VPN的墻要倒了，但零信任時代還有多遠？

　　疫情期間，猖狂的不只是新冠病毒，還有黑客。

　　美國的網絡安全公司 Proofpoint 的研究人員在2020年2月首先注意到，一封奇怪的電子郵件在2月份發送給了它的客戶。上述電郵來自一位神秘的醫生。他聲稱有一份文件，其中詳細記載了一種冠狀病毒疫苗。Proofpoint說，好奇的收件人點擊了文件，就會被帶到一個看起來像一個正常、值得信賴的電子簽名頁面，但它實際上是一個罪犯自己建立的網頁，目的是獲取登錄者的細節。一旦他們擁有你的賬戶名稱和密碼，你這臺機器上的文檔也就變成了他們的文檔。

　　疫情暴發初期，黑客就開始冒充世界衛生組織（WHO）發送信息。一些黑客創建了部分依托于政府網站內容的假網站，模仿政府網站來發布有關新冠病毒的信息，或是向感染該病毒的患者提供建議與幫助。但是，一旦點擊這些按鍵，用戶的計算機就將遭到惡意軟件的入侵，此外，還會通過用戶的賬號傳播大量與新冠病毒相關的電子郵件。而隨著這些電子郵件傳播的，還有作為郵件附件的惡意程序。

　　許多國家相關部門已經注意到這類情況，德國聯邦信息技術安全辦公室就在去年11月表示，此類惡意程序可能屬于加密和勒索型的程序，它們會對存儲在計算機或網絡中的所有數據進行加密，例如一款叫做“ Emotet”的惡意軟件。黑客通常會勒索用戶，要求其支付贖金以換取對相關數據的再次解密。

　　更有甚者還專門針對疫苗研發企業實施攻擊。據路透社11月下旬的報道，這家英國與瑞典合作開發新冠疫苗的制藥公司的員工曾收到一份假電子郵件，稱可以提供報酬豐厚的工作機會。去年11月中旬，微軟一位高管在公司博客上報告了來自加拿大、法國、印度、韓國和美國的共7家知名疫苗制造商遭到黑客攻擊。

　　醫院也是黑客攻擊的熱門目標。網絡安全解決方案提供商Check Point Research 在今年2月24日發布的《2021 年網絡安全報告》稱，2020 年第四季度，CPR 報告稱，全球范圍內針對醫院的網絡攻擊（尤其是勒索軟件攻擊）增加了 45%，因為犯罪分子認為，由于新冠病例激增造成的壓力，醫院更有可能滿足贖金要求。

　　VPN之墻已千瘡百孔

　　疫情加速了全球數字化進程，但在黑客的攻擊之下，也暴露了傳統組織所架設的VPN之墻的落伍和脆弱。

　　VPN（虛擬專用網）是在公用網絡上建立專用網絡，通過對數據包的加密和數據包目標地址的轉換實現遠程訪問，在企業政府機構遠程辦公中起著舉足輕重的地位。VPN奉行的“內部即可信”、“外部即不可信”的安全模式，也就是說可信的員工在內部，不可信的員工在外部。

　　過去，企業的服務器和辦公設備主要運行在內網環境中，所有的企業安全都是圍繞著內網的“墻”來建設的，在這種情況下，VPN所搭建的防護墻還算牢靠。但這種模式不再適用于現代商業環境。

　　但是在遠程辦公、云計算日益普及的今天，一方面，云計算、 移動互聯等技術的采用讓企業的人和業務、數據“走”出了企業的 邊界;另一方面，大數據、物聯網等新技術的開放協同需求導致了外部人員、平臺和服務“跨”過了企業的數字護城河。復雜的現代企業網絡基礎設施已經不存在單一的、易識別的、明確的安全邊 界，或者說，企業的安全邊界正在逐漸瓦解。

