【深信服 杨志刚】从局部到全局，深信服内部全面零信任实践.pdf

【深信服 杨志刚】从局部到全局，深信服内部全面零信任实践的讲解，揭示了网络安全领域的一项重要理念——零信任安全模型。该模型旨在应对传统网络安全架构在面对日益复杂的威胁和快速变化的业务环境时的局限性。 零信任安全的核心在于不再假设网络内部是可信的，而是要求所有用户、设备和资源在访问时都需要经过验证和授权。这一理念源于对网络安全现状的深刻反思，包括传统的分区分域策略存在的问题，如ACL（访问控制列表）的腐化、权限管理的混乱以及边界管理的困难等。 在深信服的实践中，零信任项目的背景和痛点主要包括：业务发展带来的网络复杂性增加，使得ACL的管理变得困难，策略逐渐腐化；同时，随着人员的流动，权限回收不及时，存在安全隐患。此外，信息化和数字化转型加剧了这些问题，导致边界模糊、权限混乱、数据扩散和应用漏洞频发。 为解决这些问题，深信服采取了五步法落地零信任，即深入学习零信任理论、研究相关白皮书、开展讨论会、设定明确的实施期限，并最终进行实际部署。在实践中，他们首先通过最小化部署，逐步引入零信任组件，如控制中心、代理网关和身份中心，与现有的身份管理系统对接，并发布资源。例如，他们将OA报销系统作为试点，实现用户在内外网无感知访问，同时通过安全策略确保只有安装aTrust客户端的用户才能访问，从而提高便利性和安全性。 通过这种方式，深信服实现了大部分人机匹配，访问行为可审计，权限回收加快，资源边界明确，有效缓解了报销系统暴露带来的漏洞风险。这种从局部到全局的零信任实践，展示了如何在企业内部逐步推进安全策略的升级，以适应不断变化的业务需求和网络安全挑战。 总结来说，零信任安全模型是应对当前网络安全挑战的一种创新解决方案，它强调的是动态、细粒度的访问控制和持续的监控，而不是依赖静态的网络边界。深信服的实践案例提供了宝贵的参考，为企业构建更加安全、灵活的网络环境提供了切实可行的路径。