撰稿 | 蓝河

编辑 | 图图

在被“木马”侵入之前，特洛伊城拥有铜墙铁壁般的防御，发达的交通、繁荣的商业、富裕的生活，他们已经成功抵御了阿伽门农率领的希腊联军，整整十年潮水般密不透风的进攻，而这个时间，本该在史书上被记录得更久一些。

但一墙之隔的差距，最终酿就了荷马笔下《伊利亚特》中壮美惨烈的“特洛伊木马屠城”。

如果特洛伊国王没有听信希腊间谍的哄骗，将“木马”带回城中，希腊军队秘密潜入的“诡计”便不会成功；如果不是为了让体积巨大的“木马”进入城内而拆毁了一小段城墙，希腊军队也不会这般轻易地赢得最后的战争。

特洛伊城不会被屠戮，财富不会被掠夺一空，繁荣也还将继续延续。

在过去几十年里，传统安全依靠着清晰的边界和建立在边界上稳固的防护，通过防火墙的设置将企业内外阻隔成完全不同的两个世界——任凭墙外危机四伏、战火连天，只要确保网络攻击无法击穿防火墙，企业内部就可以安然无恙。

就像特洛伊战争中，如果不是“木马计”实现了内部的渗透，任由墙外船坚炮利，特洛伊城仍十年巍峨屹立。

但是，随着“移动化”、“云计算”、“万物互联”等新技术新场景的来到与应用，网络安全的“边界”正渐渐走向消亡 ，原本我们通过安全产品垒砌起来的逻辑“城墙”，终将轰然倒塌。

“边界消失” 企业内部“不再信任”

“不再信任”等于“零信任”？

精益信任

深信服“精益信任”：不止是“零信任”

在8月15日举行的“2019深信服创新大会”上，深信服移动安全产品研发总监郭炳良首次揭开了“深信服精益信任”的面纱。

“深信服精益信任”体系首先通过对“人”和“设备”两端的信用评估，在确保其合法性以后，授予访问网络和业务的权利。而后在访问环节对行为、流量和日志进行持续的检测和分析，判断“合法的人”是不是在做“合法的事”，一经发现违规操作，便对信任进行重新评估，进而判断是否剥夺其继续访问的权利。

通过将“信任评估”、“访问授权”和“持续监测”三个环节形成闭环，在对“人”和“设备”身份的初步认证之后，持续性对“风险”和“信任”予以管控。

在终端安全评估方面，“深信服精益信任”体系首先通过客户端或浏览器对访问设备的安全状况进行检测，而后在“零信任”访问控制系统中根据设备所提交的认证和环境信息，判断可能产生的安全风险；最后，控制系统根据反馈的评估结果，按照策略动态地对访问终端进行授权。

对于“人”的身份认证和管理，“深信服精益信任”采用多因素认证的方式，加强认证策略；并在身份生命周期内做好维护和更新，避免用户因重复认证而使得身份认证这一程序变得麻烦与繁琐。

在获取“人”和“设备”两端的信息以后，根据访问者的身份和所使用设备的属性来判断其所处的安全等级，映射到应用服务资源的分级当中，最终确定可以授予的访问和控制权限。

在授予完权限以后，“深信服精益信任”还会对访问者的行为和流量走向进行全局实时的采集与检测，根据行为和流量判断访问者是否有违规操作产生，并划分威胁等级，及时对接访问控制系统，实施调整信任等级、控制接入和访问权限，防止恶性事件的发生。

总的来说，“深信服精益信任”是一种对于“零信任”的延伸。在“零信任”对“人”和“设备”建立了初步信任以后，将信任在后续予以控制，形成基于风险和信任的可持续的、动态的反馈闭环控制，在业务不断产生风险的同时，既不打扰业务，也可以持续通过“信任”来规避风险。

除此以外，像政务云、公安数据中心这类对内对外都要提供访问支持且频繁、复杂的场景，“深信服精益信任”还能够在每一个访问流量中加入身份标识，防止针对应用系统和数据的内外部攻击；同时对身份进行更加精细化、动态化的集中管控和认证，让伪造身份更加困难；

