城市

在数字经济中开展业务需要应对重大风险，潜藏的网络攻击者和数据窃贼可谓无处不在。鉴于网络攻击随时可能出现，组织越来越多地寻求通过零信任架构来加强防御。

零信任的概念代表着业界对网络安全的重新思考：在无法验证安全无虞的 IT 环境中，该如何做到安全运营？即便入侵者成功侵入网络，在网络内部，他们也会在每一个环节遇到障碍，必须应对多重验证要求。零信任在用户、系统和设备每次尝试访问资产时都要求其经过验证过程。

“它的基本理念是不信任任何东西，核实一切，不作假设。根据需要，频繁进行重新验证，”零信任安全解决方案供应商 Zscaler 的 5G 全球副总裁 Ken Urquhart 指出。

网络安全团队的传统运营方式背后是一种“围攻心态”，即用一个或多个防火墙将“我们的 IT 设备”与网络攻击者隔开，Urquhart 表示，但是本地设备、云、边缘和物联网系统的激增扩大并模糊了简单周界的概念，给数据安全管理带来越来越大的挑战。

当攻击者成功侵入时，他们通常会潜伏在组织的网络中，平均长达 9 个月之久，不断窃取数据、制造干扰，却能做到不被发现。公司无法确切知道入侵者在他们的系统中潜伏了多久，也不清楚他们窃取了多少数据。Urquhart 指出，“当今的组织必须 100% 成功化解所有攻击，才能保证安全；而攻击者只需要成功侵入一次就够了。”“我们从上世纪 80 年代就开始使用防火墙，这背后的基本假设是，只要你进入防火墙内部，基本上就会被视为受信任的用户。”

Zscaler 提供持续数据保护，利用加密通信、监控和分析来防止攻击者窥探组织的行动，甚至让它们根本看不到组织。在 Zscaler 技术的保护下，设备和应用程序无法被网络上的其他设备检测到。Urquhart 说，“你无法攻击看不见的东西。”

该公司的理念是在整个网络环境中提供无缝体验，无论要跨越多遥远的地理距离。借助 Zscaler 的力量，客户得以专注于自己的核心业务，无需为抵御威胁而展开持久战。

零信任解决网络安全挑战

多年来，联邦快递 (FedEx)、英国石油 (British Petroleum)、西门子和通用电气等全球性组织一直依靠 Zscaler 来保护他们庞大的全球网络。例如，西门子将基础设施成本降低了 70%；而通用电气 80% 的员工在一项调研中表示，有了 Zscaler，他们工作起来更觉轻松。采用 Zscaler 技术后，一家长期为续勒索软件问题所苦的油气领域客户遭受的攻击惊人地减少了 3500%。

Zscaler 成立于 2008 年，正是零信任运动肇始之初。Urquhart 表示：“我们运营着一个安全的全球通信网络，每天扫描超过 18 拍字节的数据，处理 3200 多亿笔交易，相当于谷歌单日搜索次数的 20 多倍，同时每天还要处理超过 90 亿起突发事件和政策违规事件，每天运用 AI/机器学习解释超过 500 太字节的元数据和信号。”

在千变万化的威胁面前，组织往往需要艰苦捍卫他们的环境免受破坏。当新威胁层出不穷、而旧威胁像病毒变异般改头换面时，网络安全团队只能通过不断添加工具和协议来与之对抗。他们还必须保护组织为利用新功能而添加的新应用程序和系统。

“随着时间的推移，就产生了一大堆解决方案，它们需要不同的配置、不同的补丁级别、不同的补丁频率、不同的管理界面。” Urquhart 指出。要不了多久，这套程序就会变得过于复杂，从而可能会制造出更多漏洞。

雪上加霜的是，组织十分依赖这些他们无法（或没能力）控制的系统，Urquhart 补充道，“我们必须在不属于我们的远程通信系统上运营。我们必须通过不属于我们的网络运营。我们把数据放进不属于我们的公有云中。我们得到了安全性的许诺，但却鲜少有人邀请你进行完整的安全审计，并逐行检查每个漏洞的每段代码 — 即便受邀，也没有一个组织能够真正完整地执行这项任务。你必须信任别人的说法。”

而有了零信任，无论何时，当用户、设备、网络、应用程序和数据试图建立连接，它们都要经受多级持续验证，例如多因素认证、生物特征识别和硬件密钥。当用户试图从不同的设备、不同的地点、在不符合规律的时间登录时，也会被该程序识别出来，从而触发额外的验证步骤。

合作伙伴关系对数据安全管理具有至关重要的意义

Zscaler 的零信任架构依赖自动化和编排来实现实时监控和流量分析。数据在跨越多个国家/地区和大洲、穿越多云和网络时被加密和监控。为了实现这一切，Zscaler 与美超微 (Supermicro)、CrowdStrike 和英特尔等多个合作伙伴合作，采用它们提供的诸多技术解决方案。Zscaler 还从 40 个合作伙伴那里收集、共享和接收威胁情报，以便隔离、分析和创建阻断规则。

采用英特尔^® 至强^® 可扩展处理器的美超微硬件为 ZScaler 的边缘到云安全服务边缘 (SSE) 技术提供支持，该技术会先对所有边缘和远程工作人员^的流量进行检查，然后再将其路由到目的地。

为减少攻击面，Zscaler 与 CrowdStrike 集成，通过多种方式最大限度地阻拦威胁的横向移动，确保只有受信任和受保护的设备能访问经授权的应用程序和数据。  Zscaler 会在未知和恶意文件到达最终用户之前将其拦截，并通过 CrowdStrike 触发跨平台控制操作。

借助 CrowdStrike 设备姿势评分，Zscaler 管理员可以通过配置策略，阻止来自低信任评分设备的访问，或只允许通过远程浏览器隔离访问，在提高用户办公效率的同时防止数据泄露。这有助于防止宝贵的知识产权和个人身份信息泄露，同时也可阻止勒索软件和其他恶意载荷进入。

此外，还有一个额外的好处：Zscaler 的方法减少了网络和通信基础设施，他说：“客户只需将他们的办公室、远程工作人员或数据中心连接到本地互联网。从那里开始，就由 Zscaler 来接手。”

对于 Zscaler 的零信任方法而言，来自英特尔等合作伙伴的技术是关键。随着英特尔对硬件进行优化，Zscaler 通常会率先将该技术应用于当前项目，因为它“无时不刻地致力于提高效率，” Urquhart 表示。

零信任是目前最高效也最有效的网络安全方法。它的概念并不那么好理解，因为与更简单的“我们在里面，攻击者在外面”的防火墙相比，它属于深层防御的范式。Zscaler 在这一领域已深耕 15 年，而且我们始终通过采用新技术和吸收客户反馈来不断改进我们的方法，” Urquhart 指出，“我们试图告诉世界，处理网络安全的方式不止一种。”
 

由 insight.tech 的副主编 Georganne Benesch 编辑。