再说零信任

什么是零信任？

2010年，由著名研究机构Forrester的首席分析师John Kindervag最早提出了零信任(Zero Trust)的概念，并由Google在BeyondCorp项目中率先得到了应用，很好的解决了边界安全理念难以应对的安全问题。

我们的网络无时无刻不处于危险的环境中，网络位置不足以决定网络的可信程度，在安全区域边界外的用户默认是不可信的（不安全的），所有设备、用户和网络流量都应当经过认证和授权，遵循最小权限原则，确保所有的访问主体、资源、通信链路出于最安全的状态。

零信任与传统边界安全理念

传统网络理念

传统网络边界安全防护理念基本可以分为纵深防御和东西向防御，在内网又划分办公区、DMZ区、测试区、外联区等等，每个区域按照不同安全等级划分安全区域，区域间通过防火墙、网闸等网络设备进行安全隔离，从而形成了网络安全边界，实现对各个安全区域的安全防护。

通过防火墙、IPS等设备组建的安全防护体系默认是边界以外是不可信的，而边界内部则默认是可信的

1608354230_5fdd89b68dee7043894be.png!small?1608354230893

零信任理念

传统安全防护体系在一定程度可以防御外部攻击，但伴随着网络攻击日益增多，攻击手段层出不穷的情况，这种体系就无法更好地抵御更高强度的攻击场景。零信任网络旨在解决信任问题，假定用户、终端、资源都是不可信的，通过层层动态的安全校验，从用户端到后台服务器建立起一条信任链，实现资源的安全访问，防止非信任带来的安全问题。

1608354352_5fdd8a309e772da1c4947.png!small?1608354352991

相对于传统边界网络，对零信任架构来说网络位置已经不重要，因为用户每一次对资源访问的请求都需要经过一系列的信任校验和建立。

两种概念对比

综上所述，两种安全防护体系都有各自的显著的优缺点，比如传统安全网络结构简单，零信任网络架构复杂，下表是两者间的优缺点对比

1608354394_5fdd8a5aeda1c33b58017.png!small?1608354395235

零信任架构

业内尚没有统一的零信任架构标准，比较熟知的架构有SDP软件定义网络和NIST提出的零信任体系架构，基于这两种架构，业界根据实践经验，总结出一个较为通用的零信任架构。

1608354428_5fdd8a7ca8b32555b0ea6.png!small?1608354428973

在用户对资源访问模式的零信任实现方案中，涉及的核心元素有：

用户：访问的主体，即真实用户在网络中的身份映射

终端：发起访问用的设备，系统环境软硬件及发起访问的可执行程序代码

资源：最终要访问和获取的客体，通常是内网的应用系统

链路：终端访问服务器的网络通道、网络链路

该架构中的主要功能组件和承载功能如下：

1) 零信任终端agent，主要功能如下：

a)采集终端数据：用于检查终端的安全基线，是否满足对资源访问的安全状态

b)与终端建立授信关系：将终端标记为授信终端，建立绑定关系

2) 零信任代理，暴露在外部提供服务的介质，主要功能如下

a) 转发：对用户发起的请求进行认证授权转发，对已正确的请求进行资源访问转发

b)拦截：对禁止访问的请求进行拦截阻断，拦截不可信的网络流量

3)零信任控制中心，主要功能如下：

a)认证：对用户、终端身份进行认证和授权

b)持续访问控制：访问控制策略，动态安全检测，动态防护响应

应用场景

1. 远程办公

2020年因为疫情的关系，各大公司员工开启了远程办公，在这种情况下也会带来一系列的安全风险，对此远程办公需求进一步地推动了零信任理念的发展。从远程办公的业务需求上来看，主要有以下业务场景：

普通办公需求：主要需求是访问公司的OA、知识系统、邮件以及IM等

运维需求：运维工程师通过远程登录运维管理平台，对操作系统、服务器进行远程维护等

开发需求：远程访问代码仓库、构建开发环境

传统VPN远程访问系统的情况下，存在的问题有：

1)无法判断访问主体终端的安全性，一旦有病毒，有作为跳板机攻击企业内网的风险

2)无法进行精细化、动态化的权限控制

针对以上问题，在零信任远程办公方案中，零信任网关暴露在外网而内部资产被隐藏，通过可信身份、可信设备、可信应用、可信链路，建立信任链的方式来访问资源，确保安全地访问企业资源。

2. 多分支结构

具有一定规模的公司，员工分布在全国/全球各地的分公司或办事处，他们都有访问集团内部资源的需求，有些企业不一定购买价格高昂的运营商专线到集团内网，若通过VPN访问则存在安全性不足，网络不稳定等问题。

