(资料图片)

前言：网络是现代企业数字基础设施的核心。零信任理念致力于构建一个以身份（而非网络）为中心的网络安全架构，引发了企业网络安全架构的变革。在零信任体系化能力建设中，“网络”承载并连接了其他的安全能力支柱，是实现零信任安全框架的关键。

然而，复杂多样的网络环境为实施零信任带来了前所未有的挑战，任何网络相关能力建设的风险都将严重阻碍零信任战略的推进，因此，将“网络”支柱的成熟度建设放在零信任实施计划的后期是大多数企业的选择。本文主要从网络相关的零信任安全能力建设入手，讨论网络分段与微隔离、流量管理与检视、通信加密和网络可用性保护等问题。关键字：零信任；微隔离；网络弹性；加密

一

零信任网络安全

零信任架构使传统基于边界的安全方法发生了改变，在向零信任迁移的过程中，网络扮演着一个非常独特的角色。一方面，“网络”从安全活动的焦点转变为相互关联的支柱领域之一，失去了在传统以网络为中心的安全框架中的主导地位。另一方面，网络是零信任架构的重要支撑，是连接零信任其他所有支柱的方式和通道。

因此，IT和安全团队需要重新审视“网络”在零信任安全框架中的角色和地位。在企业架构中，应用程序并非孤立存在，它运行在数据中心和云中，可能包含多个需要相互协调的分布式组件和功能。但在所有情况下，应用程序需要通过网络来访问资源，而用户也需要网络来访问应用程序和数据。在零信任体系化安全能力中，“网络”是一个开放的通信媒介和通道，包括传统的基础网络通道（例如，内部网络、无线网络和互联网）和信息通道（例如，用于传输信息的网络隧道和应用层通道等）。企业网络跨越了多种基础设施环境和连接，包括：● 传统的本地设施、服务器和应用程序；● 随时移动、接入的移动设备；● 访问公司资源的外部用户（例如，供应商、客户等）;● 基于云的系统（IaaS、PaaS和SaaS）;● 部署于特定环境的、计算能力有限的IoT设备;● 内容分发网络（CDN）。复杂环境中没有真正的边界。网络复杂性一直是传统边界安全面临的主要挑战，而传统网络安全控制措施（例如，防火墙、网络分段、NAC和IDS等）也存在各种难以避免的缺点，主要包括：● 网络分段和NAC存在沉重的运维负担，并且可能因引入专有数据报格式，导致厂商依赖和锁定；● 防火墙因价格昂贵且管理复杂，只能在有限的网络边界或DMZ上使用，以实现价值最大化；● 网络数据采集和集中分析极具挑战性，涉及专有数据格式、有限可见性等问题；