网络空间是一个没有硝烟的战场，攻防对抗每时每刻都在发生，网络技术的迅速发展使得网络攻击手段层出不穷。如今，云计算、移动互联网、IoT、5G 等新技术的崛起，传统网络安全架构已无法满足时代发展需求，一场网络安全架构的技术革命正在发生。

对于资源的访问保护，传统的网络安全结构是把不同网络或者单个网络的一部分划分为安全区域，在安全区域之间的网络边界部署防火墙等安全设备进行隔离。在这种结构之中，每个安全区域都被授予一定程度的信任，网络位置决定了信任程度，决定了哪些网络资源允许被访问。这种安全模型可以提供强大的纵深防御能力，安全信任级别与位置强相关，通常先连接，后信任，在网络边界验证用户身份。

如图1是一种常见的网络安全架构，我们可以称之为“护城河式防护”。在这种结构下，通过验证的用户就会被认定为可信的，就可以通过边界进入内网，而用户一旦进入网络内部，访问就可以畅行无阻。因为默认内网是安全的，内网的设备和人员都是可信的，就好比一栋写字楼，只要能够刷卡进入，就可以去到任何楼层和任何房间。

据统计，超过85%的网络安全威胁来自于内部，对内部人无底线信任所造成的危害，远远超过黑客攻击和病毒造成的损失。在传统网络安全结构下，一旦攻击者拿到内网某台主机的访问控制权限，就可通过一系列操作实现在内网的横向移动，最终控制整个内部网络。边界安全设备无法全面了解内网终端用户的行为和活动，在实时监测和内部威胁感知方面存在盲区。同时，边界安全设备和其他安全设备之间缺乏有效的信息共享和协同响应，使得网络防御的效率和及时性也受到限制，很难快速响应和应对网络攻击。所以，内部威胁检测和防护能力不足、安全分析覆盖度不够全面，成为了传统边界安全架构的软肋。

因此，零信任理念应运而生！

零信任代表了新一代的网络安全防护理念，其目标是降低资源访问过程中的安全风险，该理念打破了网络位置和信任间的潜在关系，内外网一视同仁，默认都是不安全的，所有访问都需要认证和授权。通过建立用户→终端→资源的信任链，并动态实时校验信任链，来实现对资源保护，阻断攻击流量。 

零信任理念是永不信任，始终验证，任何访问主体进入网络，默认都是没有权限的，只有基于访问请求会话，对访问主体进行细粒度的验证后，才临时赋予其信任，允许访问资源，而且这种信任是具有时效性的，信任程度和访问的资源有关。同时，任何访问请求是否被允许，都是在访问请求发起时，结合主体身份、权限、信任等级等信息实时决策的，隐性信任被降到最低限度。在建立信任之前，不会进行任何数据传输操作，最大限度保证网络安全。

2010年，前美国国家安全局工程师John Kindervag 以“永不信任，始终验证”思想提出零信任模型之后，零信任概念开始得到业界广泛关注并得到一致认可。

2014年国际云安全联盟CSA的SDP工作组发布了《SDP Specification 1.0》（SDP标准规范1.0），描述了SDP协议架构、工作流、协议实现、SDP应用等内容，SDP标准规范的发布为实现零信任安全模型提供了具体的技术方案和指导。

2020年8月，美国国家标准技术研究院正式发布《零信任架构》，强调了零信任的安全理念，并介绍了实现零信任的主流技术“S I M”。   

“SIM”由SDP、IAM、MSG三大技术组成，其中SDP（Software Defined Perimeter），即软件定义边界，让设备和用户先通过验证之后才允许访问内网资源，即假设任何设备或用户都可能是不可信的，需要通过验证之后才能获得访问权限。SDP通过在网络边界建立一个虚拟的、隔离的环境，以软件方式定义访问规则，可以有效减少网络暴露风险。