　　因此，VPN的“內部即可信”、“外部即不可信”的安全模式成為其致命弱點。企業不可能把阿里云、騰訊云都裝到自己的防火墻里面，當然也不可能把防火墻修到世界每個角落。

　　黑客也專挑VPN的漏洞下手。Check Point Research 在今年2月24日發布的《2021 年網絡安全報告》稱，黑客利用新冠疫情造成的混亂，特別是針對遠程辦公的vpn的安全事件快速增長，其中，87% 的組織曾經歷利用已知漏洞的網絡攻擊，46% 的組織至少有一名員工下載了惡意移動應用。

　　去年三月，雷鋒網援引外媒消息稱， 影響 iOS 13.3.1或更高版本的當前未匹配的安全漏洞可能會阻止虛擬專用網絡（VPN） 對所有流量進行加密。雖然連接到 iOS 設備上的后 VPN 后進行的連接不受此錯誤的影響，但所有以前所建立的連接都將在 VPN 的安全隧道之外。

　　Check Point 軟件技術公司產品副總裁 Dorit Dor 表示：“全球企業對其 2020 年數字計劃的推進速度感到驚訝：據估計，數字化轉型提前了最多 7 年。但與此同時，攻擊者和網絡犯罪分子也改變了其作案策略，借以利用這些變化和疫情所造成的混亂，各行各業遭受的攻擊均迅猛增長。”

　　零信任網絡靠譜嗎？

　　隨著企業轉向更靈活、粒度更細的零信任安全框架(該框架更適合當今的數字業務世界)，數十年來一直為遠程工作者提供進入企業網絡的安全通道的古老VPN正面臨消亡。

　　誰來取代VPN？Gartner 2019年4月發布的《零信任網絡訪問市場指南2019》預測，到2023年，60％的企業將淘汰大部分遠程訪問虛擬專用網絡（VPN），轉而使用ZTNA（零信任網絡）。

　　零信任網絡并非橫空出世。零信任的最早雛形源于 2004 年成立的耶利哥論壇 (Jericho Forum)，其使命正是為了定義無邊界趨勢下的網絡安全問題并尋求解決方案。2010 年，零信任術語正式出現，并指出默認情況下所有的網絡流量都是不可信的，需要對訪問任 何資源的任何請求進行安全控制。

　　作為VPN的一種替代方案，零信任的核心思想就是：默認情況下不應該信任網絡內部和外部的任何人/設備/系統，需要基于認證和授權重構訪問控制的信任基礎。零信任對訪問控制進行了范式上的顛覆，引導安全體系架構從網絡中心化走向身份中心化，其本質訴求是以身份為中心進行訪問控制。

　　零信任網絡已是大勢所趨，并將引導安全體系架構從網絡中心化走向身份中心化，中美兩國均已把零信任網絡作為未來發展方向。

　　2019 年 4 月，美國技術委員會—行業咨詢委員會（ACT-IAC）發布了《零信任網絡安全當前趨勢》，對當前零信任的技術成熟度及可用性進行評估，隨后國防創新委員會（DIB）、美國國家標準委員會（NIST）均發表了零信任相關的報告或標準，其中《零信任架構》標準正式版也于今年 8 月 11 日發布，美國國防部已明確將零信任實施列為最高優先事項。

　　中國零信任亦緊鑼密鼓地展開，標準及應用案例逐漸落地。2019 年 9 月，工信部發布的《關于促 進網絡安全產業發展的指導意見（征求意見稿）》中將“零信任安全”列入需要“著力突破的網絡 安全關鍵技術”。2019 年 7 月騰訊牽頭提交的《零信任安全技術—參考框架》行業標準通過評審。

　　在美國國家標準技術研究院（NIST）發布的零信任架構標準中，明確列出了當前實現零信任的三大技術路線，可以歸納為“SIM”組合：SDP，軟件定義邊界; IAM，增強的身份管理; MSG，微隔離。這三種技術路線既可以單獨實現零信任方案，也可以配合起來實現更加全面的零信任架構。