1608354478_5fdd8aae51313a84e3ae5.png!small?1608354478608

使用了零信任网络架构设计不再区分内网、专线、VPN等接入方式，通过将访问流量统一接入零信任代理、零信任访问控制与保护引擎(零信任安全控制中心)，实现在任意网络环境下的内部资源访问。

企业通常会遇到系统权限滥用，平行越权、垂直越权等问题，通过零信任则可以根据集团的组织架构设置员工角色访问策略，对访问的业务系统进行权限细粒度授权，不可越界。保障访问人员身份、设备、链路安全的同时，用户权限也会得到有效控制。

零信任落地

零信任属于比较新的安全理念，因此在业内真正落地的案例屈指可数，国内外的安全厂商的解决方案也是参差不齐，无论是自研还是和第三方厂商合作，在落地零信任落地时都要根据自身业务系统建设阶段、人员和设备管理情况、现有网络环境、企业网络安全威胁、现有安全机制、预算情况、安全团队人员能力等因素综合考虑。

在实施过程中，应该考虑以下因素：

1）有专门的安全团队和人员牵头和推进实施。

2）制定零信任的安全目标，可分为终极目标和阶段性目标。

3）业务部门的充分理解和配合

4）梳理现有网络环境，明确范围，制定实施方案

5）确保业务连续性，做好回滚方案

以上环节中，重中之重无疑是实施了，在实施规划中，需要做好以下几点：

对接业务系统列表。包括业务系统名称及其责任人，优先级，访问地址，测试范围

上线基础环境。涵盖每个阶段实施的内容，完成时间点及目标，域名，通配符域名授信证书、IP规划、IAM对接手册等等。

设备清单。包含设备配置步骤，零信任代理网关，控制中心环境，为了避免遇到性能问题，尽可能使用硬件设备。

网络拓扑。包含实施前后拓扑，将接入零信任后的数据流程图梳理清楚，方便后期维护与管理。

人员分工。明确参与人员的工作，并为每个实施环节准备checklist，确保每一步实施是清晰地，可控的。

风险评估。为每一个环节做一个风险评估，如何降低风险，出现问题后该如何应对，结合企业内部的业务连续性流程进行制定相关的

题外话

初入计算机行业的人或者大学计算机相关专业毕业生，很多因缺少实战经验，就业处处碰壁。下面我们来看两组数据：

2023届全国高校毕业生预计达到1158万人，就业形势严峻；
国家网络安全宣传周公布的数据显示，到2027年我国网络安全人员缺口将达327万。

一方面是每年应届毕业生就业形势严峻，一方面是网络安全人才百万缺口。

6月9日，麦可思研究2023年版就业蓝皮书（包括《2023年中国本科生就业报告》《2023年中国高职生就业报告》）正式发布。

2022届大学毕业生月收入较高的前10个专业

本科计算机类、高职自动化类专业月收入较高。2022届本科计算机类、高职自动化类专业月收入分别为6863元、5339元。其中，本科计算机类专业起薪与2021届基本持平，高职自动化类月收入增长明显，2022届反超铁道运输类专业（5295元）排在第一位。

具体看专业，2022届本科月收入较高的专业是信息安全（7579元）。对比2018届，电子科学与技术、自动化等与人工智能相关的本科专业表现不俗，较五年前起薪涨幅均达到了19%。数据科学与大数据技术虽是近年新增专业但表现亮眼，已跻身2022届本科毕业生毕业半年后月收入较高专业前三。五年前唯一进入本科高薪榜前10的人文社科类专业——法语已退出前10之列。

“没有网络安全就没有国家安全”。当前，网络安全已被提升到国家战略的高度，成为影响国家安全、社会稳定至关重要的因素之一。

网络安全行业特点

1、就业薪资非常高，涨薪快 2021年猎聘网发布网络安全行业就业薪资行业最高人均33.77万！

2、人才缺口大，就业机会多

2019年9月18日《中华人民共和国中央人民政府》官方网站发表：我国网络空间安全人才需求140万人，而全国各大学校每年培养的人员不到1.5W人。猎聘网《2021年上半年网络安全报告》预测2027年网安人才需求300W，现在从事网络安全行业的从业人员只有10W人。

行业发展空间大，岗位非常多

网络安全行业产业以来，随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…

职业增值潜力大

网络安全专业具有很强的技术特性，尤其是掌握工作中的核心网络架构、安全技术，在职业发展上具有不可替代的竞争优势。

随着个人能力的不断提升，所从事工作的职业价值也会随着自身经验的丰富以及项目运作的成熟，升值空间一路看涨，这也是为什么受大家欢迎的主要原因。

从某种程度来讲，在网络安全领域，跟医生职业一样，越老越吃香，因为技术愈加成熟，自然工作会受到重视，升职加薪则是水到渠成之事。