在會(huì)上，來(lái)自東方富海的投資總監(jiān)楊震東先生，和數(shù)說(shuō)安全創(chuàng)始人于江先生，分別從各自的專(zhuān)業(yè)角度對(duì)零信任在國(guó)內(nèi)的進(jìn)展進(jìn)行了闡述和分析，并對(duì)薔薇靈動(dòng)的革命性創(chuàng)新進(jìn)行了深度點(diǎn)評(píng)。

什么是統(tǒng)一微隔離

統(tǒng)一微隔離，是一種在微隔離與ZTNA技術(shù)基礎(chǔ)上發(fā)展出來(lái)的，可以打通辦公網(wǎng)和數(shù)據(jù)中心網(wǎng)絡(luò)，為用戶(hù)提供端到端業(yè)務(wù)可視化分析與身份訪(fǎng)問(wèn)控制的新一代零信任產(chǎn)品。

所謂統(tǒng)一，包含五個(gè)方面：

首先是辦公網(wǎng)與數(shù)據(jù)中心的統(tǒng)一。統(tǒng)一微隔離將辦公網(wǎng)與數(shù)據(jù)中心的邊界打開(kāi)，將整個(gè)園區(qū)網(wǎng)，甚至是用戶(hù)的全部基礎(chǔ)設(shè)施（包括公有云和遠(yuǎn)程辦公地點(diǎn)）視為一張統(tǒng)一的網(wǎng)絡(luò)，然后對(duì)這個(gè)統(tǒng)一網(wǎng)絡(luò)做統(tǒng)一策略管理。這將使用戶(hù)歷史上第一次能夠獲得一張覆蓋全局的具有身份和業(yè)務(wù)屬性的統(tǒng)一零信任網(wǎng)絡(luò)和統(tǒng)一可視化業(yè)務(wù)視圖，這徹底改變了用戶(hù)過(guò)去一直以來(lái)做“拼圖”（很多時(shí)候還拼不起來(lái)）建“孤島”的安全管理窘境，讓網(wǎng)絡(luò)安全走進(jìn)了寰宇一統(tǒng)、金甌無(wú)缺的大統(tǒng)一時(shí)代。

其次是身份空間的統(tǒng)一。統(tǒng)一微隔離將人、設(shè)備、網(wǎng)絡(luò)、業(yè)務(wù)、數(shù)據(jù)的身份空間完全打通，并進(jìn)行統(tǒng)一管理，讓用戶(hù)基礎(chǔ)設(shè)施中的每一個(gè)要素，都能夠不受位置、環(huán)境、網(wǎng)絡(luò)的約束，擁有一個(gè)全局唯一且持續(xù)生效的身份標(biāo)識(shí)。這種對(duì)全要素進(jìn)行身份化網(wǎng)絡(luò)策略標(biāo)識(shí)與管理的能力，使得統(tǒng)一微隔離可以構(gòu)建覆蓋全要素的統(tǒng)一零信任網(wǎng)絡(luò)。

第三是網(wǎng)絡(luò)策略統(tǒng)一。統(tǒng)一微隔離允許用戶(hù)對(duì)整個(gè)基礎(chǔ)設(shè)施做軟件定義策略管理，通過(guò)一套單一的微隔離策略，對(duì)全部網(wǎng)絡(luò)流量作統(tǒng)一管理，用戶(hù)可以用一條策略直接描述某部門(mén)某用戶(hù)到某業(yè)務(wù)中的某工作負(fù)載的業(yè)務(wù)訪(fǎng)問(wèn)權(quán)限，而這樣的跨基礎(chǔ)設(shè)施跨網(wǎng)絡(luò)的訪(fǎng)問(wèn)控制要求，在過(guò)去要在若干分散的安全產(chǎn)品上通過(guò)多條組合策略才能近似達(dá)成。

