近日，谷歌宣布完成其內(nèi)部使用的遠程安全訪問零信任方案BeyondCorp的產(chǎn)品化，并在谷歌云服務(wù)上發(fā)布銷售。眾所周知，Google的BeyondCorp項目是最早的零信任方案之一，早在2011年，谷歌就開始在內(nèi)部部署遠程訪問方案BeyondCorp，向員工提供內(nèi)網(wǎng)應(yīng)用的安全訪問服務(wù)。

谷歌舉了一個零信任應(yīng)用在谷歌的用例：外包人力資源招聘人員在家中使用自己的筆記本電腦工作時，可以使用我們基于Web的文檔管理系統(tǒng)（除其他外），但前提是他們使用的是最新版本操作系統(tǒng)，并且正在使用諸如安全密鑰之類的防網(wǎng)絡(luò)釣魚身份驗證。

谷歌決定在全球新冠疫情肆虐的時候“火線推出”BeyondCorp，是因為谷歌認為全球遠程辦公人員激增已經(jīng)超出了企業(yè)VPN資源的承受范圍，而且谷歌強調(diào)BeyondCorp的部署也比VPN快得多。

谷歌云安全總經(jīng)理Sunil Patti指出：借助BeyondCorp遠程訪問，我們可以在幾天之內(nèi)幫助您完成此工作，而部署傳統(tǒng)VPN解決方案可能要花費數(shù)月的時間。使用BeyondCorp遠程訪問，您可以減輕現(xiàn)有VPN部署的壓力，為已經(jīng)擁有訪問權(quán)限和最需要訪問權(quán)限的用戶節(jié)省關(guān)鍵容量。

目前，BeyondCorp只能對Web應(yīng)用程序?qū)嵤┰L問控制，但可以在本地或包括谷歌自己的云中實施訪問控制。

谷歌并未透露BeyondCorp的價格，但谷歌已經(jīng)列出了首批客戶名單（包括Airbnb），這些客戶已經(jīng)在生產(chǎn)中使用BeyondCorp來訪問G-Cloud。

在這個高度不確定性籠罩的年代，零信任是企業(yè)數(shù)字化安全轉(zhuǎn)型和打造可持續(xù)數(shù)字化競爭力的最關(guān)鍵的一次“范型轉(zhuǎn)移”和“免疫博弈”，也是網(wǎng)絡(luò)安全和“安全優(yōu)先”倒逼IT改革和業(yè)務(wù)創(chuàng)新的決定性戰(zhàn)役。本期《牛人訪談》我們邀請到了國內(nèi)較早實施零信任的企業(yè)——完美世界的高級安全總監(jiān)何藝，與大家分享零信任之路的風(fēng)雨與彩虹，以下是訪談內(nèi)容：

何藝，現(xiàn)任完美世界高級安全總監(jiān)，負責(zé)完美集團安全工作，從事甲方安全工作十六年，主要專注在企業(yè)安全建設(shè)、安全架構(gòu)、零信任、安全分析和響應(yīng)、APT對抗和數(shù)據(jù)安全上，在企業(yè)安全上有較多深入體會。

一、開始話題之前，能否給我們的讀者介紹下什么是零信任？

何藝：好的，安全的本質(zhì)我的理解是信任，零信任其實也是在試圖解決信任問題。

說到零信任前，我們先回顧下傳統(tǒng)的邊界安全模型，在傳統(tǒng)邊界安全模型中信任其實是來自你的網(wǎng)絡(luò)地址，可以理解為基于IP的信任，IP可信你就是可信的，你的環(huán)境是否安全并不是它考慮對象，這種架構(gòu)在早期蠕蟲時代是能解決問題的，但隨著攻擊方式和威脅多樣化，已經(jīng)遠遠不能滿足安全需求了。

在新的零信任模型下，信任關(guān)系是來自人、設(shè)備、應(yīng)用（資源）的關(guān)系，通過這三者建立起信任鏈以及在信任傳遞過程中進行持續(xù)校驗，一旦信任鏈失效，權(quán)限也就被迅速回收，如下圖：

在零信任架構(gòu)下，傳統(tǒng)的邊界已經(jīng)不再重要，即便你在內(nèi)網(wǎng)同樣也是處于“不可信”狀態(tài)，每一次對資源的訪問，都會要經(jīng)過信任關(guān)系的校驗和建立，即內(nèi)外是一致的策略。

同時安全是建立在信任鏈之上，如果信任鏈被打破，那么對資源的訪問權(quán)限則被自動取消。這點是零信任和傳統(tǒng)安全最大的區(qū)別，也是比傳統(tǒng)安全更安全的地方。

二、看過您的公眾號文章，你們似乎很早就開始做零信任了，這是基于什么考慮，為什么這么早就敢“吃螃蟹”？

何藝：我們啟動零信任項目是2015年的時候，其實當(dāng)時并沒有叫零信任架構(gòu)，因為我是在2015年對google beyondcorp進行了調(diào)研和分析，當(dāng)時零信任概念雖然有了，但并不熱門，google的白皮書里面也沒有類似的說法，所以內(nèi)部我們一直叫beyondcorp項目，直到最近兩年零信任概念火了后，才統(tǒng)一了叫法。

