隨著全球數字化和萬物互聯的加速，傳統網絡安全邊界將消失，外部網絡攻擊逐漸加劇，以“零信任”理念重構安全防御體系越來越多地被認可與重視。日前，全球網絡安全領導企業 Palo Alto Networks（派拓網絡）舉行線上媒體會，推出包括SaaS安全、高級URL過濾、DNS安全、云身份引擎及新型機器學習防火墻在內的五項重要創新功能，以幫助客戶輕松在其網絡安全棧中采用零信任架構。派拓網絡大中華區總裁陳文俊和派拓網絡中國區商業市場技術總監張晨出席會議，與媒體分享了近期派拓網絡業務發展動態和其推出的全面零信任網絡。

派拓網絡大中華區總裁 陳文俊

派拓網絡中國區商業市場技術總監 張晨

為什么選擇零信任網絡？

零信任代表了新一代的網絡安全防護理念。派拓網絡中國區商業市場技術總監張晨介紹，零信任概念的核心思想是企業不再主動相信網絡中的任何一個人，或者任何一個設備，或者任何一個應用，除非他能夠證明他現在的身份，以及他的訪問意圖。這完全顛覆了原來企業以邊界為主要防線的網絡安全概念。派拓網絡大中華區總裁陳文俊介紹，零信任的概念是在2010年由美國的John Kindervag提出，在國外一些發達地區發展得比較快，已經有一些使用的案例。在國內，零信任安全2015年開始興起，隨著移動互聯網的高速發展，近年來越來越多的大型互聯網公司開始部署零信任，在企業客戶內部，零信任也逐漸被關注與重視，慢慢在國內興起。

現階段，云技術的廣泛應用，可能導致各種人員通過不同方式接入企業網絡，打破了傳統網絡邊界，純內部系統組成的企業數據中心不再存在，為企業網絡安全防護帶來新的挑戰，所以急需一種能適應云服務的全新架構，而零信任架構能滿足這個需求。另一方面，勒索攻擊這幾年一直呈爆炸式增長。據派拓網絡報告，2020年勒索病毒的攻擊比2019年增加了171個百分點，企業支付的最高贖金從2019年的500萬美金提高到2020年的1000萬美金。如果僅僅依靠現有安全方法并不足以應對愈趨嚴峻的安全態勢，而零信任模型恰好能得到更好的效果。

派拓網絡推出全面零信任網絡安全

零信任這個概念如何在企業環境下有力地開展，勢必要借助很多技術手段。應該從哪些方面來考慮企業的網絡安全，張晨給出了以下四個方面的維度：

首先，很多企業會借助SaaS類的應用來快速開展新業務，因為這是非常便捷的。所以SaaS的安全，也即人們說的影子IT，其安全隱患會成為現在企業中越來越重要的一部分。

其次是Web類的安全。以前對攻擊的防范是靠不斷更新病毒定義碼、更新攻擊特征庫來實現，但是現在很多Web攻擊應用的手段非常高明，傳統防范方式已無法應對。

第三，云平臺的使用，使很多新興的業務應用遷移到了云平臺，對云端業務進行訪問時，如何與企業自建數據中心內部的服務器相互進行快速的身份認證的同步，也成為企業重新定義網絡安全當中非常重要的一部分。

最后，防火墻部署的位置仍然是企業網絡安全整個架構中非常重要的一個環節，如何把更先進的機器學習、人工智能技術快速移植到防火墻這個硬件平臺本身，也成為企業網絡安全需要考慮的一部分。

派拓網絡從上述四個維度不斷去加強和優化技術方案，能夠幫助客戶快速在企業網絡中實現零信任架構。其推出的SaaS安全、高級URL過濾、DNS安全、云身份引擎和新型機器學習防火墻讓企業能夠輕松、有效地實施零信任網絡安全，并獲得四項重要優勢：

（1）安全訪問正確的應用：業界首款集成的云訪問安全代理（CASB），讓客戶主動擴展對所有SaaS應用的安全訪問，包括那些前所未見的應用。

（2）安全訪問正確的用戶：業界首款云身份引擎讓客戶在企業網絡、云和應用中輕松驗證和授權其用戶，不受身份存儲位置影響。

（3）增強安全性：高級URL過濾服務通過本地機器學習功能提供業界首創的零日網絡攻擊防御，擴展的DNS安全功能可以防御其他解決方案無法防御的新興DNS攻擊。

（4）全面普及安全訪問：所有形式的防火墻（硬件、軟件和云端）均可使用這些新功能，無論用戶位于何處，均可進行安全訪問。除了現有防火墻外，新型號機器學習下一代防火墻也能使用這些創新功能，以實現企業級零信任網絡安全——從小型分支機構（使用PA-400系列）到大型園區和超大規模數據中心（使用PA-5450平臺）。

企業采取零信任架構，需要關注哪些環節？

派拓網絡在去年的一項調查中發現，有將近一半的客戶已經在自己的網絡中考慮和規劃零信任網絡。那么企業如果需要采取零信任架構，當前最需要關注哪些環節？企業實施零信任安全架構時，是否存在比如成本方面的挑戰？對此張晨表示，企業一定要對自己的IT資產進行優先級別的排序，在這些數據、應用、資產和相應的運行服務中，分別梳理出哪些是最重要最需要保護的。安全一定是從最重要的IT資產最先開始。其次還要梳理這些重要資產和訪問對象之間的訪問關系、訪問策略是否恰當。有了梳理基礎之后，才會有的放矢地實施相應的技術產品來進行零信任架構的落地。從最重要的IT資產開始，進入到良性循環之后，再往下一步落實，這樣就可以在零信任的規劃和成本上做一個比較好的平衡。

張晨強調，零信任是安全建設的指導架構和思想，在具體的技術監控和技術落地層面，會涉及到很多不同的技術，它們之間并不是相互替代的，實際上也不存在所謂的單一產品，即零信任網關。建議企業在咨詢、規劃、梳理好業務訪問關系之后，有的放矢地根據企業需要的訪問關系和保護的IT資產，來有針對性地選擇簡單、自動化、高效、高精準度的安全管理自動化平臺。