第四是安全數(shù)據(jù)統(tǒng)一。對(duì)全局安全數(shù)據(jù)做統(tǒng)一分析是當(dāng)代安全體系的必然要求，也是等級(jí)保護(hù)2.0標(biāo)準(zhǔn)體系中的重要組成部分，但是實(shí)際情況卻不容樂(lè)觀，來(lái)自不同產(chǎn)品的不同格式的、零碎的、片段的、重疊的海量數(shù)據(jù)要清洗干凈并整合拼接起來(lái)實(shí)際上是非常困難的，而且這些數(shù)據(jù)基本都是基于IP的，這樣的數(shù)據(jù)沒(méi)有身份和業(yè)務(wù)信息，因此也很難進(jìn)行訪(fǎng)問(wèn)意圖分析。而統(tǒng)一微隔離，基于其統(tǒng)一微隔離網(wǎng)絡(luò)和統(tǒng)一身份空間、統(tǒng)一策略空間的框架能力加持，能夠?qū)θ苛髁拷⑵鹨环萑株P(guān)聯(lián)、全局索引，并且是按照用戶(hù)身份和業(yè)務(wù)信息進(jìn)行整理和呈現(xiàn)的統(tǒng)一安全數(shù)據(jù)，這將使安全運(yùn)營(yíng)走向一個(gè)全新的時(shí)代。

最后也是最重要的，是零信任平臺(tái)統(tǒng)一。一直以來(lái)，ZTNA與微隔離被認(rèn)為是零信任的兩個(gè)技術(shù)基石，ZTNA用于解決業(yè)務(wù)外部訪(fǎng)問(wèn)安全接入問(wèn)題，微隔離用于解決業(yè)務(wù)內(nèi)部流量安全交互問(wèn)題，也就是一般所謂的，ZTNA管南北，微隔離管東西的架構(gòu)體系。這種結(jié)構(gòu)是目前常見(jiàn)的零信任架構(gòu)，但也是一種缺陷明顯的架構(gòu)，在這種架構(gòu)下，ZTNA與微隔離之間存在著一個(gè)巨大的策略與數(shù)據(jù)鴻溝，攻擊者可以利用這個(gè)鴻溝同時(shí)繞過(guò)微隔離與ZTNA的防御。統(tǒng)一微隔離在一個(gè)統(tǒng)一平臺(tái)上同時(shí)解決了外部業(yè)務(wù)安全接入與內(nèi)部流量安全訪(fǎng)問(wèn)兩個(gè)問(wèn)題，徹底弭平了現(xiàn)有架構(gòu)下的各種縫隙，真正做到全局統(tǒng)一業(yè)務(wù)分析和全局統(tǒng)一精細(xì)化策略編排，這是對(duì)零信任技術(shù)的一次重大創(chuàng)新，也是零信任技術(shù)發(fā)展的必然方向。

零信任的理想與現(xiàn)實(shí)

要深入的理解統(tǒng)一微隔離這個(gè)全新技術(shù)品類(lèi)的革命性意義，有必要回顧下零信任的發(fā)展歷程與現(xiàn)狀。零信任究竟要解決什么問(wèn)題和零信任如何解決這些問(wèn)題一直都是兩件獨(dú)立的事情。

先說(shuō)理想。零信任一直以來(lái)要嘗試解決的其實(shí)就是一件事，那就是網(wǎng)絡(luò)邊界消失問(wèn)題。虛擬化技術(shù)因?yàn)橛?jì)算資源的池化隨機(jī)分配，帶來(lái)了數(shù)據(jù)中心內(nèi)部邊界消失。云計(jì)算（特指公有云）由于多云架構(gòu)，以及云內(nèi)多資源池架構(gòu)，帶來(lái)了數(shù)據(jù)中心外部邊界消失。而移動(dòng)設(shè)備的廣泛使用帶來(lái)了辦公網(wǎng)內(nèi)部邊界的消失，而遠(yuǎn)程辦公的盛行又帶來(lái)了辦公網(wǎng)外部邊界的消失。所謂消失，不是形容詞，就是物理意義上的消失，意思是沒(méi)有一個(gè)（或幾個(gè)）固定的物理位置可以確定地獲取所需管理的網(wǎng)絡(luò)流量并進(jìn)行訪(fǎng)問(wèn)控制。邊界消失，對(duì)于安全行業(yè)一直以來(lái)沿用的邊界防御理念以及防火墻產(chǎn)品構(gòu)成了顛覆性打擊。

