎”。

針對上述問題，零信任成為了運營商行業辦公網安全建設的破局之道。

破局之道：以零信任保護業務和數據訪問

趙馬煜指出：“我們對辦公網安全的保護，實質上是保護業務和數據訪問的過程”。即通過零信任業務訪問模型，確保正確的人，使用正確的終端，在任意位置，使用正確的權限，訪問正確的業務，獲得正確的數據。這個模型將人（身份）、終端、網絡位置、訪問權限、業務、數據等分散的安全單元進行有機串聯，打破原有架構，重新構建以身份為中心的安全防護機制，提升辦公網絡的安全性。

“運營商行業用戶對零信任的訴求主要分為兩類，即可信需求和業務需求。”趙馬煜指出。

針對可信的問題，深信服零信任可以從身份可信、接入可信、行為可信等方面進行解決。在傳統安全接入與訪問控制中，針對同一用戶在不同的業務系統中往往需要配置多套不同的權限規則，這在動態多變的數字化辦公場景下管理運維成本巨大。而在零信任安全接入與訪問控制中，則可以通過采用流量身份化的方式，持續不斷地對接入身份的合法性和安全性進行驗證。同時聯動各種安全組件，對訪問行為進行實時分析，動態調整權限，實現權限的精細化、智能化管控，在保障接入安全的同時，大幅減輕運維工作量。

針對業務層面，深信服零信任則可以縮小對外暴露面，收斂互聯網出入口，保證內部員工外出時也可以安全訪問內網進行日常辦公操作，在不影響辦公體驗的前提下控制安全風險。針對遠程運維、營業廳接入、居家坐席等需要訪問大量業務系統的場景，還可以通過執行規范化、最小化的訪問權限，縮小內網數據暴露面，進一步確保業務的安全性。

安全能力云化交付，零信任發揮更大用武之地

會議現場，趙馬煜還對零信任的發展進行了展望。他提到，當前運營商的發展戰略已經從“IT上云”升級為“云網融合、云網一體”。混合多云將是未來的發展趨勢，邊界模糊化、多接入將會成為常態。在這種形勢下，將廣域網的邊界接入與安全防護進行融合的云安全訪問服務將會被越來越多的人所接受。云安全訪問服務也將改變以往安全產品交付安全的模式，以云端提供安全模塊的方式來實時保障用戶訪問互聯網、云應用、分支、移動終端時的安全性。而零信任作為核心技術能力，通過云化交付的模式也必將在用戶的安全建設中發揮更大的用武之地。

截止目前，深信服零信任已經于浙江省電信、貴州省移動、廣東省聯通、廣西電信、廣西移動、海南省電信、云南省電信、陜西省聯通、江蘇省電信、山東省移動、四川省移動、黑龍江省聯通、移動（上海）產研院等多個運營商用戶中成功落地，其輕量級、易落地、可持續成長的優勢已被越來越多的用戶所認可。