當(dāng)時做這個項目主要考慮是下面幾個原因：

1防黑客入侵需求

我們公司主營業(yè)務(wù)是在線游戲，游戲行業(yè)內(nèi)的黑客入侵比絕大多數(shù)互聯(lián)網(wǎng)公司要來的嚴峻的多，原因是游戲行業(yè)內(nèi)可獲利的資產(chǎn)很多，這個是遠超一般行業(yè)的。很多行業(yè)可能最有價值的就是用戶數(shù)據(jù)了，而這類數(shù)據(jù)多數(shù)情況下不需要用到過多的資源即可弄到，比如暗網(wǎng)交易，而游戲行業(yè)內(nèi)可兌現(xiàn)的數(shù)據(jù)非常多，不管是代碼還是系統(tǒng)權(quán)限都可以獲取暴利。

結(jié)果就是會遇到很多高水準的APT攻擊事件，進行長期滲透與潛伏，給整個行業(yè)帶了極大的損失。那么對抗難度不一樣，僅僅通過檢測方式來對抗已經(jīng)不能滿足我們的防護需求了，所以這個是我們首要考慮因素。

2IT基礎(chǔ)環(huán)境整固

我們之前的IT基礎(chǔ)環(huán)境并不是特別好，存在很多技術(shù)債，對安全的影響也比較大。比如不清楚有多少資產(chǎn)、不清楚攻擊暴露面、不清楚管理員、離職賬號權(quán)限不回收等等問題。這些問題看似都比較瑣碎也比較低層次，但實際會對安全工作造成比較大的負面影響，比如說：

·不清楚多少資產(chǎn)：資產(chǎn)不清楚導(dǎo)致往往被攻擊很久后都得不到響應(yīng)，或是成為長期的滲透入口；

·不清楚攻擊暴露面：比如失效的防火墻策略，內(nèi)網(wǎng)業(yè)務(wù)對公網(wǎng)暴露等等，這些都是攻擊面，并且因為是未知的暴露，往往安全性都很差，很容易被攻擊成功；

·不清楚管理員：導(dǎo)致即便檢測到安全事件，由于不清楚管理員會讓響應(yīng)時間過慢，錯失很多時機，不能及時止損；

·離職賬號權(quán)限不回收：公司有成百上千個系統(tǒng)，這些系統(tǒng)的權(quán)限大多數(shù)在離職后都難以得到回收，并且又存在大量的弱口令等問題，這些都會成為以后的攻擊跳板。

上面這些問題急需有統(tǒng)一的方式來進行規(guī)整，梳理，這點也是我考慮做零信任的一個重要因素，通過零信任將IT基礎(chǔ)環(huán)境進行改造。

3安全投入成本考慮

我們是個不算很小的公司，也沒有到巨頭的體量，這種情況如果只是單純?nèi)ベI商業(yè)解決方案，從投入產(chǎn)出比上來看并非很合適，主要有幾下幾點：

·2015年的時候，乙方安全產(chǎn)品大都不能滿足我們需求，不能解決我們的實際問題；

·通過商業(yè)產(chǎn)品進行定制開發(fā)的成本過高，后期的維護代價也很高，很容易被乙方綁架，不利于自主控制；

·業(yè)務(wù)發(fā)展的過程，商業(yè)解決方案會導(dǎo)致總成本不斷增加，并且每隔幾年存在換代問題，不利于長久的投入；

·通過自建方式可以比較好解決信任問題，不管是老板對安全的信任，還是業(yè)務(wù)對安全的信任，以及內(nèi)在的信任。

三、能否介紹下你們的零信任項目的實施過程？有哪些可被借鑒的地方？

何藝：項目剛啟動的時候，我們的資源非常有限，所以在做規(guī)劃的時候并沒有想做一步到位的方案，而是將整個體系拆解成不同的模塊，分階段來實施，并且在實施的過程中不斷試錯，引入了類似敏捷開發(fā)的思路。

零信任的核心思想之一是用戶+設(shè)備+應(yīng)用的信任鏈，基于這個核心思想，我們進行了拆分系統(tǒng)，分步驟實施，最后進行閉環(huán)，總體上我們分了三個階段：

1基礎(chǔ)系統(tǒng)階段

這個階段我們主要是解決了一些核心的基礎(chǔ)系統(tǒng)的開發(fā)和部署，比如集中化的統(tǒng)一認證架構(gòu)解決了OTP認證問題，以及集中化鑒權(quán)問題。另外還有一個核心系統(tǒng)是應(yīng)用網(wǎng)關(guān)的開發(fā)和部署，通過它解決了業(yè)務(wù)的接入和集中管控問題，很好的收攏了攻擊面。這兩個基礎(chǔ)系統(tǒng)部署完后，賬號基本也就同步梳理完了，實現(xiàn)了統(tǒng)一賬號、統(tǒng)一認證、統(tǒng)一鑒權(quán)的目標(biāo)。