零信任概念的提出就是希望建立起一個(gè)全局統(tǒng)一的，網(wǎng)絡(luò)無(wú)關(guān)的分析與控制體系，從而實(shí)現(xiàn)在整個(gè)基礎(chǔ)設(shè)施范圍內(nèi)，對(duì)全部流量進(jìn)行統(tǒng)一分析和控制，對(duì)全部安全能力進(jìn)行按需的交付和編排。所以，零信任自始至終一直是個(gè)網(wǎng)絡(luò)問(wèn)題，就是希望搭建一個(gè)精細(xì)化的網(wǎng)絡(luò)位置無(wú)關(guān)的邏輯結(jié)構(gòu)，對(duì)全網(wǎng)流量進(jìn)行精細(xì)化控制和按需的安全防御。

零信任的理想是一回事，實(shí)現(xiàn)又是另一回事。2010年Forrester提出零信任概念時(shí)，實(shí)際上就給出過(guò)一個(gè)解決方案，他當(dāng)時(shí)的設(shè)想是，引入一個(gè)全局統(tǒng)一的交換機(jī)，上面有全部安全板卡，然后所有流量通過(guò)這個(gè)交換機(jī)，通過(guò)策略配置安全能力的作用。事實(shí)上，2010年的時(shí)候這本來(lái)就是很多大型數(shù)通廠(chǎng)商的常見(jiàn)方案，在之后也出了一些產(chǎn)品，不過(guò)這種物理上的流量與安全能力集中，顯然是一種過(guò)于沉重的解決方案，根本無(wú)法在大規(guī)模網(wǎng)絡(luò)中使用，因此2010年之后，零信任概念并也沒(méi)有真正流行起來(lái)，一直到2020年，NIST零信任草案的提出。在這個(gè)草案里，零信任有了新的解決方案，那就是通過(guò)IAM，SDP，和微隔離這三個(gè)技術(shù)基石構(gòu)建起的零信任框架。SDP與IAM是兩種不同但又有交集的ZTNA技術(shù)，可以面向用戶(hù)身份設(shè)計(jì)訪(fǎng)問(wèn)策略，從而解決外部邊界消失問(wèn)題。微隔離可以面向業(yè)務(wù)和工作負(fù)載身份設(shè)計(jì)訪(fǎng)問(wèn)策略，從而解決內(nèi)部邊界消失問(wèn)題。這個(gè)結(jié)構(gòu)是具有真正可行性的架構(gòu)，因此得以在全世界廣泛部署，帶來(lái)了零信任的真正繁榮。

但這個(gè)框架也有其自身的問(wèn)題，那就是ZTNA與微隔離的割裂。ZTNA對(duì)于公有云以及SAAS訪(fǎng)問(wèn)解決得很好，但是對(duì)于本地?cái)?shù)據(jù)中心的防護(hù)就差了很多。暴露在公網(wǎng)的業(yè)務(wù)相對(duì)來(lái)說(shuō)有限且比較標(biāo)準(zhǔn)，基本都是通過(guò)HTTP協(xié)議來(lái)訪(fǎng)問(wèn)的，而那些只能被本地訪(fǎng)問(wèn)的私有業(yè)務(wù)從流量類(lèi)型到訪(fǎng)問(wèn)途徑都五花八門(mén)，甚至他們的存在都不被管理員所了解，這種情況下，對(duì)于要求具備明確訪(fǎng)問(wèn)關(guān)系才能部署的ZTNA方案來(lái)說(shuō)就變得非常困難。而與此同時(shí)，微隔離也面臨著自身的挑戰(zhàn)。微隔離與工作負(fù)載和業(yè)務(wù)部署在一起，因此它天生能夠看到全部訪(fǎng)問(wèn)流量，并且具備最完整的控制能力，但是因?yàn)槲⒏綦x只擁有業(yè)務(wù)和工作負(fù)載身份，對(duì)于來(lái)自外部的訪(fǎng)問(wèn)（南北向）流量則沒(méi)有理解，它看到的還是普通的IP流量，這就使得面對(duì)這些流量的時(shí)候，微隔離就只能退回到過(guò)去的基于IP網(wǎng)段的粗粒度訪(fǎng)問(wèn)控制邏輯上。微隔離和ZTNA各自負(fù)責(zé)南北和東西，實(shí)際上為網(wǎng)絡(luò)攻擊留下了一個(gè)可以被利用的“縫隙”。而這就是零信任架構(gòu)在統(tǒng)一微隔離之前所面臨的技術(shù)現(xiàn)實(shí)，它比過(guò)去要好，但還不夠好！