IAM（Identily & Access Management）增强身份管理。让对的人，在对的时间，以对的理由，访问对应的资源。主要作用就是对设备和用户进行不同维度的认证，然后针对不同的资源，向不同的人授予不同的权限。

MSG（Micro Segmentation）微隔离技术。微隔离技术是一种将数据中心逻辑划分为多个安全段，然后定义安全控制并为每个唯一段提供服务。通过网络虚拟化技术，我们可以在数据中心内部部署灵活的安全策略，从而代替多个物理防火墙。  

SDP技术架构由国际云安全联盟（CSA）于 2014 年发布，是一种具有创新性的网络安全解决方案，也是目前业界大部分厂家的零信任落地实施参考模型。

SDP秉承零信任安全理念，思路从传统的“防御”转变为内部资源的“隐身”，从穿“安全防弹衣”到穿“安全隐身衣”。虽然黑客攻击技术日新月异，软硬件安全漏洞层出不穷，防不胜防，但是即便敌人有了再高级的武器，再强大的攻击手段也无法攻击看不见的目标，所以网络隐身的安全理念更符合当下云时代的场景。

SDP由传统的通过网络 TCP/IP、路由做寻址转变为通过身份寻址，让设备和用户先通过身份验证之后，才允许访问内部资源，让内部资源所有者能够在需要时部署边界，将资源与不安全的网络进行隔离。

SDP架构一般由两部分组成，SDP客户端和SDP控制器，SDP客户端发起用户身份认证连接，SDP控制器确定哪些客户端可以相互通信，还可以将信息中继到外部认证服务。   

SDP架构安全优势众多：

1.SDP能够最大限度地减少攻击面，降低安全风险；

2.SDP通过分离访问控制和数据通道来保护关键资产和基础设施，使其中的每一个都看起来是“黑”（不可见）的，从而阻止潜在的网络攻击；

3.SDP提供了现有安全设备难以实现的整体集成安全架构，这个体系结构是现有安全产品（如 NAC 或反恶意软件）难以实现的。

4.SDP提供了一种基于连接的安全体系结构，而不是基于IP的替代方案，当今IP环境的爆炸式增长和云环境中的边界缺失使得基于IP的安全性变得脆弱；

5.SDP 允许根据预先审查谁可以连接（从哪些设备、哪些服务、基础设施和其他参数）来控制所有连接。

威努特零信任安全访问控制系统使用SDP架构，结合中心端的零信任控制器（零信任网关+自适应安全平台），并基于SPA单包认证的网络隐身技术，构建起一张隐形的安全访问网络，此网络只对“特定的用户+特定的设备”可见，对其他人完全不可见，可极大降低企业核心数据暴露和泄漏，有效避免核心应用遭受网络攻击。

数据流转保护方面，威努特零信任安全访问控制系统提供泛终端环境中的数据保护：

1.防止终端泛在化、网络攻击复杂和常态化带来的终端环境被入侵、被控制风险；

2.提供多样化网络通信环境中的数据保护，规避数据被窃取、被监听、被篡改风险；

3.提供计算与存储环境中的数据保护，规避服务器被攻击、被入侵导致的业务停摆或数据泄露风险； 

4.提供数据使用过程中的保护，避免敏感数据在使用过程中因管控力度不足，导致核心数据资产泄露的风险。

威努特零信任安全访问控制系统是以零信任理念和架构为底座，以保护数据全生命周期安全流转为设计目标，打造的新一代零信任数据安全解决方案，可在业务零改造的情况下，为业务构建解耦的数据安全切面，实现业务访问的私有、高效、安全和智慧，保护业务数据的安全的同时，实现访问数据的识别、智能控制和可视化呈现。威努特零信任安全访问控制系统可广泛应用于政府、电力、企业、高校、医疗等行业的全域远程或内网业务数据安全访问场景，为各行各业构筑泛在环境下安全、高效、稳定的数据安全流转网络。

渠道合作咨询   田先生 15611262709

稿件合作   微信:shushu12121