零信任架構的實現可謂“條條大道通羅馬”，但是對于大多數企業來說，“長周期、高成本”是零信任道路最大的障礙，而基于云計算的零信任方案和服務，大大降低了零信任的門檻，提高了部署和回報速度，在充滿不確定性的2021年，從一開始就選擇正確的零信任道路，降低試錯成本，是安全主管們的重點議題之一。本文，我們將解讀云計算如何賦能零信任，并對比四大零信任路線的優劣，希望能對企業網絡安全建設和決策者提供一些參考建議。

　　云計算的本質是資源池共享，通過云服務彈性的資源分配服務，為企業提供與業務運營相匹配的硬件設施和服務資源，具備基礎設施建設成本低、安全能力構建快速、安全運營管理簡化等特性。這一先天特性應對非預期、臨時的、突發的業務具有顯著優勢。新技術賦能云計算也將云服務淬煉的更加成熟，云原生的安全能力發展使云基礎架構更堅固、AI賦能云計算更智慧、邊緣計算使云與用戶距離更接近，SD-WAN讓上云更加便捷。新技術讓云服務的應用變得更加廣泛，成為國家基礎建設的重要組成。

　　疫情如穹廬籠罩四野，居家隔離仍是目前我們應對疫情的最有效方式，業務走出去成為大疫環境下企業新的營運戰略，這促使云計算更快速擴張。疫情擴大了企業遠程訪問的需求，疫情防護常態化讓企業加速資產數字化、業務和服務紛紛上云。新的需求變化導致安全和風險管理也需要一種融合云交付的安全服務來應對安全需求的突變。零信任不再是一個讓企業百感陌生的新名詞，在企業紛紛規劃和構建自己零信任安全網絡的同時，正如Gartner的預測《The Future of Network Security Is in the Cloud》，安全廠家也開始了云上零信任服務戰略的部署。

　　應用遠程訪問的業務特性決定零信任網絡訪問本身就不是一個點或企業內部個體的安全防護，而是基于業務完整性的、與網絡域劃分無關的立體防御。它通過每個訪問連接的可信識別和驗證來避免傳統網絡隧道內默認信任引入的安全風險、業務的訪問安全和服務質量。

　　在《現代企業零信任安全構建應用指南》報告的調研過程中，我們發現不少通過部署云服務提供零信任解決方案的廠商，采訪中也發現一些使用SaaS服務構建自己零信任安全訪問網絡的企業。根據調研和分析，目前零信任云服務主要有以下幾種形式：

　　基于CDN網絡構建零信任訪問網絡服務；

　　基于internet構建端—端的安全訪問服務；

　　基于終端沙盒構建端—端的安全訪問服務；

　　基于虛擬化桌面構建零信任訪問服務。

　　一、基于CDN構建零信任網絡訪問服務

　　CDN本身是基于反向代理原理為應用訪問代理接入請求和響應服務的代理網關。CDN廠商借助部署在廣域網中的分發網絡邊緣連接優勢，在各分發節點上增強零信任訪問控制，可以很方便的為業務提供零信任的安全訪問能力。

　　基于CDN的零信任訪問網絡的優點：

　　利用CDN網絡的廣域連接的優勢，可以幫助企業實現廣域的零信任連接；CDN節點間具有很強的冗余能力，臨近節點的故障，不影響用戶遠程接入；分發節點與企業數據中心分離，某個CDN節點被攻擊失陷不影響業務服務器；分發網絡與安全訪問控制集成，企業不需要再單獨為遠程訪問控制尋找解決方案。

　　適用于面向公眾訪問的應用。

　　二、基于internet構建端-端的安全訪問服務

　　在現有的物理網絡中，通過端到端連接組件的部署，為用戶構建安全訪問連接，零信任服務商接管overlay面設備、策略的維護和管理，如下圖。客戶端配置DNS服務器使URL解析到服務商的控制器，經云端的控制器認證授權后建立業務的訪問連接。

　　該方案是傳統VPN應用的升級，優勢在于將安全延伸到了端，會話不再像VPN一樣擁擠在一條隧道中，釋放了VPN隧道的負載壓力，避免了相互的影響。

　　但從下圖可以看出DP控制器前置，一旦故障或失陷，不但外部訪問中斷，從企業內部進行應用訪問同樣會受牽連。因此，SDP和網關本身的脆弱性、抗D能力、接入性能、單點故障、部署位置都是企業內網安全和業務連續性的重要保障。因此，盡管該方案通過軟件定義邊界為企業解決了資源單包授權和訪問控制，但企業內網的風險管控仍舊顯得非常重要。

　　適用于企業分支互聯和移動終端連接企業內網，是遠程辦公場景的典型應用方案。

　　三、基于終端沙盒構建端-端的安全訪問服務

　　客戶端采用虛擬化部署和微隔離的安全容器/沙箱構建安全域，通過對計算和存儲資源的控制，比如文件IO、進程間通訊等，保證應用運行加載、資源調用、數據存儲都在一個相對獨立的空間內。

　　安全域的網絡配置和可信應用由管理員統一管理，安全域的DNS服務器需要配置零信任服務商的控制器，以保證URL請求時能解析到云端控制器。用戶使用虛擬空間內的應用發起訪問連接，經身份驗證、授權后為訪問建立業務連接。

　　終端的隔離域可以保證數據應用的全過程可控、不被外發、轉儲或者本地留存。

　　適用于設備流動性強且對數據安全要求較高的應用場景。

　　四、基于虛擬化桌面構建零信任訪問服務

　　虛擬桌面也是一種常見的遠程辦公方式，它利用虛擬化技術動態分配vCPU、內存、存儲及網絡資源。在網絡路由可達的情況下，用戶可以使用不同類型終端在任何時間、任何地點訪問云桌面。這個跟WEB VPN有點相似，不同在于客戶端需要安裝企業瀏覽器或插件去訪問云桌面上的應用和服務。

　　優勢在于瀏覽器的兼容性較好，用戶部署簡單，不需要定制化的配置，在應用服務器向虛擬桌面服務器發布的時候不需要太多URL改寫的工作量。

　　缺點在于傳統的虛擬桌面對C/S訪問及PC的訪問兼容做的不是很好，另外在于大量訪問時，虛擬桌面的性能會容易是個瓶頸。

　　較適用企業遠程辦公的應用場景。

　　總結

　　以上幾種典型的零信任云服務中，我們看到零信任與云分發、虛擬化、云桌面等傳統云—邊業務進行了融合，任何一種或多或少都能看到一些傳統安全的影子。

　　云服務短平快的優勢是顯而易見的，它確實可以幫助我們在一定程度上應對緊急的、突發的遠程訪問的安全需求。但缺陷同樣同在，所有的業務都要出內網，這顯然不是對任何企業都適用。

　　企業內網現有的安全風險管理是否可以與第三方的云服務更深入的有機結合從而最大化企業的成本效益、基于云的零信任安全訪問能力的需求及市場的整合是否能幫我們形成一種新的安全架構，仍值得我們進一步探索。