零信任网络建设及部分细节讨论.docxVIP

零信任网络建设及部分细节讨论 一、零信任初识 1、困境 传统的IT组网中，网络安全需求的落地往往把重心放在以下工作： 精心设计的网络结构，如：带外管理网段/带内生产网段的严格划分、不同网段之间的严格隔离等； 在网络边界部署专用安全“盒子”设备上，如：F5、IPS、WAF、DDOS等。 这些经典的网络安全部署方案，长期以来起到了较好的安全防护作用。但随着企业网络规模的日益扩大、网络攻击技术的不断发展、云技术/容器化的不断发展，传统安全方案的缺点越来越明显。 （1）整体防御能力重边界、轻纵深，面对攻击者的横向扩展束手无策 复杂的网络部署环境造成过长的网络边界，单点突破往往难以100%杜绝，“容忍单点突破、杜绝全面失守”已成为系统化安全建设的共识。而在过于强调边界防护的传统安全方案下，网络边界越来越容易成为实际上的“马奇诺防线”。 攻击者往往第一步会通过应用薄弱点（0day或nday）、水坑攻击、钓鱼邮件等手段绕过企业重兵部署的防御边界，找到突破点后，通过端口扫描探测更大的攻击目标。 （2）检测能力的局限性 WAF、IPS、DDOS等安全防护设备，都是基于规则进行防护。攻击者常用以下两种方式来实现对防护的逃逸： 1）通过编码、异形报文进行逃逸； 2）通过大流量的攻击报文，超出设备检测能力逃逸。 （3）审计、权限控制的缺失 当攻击者或内部人员以正常业务操作途径，尝试恶意登录、越权下载数据、