　　Gartner發布的《零信任網絡訪問市場指南 (2020版)》表示，ZTNA削弱了網絡位置的優勢地位，消除了過度的隱式信任，代之以顯式的基于身份的信任。從某種意義上說，ZTNA創建了個性化的“虛擬邊界”，該邊界僅包含用戶、設備、應用程序。ZTNA還規范了用戶體驗，消除了在與不在企業網絡中所存在的訪問差異。最關鍵的是，它還將橫向移動的能力降到最低。

　　安全新賽道誰在搶跑

　　早在政府確定零信任標準前，一波科技巨頭已在悄然布局，而SDP模式已一馬當先，成為零信任相對成熟的技術路線。

　　谷歌堪稱先鋒，早在2014年Google 基于其內部項目 Beyond Corp 的研究 成果，陸續發表了多篇論文，闡述了在 Google 內部如何為其員工構建零信任架構。2011-2017年期間，Google Beyond Corp項目實施落地，實現不區分內外網，讓員工不借助VPN安全地在任何地方開展工作，將訪問權限從網絡邊界轉移到設備、用戶和應用。Beyond Corp的核心思想是組織不應該信任任何實體，無論該實體是在邊界內還是在邊界外，應該遵循“永不信任，始終驗證”的原則。

　　國際云安全聯盟于2013年成立SDP工作組，由美國中央情報局(CIA) CTO Bob 擔任工作組組長，并于2014年發布SPEC 1.0等多項研究成果。SDP作為新一代網絡安全解決理念，其整個中心思想是通過軟件的方式，在移動和云化的時代，構建一個虛擬的企業邊界，利用基于身份的訪問控制，來應對邊界模糊化帶來的粗粒度控制問題，以此達到保護企業數據安全的目的。

　　經過多年發展，SDP技術越來越被廣泛應用，成為零信任最成熟的商業解決方案，Zscaler、Akamai、網宿科技等國外著名云安全廠商和一些國內公司如聯軟科技、云深互聯等都有相關產品和解決方案。其中，Google、Microsoft 等巨頭率先在企業內部實踐零信任并推出了完整的解決方案；OKTA、Centrify、Ping Identity 等為代表的身份安全廠商推出“以身份為 中心”的零信任方案；Cisco、Symantec、VMware、F5 等公司推出了偏重于網絡實施方式的零信任方案；此外 Vidder、Cryptzone、Zscaler、Illumio 等創業公司亦表現。

　　疫情之下快速的普及遠程辦公和不斷增長的黑客攻擊，也加速了零信任網絡的用戶教育。2019 年底，Cybersecurity Insiders 聯合 Zscaler 發布的《2019 零信任安全市場普及行業報告》指出， 78%的 IT安全團隊希望在未來應用零信任架構，19%的受訪者正積極實施零信任，而 15%的受訪者已經實施了零信任，零信任安全正迅速流行起來。

　　萬事俱備，一場企業安全升級的新賽道徐徐展開。?MarketsandMarkets預計，到2024年，零信任安全的全球市場規模將達到386.31億美元（約合人民幣2585.6億元），復合年化增長率為19.9%。

　　今年1月27日，谷歌云官方發布博客宣布，零信任平臺BeyondCorp Enterprise正式上市，該產品替代并擴展了谷歌云去年4月發布的BeyondCorp遠程訪問產品，標志著零信任時代的正式到來。幾乎同一時間，網宿科技發布面向企業安全領域的新一代零信任遠程訪問接入產品——SecureLink。據介紹，網宿SecureLink遵循CSA軟件定義邊界（SDP）標準規范與Zero-Trust安全框架體系，并整合全鏈路傳輸加速能力開發而成，顛覆了VPN、遠程桌面等傳統內網訪問技術，針對云與移動時代企業全場景遠程辦公安全訪問需求，提供以身份認證與動態信任為基礎的企業遠程訪問安全接入服務。證券日報網報道稱，網宿科技為CDN轉型云安全的后起之秀，今年在零信任領域發力較為明顯，基于中國本土產業格局，零信任安全公司估值仍具有較大想象空間。

　　網絡安全的潮水正在轉向，零安全網絡時代已悄然降臨。