統(tǒng)一是零信任的必然趨勢(shì)

零信任基礎(chǔ)技術(shù)架構(gòu)從分裂走向統(tǒng)一是大勢(shì)所趨。在Gartner 2022年2月發(fā)布的最新的ZTNA報(bào)告《Market Guide for Zero Trust Network Access》（ZTNA市場(chǎng)指南）中，有這樣一段話(huà)：

Vendors continue to expand offerings into the data center with identity-based segmentation as separate products or combined with ZTNA offerings — blurring the lines between segmentation technologies.

譯文：

ZTNA供應(yīng)商都在想辦法為數(shù)據(jù)中心提供微隔離技術(shù)，微隔離可能被當(dāng)作獨(dú)立的產(chǎn)品提供，也可能直接和ZTNA產(chǎn)品整合在一起，從而打破兩種分段技術(shù)的區(qū)隔。

這里先講幾個(gè)背景知識(shí)。在Gartner的話(huà)語(yǔ)體系中，微隔離一共改過(guò)三次名字，現(xiàn)在最新的叫法是 identity-based segmentation。在garnter看來(lái)，微隔離最本質(zhì)的價(jià)值就是可以利用身份來(lái)組建網(wǎng)絡(luò)分段。另外，在Gartner2022年更新的另一篇報(bào)告《What Are Practical Projects for Implementing Zero Trust?》（靠譜的零信任項(xiàng)目究竟是啥？）中，有這么一段話(huà)：

Organizations looking to move to practical implementation should focus on two primary projects: user-to-application segmentation (ZTNA) and workload-to-workload segmentation (identity-based segmentation).

這段話(huà)核心就是說(shuō)，真正的零信任項(xiàng)目就兩個(gè)， 一個(gè)ZTNA，一個(gè)微隔離。ZTNA解決的是人到業(yè)務(wù)（南北向）的網(wǎng)絡(luò)分段問(wèn)題，微隔離解決的是工作負(fù)載間（東西向）網(wǎng)絡(luò)分段問(wèn)題。這其實(shí)就是我們前文提到的，零信任問(wèn)題自始至終是個(gè)網(wǎng)絡(luò)問(wèn)題，ZTNA是南北向網(wǎng)絡(luò)分段問(wèn)題，微隔離是東西向網(wǎng)絡(luò)分段問(wèn)題。

了解了以上背景知識(shí)，我們?cè)賮?lái)看《Market Guide for Zero Trust Network Access》中的那段話(huà)，就很好理解了，Gartner就是說(shuō)，根據(jù)他的觀察，ZTNA正在嘗試打通和微隔離之間的邊界，從而構(gòu)建統(tǒng)一的零信任網(wǎng)絡(luò)，這就是我們?yōu)槭裁凑f(shuō)，一切分裂都是暫時(shí)的，統(tǒng)一才是大勢(shì)所趨。

作為佐證，大家可以看一下ZTNA領(lǐng)域典型代表企業(yè)zscaler的產(chǎn)品線(xiàn)，他就是通過(guò)一款獨(dú)立的微隔離產(chǎn)品來(lái)實(shí)現(xiàn)的（雖然這樣做不完美）。

而除了ZTNA廠(chǎng)商在向微隔離領(lǐng)域發(fā)展，微隔離廠(chǎng)商也在努力向ZTNA領(lǐng)域拓展。近日，全球微隔離市場(chǎng)領(lǐng)導(dǎo)者illumio更新了他的產(chǎn)品線(xiàn)，正式發(fā)布了illumio endpoint（南北向ZTNA），從而和illumio core（東西向微隔離）以及 illumio CloudSecure（云原生微隔離）一起構(gòu)成了其完整的零信任網(wǎng)絡(luò)框架。

