重构企业网络安全边界，蒲公英零信任网络1.0方案解析 - 安防知识网

近年来，随着企业网络安全意识的提升，“零信任”概念逐渐深入人心，作为一种新型的网络安全策略，越来越多的企业开始探寻“零信任”网络的奥秘，并尝试采用“零信任”策略重构企业网络安全边界。

　　近日，贝锐旗下智能组网整体解决方案品牌“蒲公英”正式推出了“蒲公英零信任网络1.0”解决方案，该方案旨在帮助企业重构网络安全边界，进而提供更加安全，更具针对性的智能组网整体解决方案。

　　借此机会，笔者想要在这里对“零信任”概念以及“蒲公英零信任网络”进行一番具体的解析，帮助有需求的企业管理者更好的理解“零信任”这一概念，顺应网络空间安全至上的大潮。

　　何为“零信任”？

　　传统的网络安全是基于防火墙的边界防御，是有明显的物理边界的，而对于企业来说，这一边界的内侧就是我们所熟知的“内网”。

　　在传统的网络安全策略中，内网是完全可信的。但随着云计算、大数据、物联网等新兴技术的不断兴起，企业的IT架构边界正在不断模糊，网络安全的物理边界正逐渐消失，“内网=安全可信”这一等式正在受到严重的调整。

　　为了适应这样的变化趋势，企业也需要调整IT网络安全策略，以应对同样在持续发展中的网络安全威胁。因此，“零信任”应运而生。

　　“零信任”这一概念于2010年由一位名为Forrester Research的分析师提出，它代表了一种新一代的网络安全防护理念和策略，提出不久就被包括谷歌、思科等在内的诸多大厂所采纳。

　　“零信任”的优势

　　用一句通俗的话来解释“零信任”，那就是对网络中的任何一个访客进行持续的身份验证，任何用户都不应受到信任，即“持续验证，永不信任”。

　　在这一策略下，企业网络将不会默认信任任何来自内外网的人、设备和系统，而是会基于实时的身份认证和授权重新构建网络访问信任体系，身份认证的过程也将不再局限在网络的边界，从而保证访问企业网络的身份、设备、软件均为可信，同时进一步保证企业网络系系统的终端安全，链路安全以及访问控制安全。

　　换句话说，“零信任”打破了 “内部等于可信任”、“外部等于不可信任”的传统旧安全观念。

　　举一个简单的例子：在传统的边界网络安全框架下，黑客一旦通过某种手段获取到了企业内网权限（比如帐号和密码），那么直到相关的管理员发现之前，他都可以在企业网络内横行无忌，肆意盗取企业核心信息甚至对系统进行破坏。

　　但如果企业采用了“零信任”安全策略，那么黑客将无法单纯的凭借帐号密码攻入企业内网，而是会被要求验证其他的身份信息，比如企业可以要求帐号与设备MAC码对应，或者需要短信或者邮件的验证等等，这些策略由企业方视情况制定。这样一来，黑客进行恶意攻击的难度将会大大提升，很多针对企业网络的攻击在这一步就会被拒之门外。

　　为什么企业要部署“零信任”

　　企业部署“零信任”当然是基于对于信息安全的迫切需要。