企业博客

一文读懂企业为什么需要部署零信任安全架构

2020年，继直属美国商务部的美国国家标准与技术研究院NIST发布了《零信任架构》草案第二版之后，其下属单位国家网际安全卓越中心NCCoE随即发布了《实现零信任架构》草案，指出在企业或组织中，零信任架构落地实践的6种主要场景。

1.员工访问企业资源

2.员工访问互联网资源

3.外包人员访问公司和互联网资源

4.企业内部服务器间通信

5.跨企业合作

6.基于信任等级的企业资源访问

这6种主要场景基本涵盖了目前企业或组织在数字化转型的浪潮中，急需解决的痛点。而以上主要场景，总结起来就是我们在日常工作中会遇到的这些场景：

1.远程办公

如今，绝大多数企业随着公司业务的不断扩大，员工除了在公司办公，还会有分部、出差、远程办公或远程运维等多种需求，员工希望在任何工作地点都能安全访问公司资源。据第三方调查数据，2020年春节疫情期间，中国有超过3亿人远程办公。当远程办公逐步成为绝大多数公司常态化办公的需求和工作模式，企业内网的安全也随之被提出了更高的要求。

一方面，部分企业为了提供更方便的业务访问，直接将业务系统发布在公网上，极大的增加了业务安全风险；另一方面，企业为了保证业务系统的安全性，内网系统只能本地维护，一旦发生故障，运维人员只能奔赴现场处理，应急响应速度大大降低。而零信任安全架构不仅可以帮助企业实现随时随地安全访问内网远程办公；同时还可以统一访问入口，进行内部资源一站式无感访问，极大提升远程办公效率。

2.企业内外部核心数据的保护

随着移动互联网的发展，企业内部核心业务数据越来越多，员工使用弱密码、账号共享、应用权限过大等都会增加企业内部数据泄露风险；企业员工流动性大、离职员工恶意删库、倒卖内部数据、恶意威胁等风险更是无法避免。

外部如DDoS攻击、勒索病毒、APT攻击等，企业所⾯临的外部攻击⻛险⽇益多样化和复杂化，加上企业的⽤户数据规模⼤、覆盖⾯⼴、价值⾼，对企业来说往往是极具核⼼竞争⼒的资产，⼀旦泄露将会造成不可估量的影响，甚⾄影响企业⽣存。零信任安全架构则可以为企业构筑主动动态防御边界，帮助企业实现资源、数据、应用“隐身”，有效应对已知和未知的外部安全威胁，保护企业内外核心数据安全。

3.协同办公

由于业务及规模的拓展，企业的办公地点及业务⼈员往往分布在全国甚⾄全球各地，各分⽀之间以及分⽀与总部之间都会涉及到频繁的数据互访、资源调用、协同办公等多种场景。同时，上下游企业、第三⽅服务商、外包商之间的大量业务合作，也让企业⾯临着第三⽅⼈员的访问与权限管控问题。

而零信任安全架构完全适⽤于解决多⽅跨地域进⾏远程协作办公场景，做到一键添加移除合作⽅访问权限的同时；保障了企业内部核⼼资源充分隔离，在保证合作效率的前提下确保企业核⼼资源与应用的安全。

4.云应用管理

企业数字化转型的浪潮中，“云化”已经成为新时期企业发展所必须依赖的先进IT基础设施和生产力，越来越多的企业选择在云上构建业务，将业务系统部署在内⽹、在云中或者多云环境中。而在企业传统业务上云的这一过程中，企业内部核心应用、核心资源上云对云环境的可靠性和安全合规性提出了更高的要求，跨云访问、多云资源的调用、云上资源的保护更是企业进入云时代的又一全新挑战。

零信任安全架构可连接外⽹SaaS服务，实现多种云资源的安全访问、跨云数据安全调用，为企业打通全⽹应⽤、实现真正意义上的全⽹资源统⼀管理。

5.企业内部账号管理

随着企业业务复杂度提升，内部⼈员在工作场景中所使⽤到的业务系统将越来越多，每个业务系统都对应有⼀套账号密码及权限。这增加了内部员工的账密负担，部分员工为方便快捷，多系统采用重复密码、弱密码进行访问；网络黑客使用暴力破解即可通过员工账号入侵企业内网，进而导致内网全线瘫痪。同时⼀旦员⼯出现换岗或离职情况，IT管理⼈员需要逐个业务系统进行权限分配及删号处理，⼯作量⼤时难以避免疏漏。

该场景采用零信任安全架构，不仅可以实现多应用统一账密入口，同时还能根据职位匹配最小化访问权限；对于离职⼈员则只需删除⼀个账号即可切断其内部所有访问权限，极⼤提升企业内部账号统一管理效率，减轻运维人员工作负担的同时降低遗漏⻛险。

6.企业安全态势全局管理

随着企业的不断发展，企业内部终端设备、网络设备、业务应用等各类网络资产也以惊⼈的速度快速增⻓，企业内部IT运维管理人员很难清楚地掌握所有网络资产的建设与使用情况，更无法对它们进行全面实时的保护。同时，企业网络资产所处的位置也越来越分散，企业目前对各类资产的“散养”模式已经⽆法匹配企业实际的发展速度，甚⾄会严重阻碍企业的进⼀步发展。

零信任安全架构所提供的统⼀集中管理模式，将从资产、权限、日志三大方面实现统一管理，极⼤地提升安全管理效率。网络资产方面可以实现联动已有身份源、自动探测IT设备、自动盘点终端设备，权限管理可以实现内外网权限一键调整、变动、移除，日志管理提供用户日志、任务日志、管理员日志及风险日志，使所有访问行为做到可检测、可追踪、可溯源。

以上6种场景，相信大家在日常工作中都曾遇到过相似的难题。有的企业主要通过增强内网安全来解决，有的则主要通过抵御外部攻击来解决，而零信任作为一种全新的安全架构和理念，给企业带来的不仅仅是“办公场景”层面的安全保障，更是一种由内而外的主动性安全防御。

零信任安全架构在国外已被广泛应用的今天，国内已经有不少头部企业及公司纷纷入局，目前企业或组织要做的就是根据企业自身需求去选择好一款零信任安全产品（例如端隐SDP），进而在企业内部逐步实现零信任安全架构。