無(wú)論從業(yè)界的發(fā)展趨勢(shì)看，還是從Gartner的分析看，兩種分段技術(shù)的融合是一個(gè)不可阻擋的趨勢(shì)，而這也就是薔薇靈動(dòng)發(fā)布統(tǒng)一微隔離的原因。

薔薇靈動(dòng)的微隔離之路

對(duì)于中國(guó)的網(wǎng)絡(luò)安全行業(yè)來(lái)說(shuō)，薔薇靈動(dòng)和微隔離基本上是劃等號(hào)的。但是薔薇靈動(dòng)一直拒絕使用”領(lǐng)導(dǎo)者“、”領(lǐng)先者“一類(lèi)的稱(chēng)呼，按照薔薇靈動(dòng)自己的話(huà)說(shuō)，這種自我標(biāo)榜的宣傳口徑，不符合其企業(yè)文化。薔薇靈動(dòng)對(duì)自己的定位是，零信任領(lǐng)域的長(zhǎng)期主義者。這不是一種自我標(biāo)榜，而是一種自我鞭策，和自我約束，同時(shí)也是一種品牌承諾。而就微隔離這件事而言，薔薇靈動(dòng)也確實(shí)對(duì)得起”長(zhǎng)期主義者“這樣的稱(chēng)呼。薔薇靈動(dòng)創(chuàng)建于2017年一月，最早將基于主機(jī)代理軟件的微隔離技術(shù)引入中國(guó)，并編寫(xiě)了中國(guó)第一個(gè)也是目前為止唯一的一個(gè)微隔離技術(shù)標(biāo)準(zhǔn)，從而親手開(kāi)啟了中國(guó)的微隔離市場(chǎng)。薔薇靈動(dòng)的產(chǎn)品目前在國(guó)內(nèi)的大型數(shù)據(jù)中心已經(jīng)擁有了很高的市占率，其技術(shù)水平已經(jīng)與其海外對(duì)標(biāo)達(dá)到相同能力甚至在某些領(lǐng)域還有所領(lǐng)先。而正是由于其產(chǎn)品在大型數(shù)據(jù)中心生產(chǎn)網(wǎng)的廣泛使用，才讓薔薇靈動(dòng)領(lǐng)先于國(guó)內(nèi)同行，與全球零信任領(lǐng)導(dǎo)者們幾乎同步意識(shí)到了微隔離技術(shù)基因里就存在的問(wèn)題。

“我們只能解決70%的問(wèn)題”，這就是薔薇靈動(dòng)做統(tǒng)一微隔離的直接原因。70%這個(gè)數(shù)據(jù)來(lái)自于其大量的客戶(hù)現(xiàn)場(chǎng)的真實(shí)業(yè)務(wù)統(tǒng)計(jì)。零信任要保護(hù)的是數(shù)據(jù)中心（辦公網(wǎng)在零信任的技術(shù)體系里和互聯(lián)網(wǎng)基本上是等同的，不是被保護(hù)對(duì)象而是要防御的對(duì)象），而數(shù)據(jù)中心的流量分為兩份，一份是南北向流量（占比約30%），一份是東西向流量（占比約70%）。微隔離可以將全部東西向流量零信任化（基于ID的最小權(quán)限訪(fǎng)問(wèn)），但是對(duì)于南北向流量就束手無(wú)策了。國(guó)內(nèi)數(shù)據(jù)中心的入口事實(shí)上非常多樣，通過(guò)微隔離產(chǎn)品，能夠看到來(lái)自各種入口的南北向流量，有來(lái)自本地辦公網(wǎng)的，來(lái)自遠(yuǎn)程分支的，來(lái)自互聯(lián)網(wǎng)的，以及來(lái)自堡壘機(jī)的等等。而這些流量都是非零信任的！也就是說(shuō)從微隔離看來(lái)，至多只能分辨（其實(shí)是猜測(cè)）出這是來(lái)自哪個(gè)地理空間的流量，在這種情況下，微隔離能做的就只能是基于IP地址段，給與一個(gè)非常寬泛的訪(fǎng)問(wèn)權(quán)限。因?yàn)闆](méi)有具體的身份信息，微隔離無(wú)法對(duì)其來(lái)源做進(jìn)一步驗(yàn)證，更無(wú)法基于其角色給出細(xì)粒度的訪(fǎng)問(wèn)權(quán)限。有人說(shuō)，ZTNA是可以保證從ZTNA網(wǎng)關(guān)進(jìn)入的流量都是安全的，微隔離就都放開(kāi)就行了。但事實(shí)上，當(dāng)下的ZTNA往往只能覆蓋極其有限的一小部分業(yè)務(wù)訪(fǎng)問(wèn)，還有大量的業(yè)務(wù)不是通過(guò)ZTNA進(jìn)入的，甚至很多用戶(hù)根本就沒(méi)有部署ZTNA。而就算是對(duì)于那些通過(guò)ZTNA接入的流量，微隔離也不應(yīng)該就直接予以放行，而是應(yīng)該根據(jù)其訪(fǎng)問(wèn)的業(yè)務(wù)訴求，嚴(yán)格限制其在內(nèi)部的訪(fǎng)問(wèn)空間，這就避免了ZTNA成為新的攻擊點(diǎn)，一旦ZTNA被突破乃至被控制，微隔離還可以構(gòu)建起縱深防御體系，從而和ZTNA網(wǎng)關(guān)形成異構(gòu)，但由于ZTNA網(wǎng)關(guān)過(guò)來(lái)的流量就是完全丟失了身份信息甚至都丟失了源地址信息的無(wú)差別訪(fǎng)問(wèn)流量，讓微隔離的縱深防御能力也等于被廢掉了。