最后，实现端点、边界、内网的自动化联动，让运维更加便捷。

为什么深信服“精益信任”可以落地？

前文说到，国内之所以无法复制Google BeyondCorp的成功，是因为Google BeyondCorp需要对企业的IT部署进行大规模的改造，甚至需要替换大量已经购买的安全产品和设备。

站在用户的角度来看，深信服认为一款产品能够成功实现落地的前提，应该是尽可能利用企业现有的工具、资源和设备，延续此前积累的使用习惯，在不对用户习惯做严重调整的情况下，使其接受一种新的概念，享受新技术带来的效果。

因此，“深信服精益信任”的出发点，就是在满足用户使用习惯和国内安全产品发展形势的前提下，与企业现有安全体系进行结合，从而构建全新的“信任判决”机制。在安全边界渐渐消失的前提下，构筑基于“信任”和“风险”为核心的全新逻辑边界。

就以访问控制为例，如果某一个账号要对业务和系统进行访问，那么就需要验证“人”和“设备”的身份。

在“深信服精益信任”体系里，企业可以通过原有移动设备上的EMM、移动控制终端的插件、PC和服务器上的EDR插件等传统设备，把人和设备的身份信息接入到信任控制中心里，在进行综合性的评估以后，将访问策略下发到网管控制系统里放通。

而在访问过程中，企业还可以结合已有的内网流量检测等设备，对访问过程中所产生的行为、流量以及发生的事件和风险进行持续不断的检测，通过闭环不断生成全新的访问控制策略。

这样一来，整个“深信服精益信任”的体系就包括了内网设备、服务器资源、内网流量检测设备、传统防火墙、身份管控、CA设备以及终端管控等设备的参与，“深信服精益信任”与企业已有的安全体系完美结合，共同实现对信任和风险的评估与管控。

在深信服看来，对于一家企业来说，如果一项新技术的落地需要企业将所有模块重新开发，这是完全不现实也不合理的。因此，深信服通过解耦“精益信任”和业务系统本身的关系，将企业已有的成熟产品，经过开发、升级或是迭代，共同进行接口的统一，让安全人员在不改变习惯的前提下进行一些简单的创新，就可以形成合力，完成整个精益信任的平台和架构。

就好比不同于一位女士需要更换整套服饰和妆容才能够增加美貌与气质，“深信服精益信任”只需要在女士原有穿着的基础上，添置一件丝巾，就可以做到改头换面的修饰。

而对于企业来说，相对于更换一整套行头，一件丝巾的价格，显然便宜与容易了很多。

站在深信服“让IT更简单、更安全、更有价值”的理念来看，一项新技术的产生，一定是会为企业带去价值而不是新的问题。基于“信任”，我们要把对它的验证变得更简单；基于“风险”，我们要把它控制得更加安全。

因此，深信服提出“精益信任”，用一个简单的、高度工程化的产品，替政府、企业，尤其是中小用户解决当前所面临的安全边界消失带来的风险与挑战，替用户控制风险、解决问题。

在对安全趋势和技术的理解上，深信服在全球范围内率先推出IPSec／SSL二合一VPN网关、定义了上网行为管理品类；在国内率先推出下一代防火墙、云安全资源落地。

根据IDC和Frost&Sullivan;的统计结果显示，深信服的硬件VPN、SSL VPN、上网行为管理、下一代防火墙等多款产品，多年来位列市场前茅。同时，深信服检测技术创新还得到了Google认可，并被邀请加入了全球情报联盟VirusTotal；深信服下一代防火墙更是获得国际权威安全检测机构ICSA的认证。

每一次超前的眼光，最终都得到了市场的验证。

所以，我们更有理由相信，即便城墙已经倒塌，“深信服精益信任”却能用一种简单的、快捷的、可落地的方式，重新构建面向未来有效保护的安全边界，让每个用户都可以重新找回“安全感”。