2擴展系統(tǒng)階段

這個階段我們主要做了擴展工作，包括零信任APP中的工作臺，安全資產(chǎn)庫、SOC等系統(tǒng)，通過這些系統(tǒng)可以實現(xiàn)資產(chǎn)管控，告警分析，移動辦公集成等功能，大幅擴展了架構(gòu)能力。

3架構(gòu)閉環(huán)

第三個階段我們windows、mac端的agent，網(wǎng)絡(luò)準入系統(tǒng)等模塊全部開發(fā)完畢，實現(xiàn)了零信任中最重要的一環(huán)，用戶+設(shè)備+應(yīng)用的信任連建立，可以對特定業(yè)務(wù)啟用高強度的防護策略，以及設(shè)備的網(wǎng)絡(luò)準入等控制，實現(xiàn)了全端、全鏈路的防護。

四、從過來人的角度，你怎么看待零信任架構(gòu)給企業(yè)帶來的價值？

何藝：我覺得任何事情都有正負兩方面的效果，安全方案也是這樣，一個安全方案的實施除了帶了正面效果外，一定會引入新的問題，帶來一些負面效果，零信任架構(gòu)也是如此，它并不是銀彈，同樣有正負價值：

1正面價值

正面價值上，通過零信任我們把IT基礎(chǔ)架構(gòu)進行了大幅改造，涉及用戶賬號、網(wǎng)絡(luò)、終端、業(yè)務(wù)應(yīng)用、認證授權(quán)、資產(chǎn)管控等等，通過安全的推動將IT基礎(chǔ)環(huán)境的能力往前推進了一大步，變得更像一個現(xiàn)代化的互聯(lián)網(wǎng)公司架構(gòu)了，安全在某些方面甚至帶來了效率的提升。

2負面價值

但另外一方面來說，通過零信任也大大將風(fēng)險集中了，不管是單點風(fēng)險帶來的隱患，安全運營和管理能力帶來的挑戰(zhàn)也大幅增強，安全的責(zé)任也變得更加重大，并且存在因為安全管理不善導(dǎo)致業(yè)務(wù)中斷的風(fēng)險，這些都是零信任架構(gòu)帶來的新挑戰(zhàn)。

五、零信任的實施成本如何，投入大嗎，采用何種方式實施較好？

何藝：因為我們實施的時候并沒有現(xiàn)成的商業(yè)解決方案，所以主要靠自研的方式，采用的是以時間換空間的做法，所以耗時很長，投入還是比較大的。

所以從我們的過去經(jīng)驗來看，如果是要完全自研的方式來做，涉及的系統(tǒng)和組件還是不少，包括踩坑這些會導(dǎo)致時間周期很長，如果你希望盡快見效，自研未必是一個特別好的選擇。

這兩年尤其是今年也多了很多商業(yè)解決方案，這部分我了解并不是很多，不好過多評估，但需要留意的是很多商業(yè)方案并未經(jīng)過大規(guī)模的實踐，所以可能會變成小白鼠，并且零信任上去容易下來難，這點可能要適當(dāng)注意下。

六、你們在實施的過程中，有遇到一些坑嗎？

何藝：坑還是挺多的，基本上每個系統(tǒng)，每個實施環(huán)境都會遇到坑，有些是提前可以預(yù)料的，有些是完全預(yù)料不到的，比如核心業(yè)務(wù)程序假死、網(wǎng)絡(luò)存儲只讀、用戶小白看不懂手冊，這些都是坑。

所以遇到是坑是一定的，重要的是對遇到的坑要有快速解決的能力以及一定的抗壓能力和公司領(lǐng)導(dǎo)層的信任和支持，這些是能否把坑踏平踩過去的關(guān)鍵因素。

七、你是怎么看待最近兩年零信任突然火了起來，它會給安全行業(yè)帶來哪些影響？

何藝：我想零信任的火爆，既有外部因素也有內(nèi)在內(nèi)涵，從外部因素來說，越來越多的業(yè)務(wù)入網(wǎng)，外部環(huán)境對抗加強，這些都是現(xiàn)實因素。從內(nèi)在內(nèi)涵上來看，傳統(tǒng)安全架構(gòu)的失效，合規(guī)安全的流于表面，企業(yè)內(nèi)在安全需求增強，這些因素都導(dǎo)致了對安全的要求越來越高。

這樣也推動安全不能再停留在救火隊長或是邊緣部門的角色上，而零信任在google等大型互聯(lián)網(wǎng)企業(yè)中的落地，這些無疑給企業(yè)安全建設(shè)提供了新的思想，勢必會導(dǎo)致一些有能力的團隊追隨，同時安全市場也會受到刺激，催生出更多的乙方來提供服務(wù)，給不具備能力的團隊使用。

我想零信任在未來應(yīng)該會長期發(fā)展下去，不會只是曇花一現(xiàn)，但需要注意的是，零信任架構(gòu)也是一個強運營的安全架構(gòu)，企業(yè)是否能夠控制好架構(gòu)自身的風(fēng)險，是否具備能力或是由行業(yè)提供能力來支持，也是值得觀察的事情。

責(zé)任編輯：gt