這些情況是薔薇靈動(dòng)在用戶(hù)現(xiàn)場(chǎng)真實(shí)遇到的問(wèn)題。在歷次攻防演練中，在有微隔離的環(huán)境下，想通過(guò)拿下數(shù)據(jù)中心內(nèi)部主機(jī)，再進(jìn)行橫向掃描和平移基本上沒(méi)有機(jī)會(huì)了。但是，拿著泄露了的用戶(hù)名密碼，或者利用業(yè)務(wù)系統(tǒng)漏洞，從辦公網(wǎng)直接進(jìn)來(lái)的攻擊流量卻防不勝防，這就是因?yàn)槲⒏綦x無(wú)法判斷這些來(lái)自辦公網(wǎng)的流量究竟是誰(shuí)發(fā)起的，以及是否有權(quán)利有必要訪(fǎng)問(wèn)那些業(yè)務(wù)系統(tǒng)。

無(wú)論從技術(shù)發(fā)展趨勢(shì)以及零信任理論研究的角度，還是從微隔離業(yè)務(wù)實(shí)踐以及一線(xiàn)攻防實(shí)戰(zhàn)的經(jīng)驗(yàn)出發(fā)，薔薇靈動(dòng)都堅(jiān)定了要做一款能夠覆蓋全部基礎(chǔ)設(shè)施，對(duì)全部流量進(jìn)行身份化統(tǒng)一零信任管理的全新零信任產(chǎn)品的決心，這就是統(tǒng)一微隔離！

通過(guò)統(tǒng)一微隔離，薔薇靈動(dòng)可以實(shí)現(xiàn)對(duì)數(shù)據(jù)中心100%流量的零信任管理，實(shí)現(xiàn)全網(wǎng)上帝視角，和全網(wǎng)精細(xì)化策略編排。這是薔薇靈動(dòng)在其微隔離創(chuàng)新之路上的一小步，但絕對(duì)是零信任歷史上的一大步。他把國(guó)內(nèi)的零信任水平帶到了一個(gè)全新的高度，他讓國(guó)內(nèi)用戶(hù)第一次有機(jī)會(huì)，在一個(gè)平臺(tái)上，通過(guò)一套統(tǒng)一的身份空間和策略空間，對(duì)全部流量做到100%的零信任覆蓋。

薔薇靈動(dòng)的微隔離之路走到今天，已經(jīng)到達(dá)了一個(gè)前所未有的新高度，但是我們相信這仍然不是這條路的終點(diǎn)，在長(zhǎng)期主義的精神引領(lǐng)下，薔薇靈動(dòng)必將不斷做出真正有世界領(lǐng)先水平的原生性創(chuàng)新，讓我們拭目以待。

songjy