1.零信任安全简介

云计算、大数据、物联网和移动互联网时代，网络安全边界逐渐瓦解，内外部威胁愈演愈烈，传统的边界安全难以应对，零信任安全应运而生。

零信任安全代表了新一代网络安全防护理念，并非指某种单一的安全技术或产品，其目标是为了降低资源访问过程中的安全风险，防止在未经授权情况下的资源访问，其关键是打破信任和网络位置的默认绑定关系。

图1、NIST零信任安全框架图

在零信任安全理念下，网络位置不再决定访问权限，在访问被允许之前，所有访问主体都需要经过身份认证和授权。身份认证不再仅仅针对用户，还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认证，并且在访问过程中可以根据需要，多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等传统静态访问控制模型，而是通过持续的安全监测和信任评估，进行动态、细粒度的授权。

2.零信任成功应用于IT安全

图2、IT数据中心的南北向和东西向流量

零信任安全架构已经成功地应用到IT安全领域，成功解决了IT数据中心南北向和东西向安全防护的痛点。当前零信任的落地技术主要有三个：软件定义边界（SoftwareDefinedPerimeter，简称SDP）、身份识别与访问管理（IdentityandAccessManagement，简称IAM）和微隔离（MicroSegmentation，简称MSG）。SDP和IAM的技术结合，解决了企业远程安全办公、远程安全运维和远程安全研发的网络安全和数据安全问题，也解决了数据中心南北向网络隐身、身份认证和访问控制的难题。MSG技术，解决了数据中心东西向流量可视化、访问控制和策略自适应的难题。

表1、国外零信任SaaS的典型企业

SDP是由国际云安全联盟CSA于年提出的基于零信任理念的新一代网络安全技术架构。SDP以预认证和预授权作为它的两个基本支柱。通过在单数据包到达目标服务器之前对用户和设备进行身份验证和授权，SDP可以在网络层上执行最小权限原则，可以显著地缩小攻击面。

图3、基于SDP的南北向安全防护

SDP架构由客户端、安全网关和控制中心三个主要组件组成。客户端和安全网关之间的连接是通过控制中心与安全控制通道的信息交互来管理的。该结构使得控制平面与数据平面保持分离，以便实现完全可扩展的安全系统。此外，SDP架构的所有组件都可以集群部署，用于扩容或提高系统稳定运行时间。

微隔离的概念最早由VMware在发布NSX产品时正式提出。从年开始，微隔离项目连续3年被评为全球十大安全项目之一，并在年的《HypeCycleforThreat-FacingTechnologies》（威胁应对技术成熟度曲线）中首次超过下一代防火墙（NGFW）。

图4、微隔离技术的领先者illumio产品的东西向流量可视化

微隔离是在数据中心和云平台中以创建安全区域的方式，隔离工作流，并对其进行单独保护，目的是让网络安全更具粒度化。微隔离是一种能够识别和管理数据中心与云平台内部流量的隔离技术。对于微隔离，其核心是对全部东西向流量的可视化识别与访问控制。微隔离是一种典型的软件定义安全结构。它的策略是由一个统一的计算平台来计算的，而且需要根据虚拟化环境的变化，做实时的自适应策略重算。

当前比较流行的SDP和微隔离技术，均是典型的软件定义安全的技术。以零信任技术为核心的安全产品，正在越来越多地应用到IT安全的各个领域。

3.零信任是否适用于OT安全？

零信任安全架构在IT安全领域取得成功后，是否适用于OT安全？在回答这个问题之前，我们先分析下国内外OT安全的当前现状和新探索。

3.1、国内OT安全现状及思考

国内的OT安全市场当前以白名单理念为主，产品和解决方案主要围绕等保2.0，以“一个中心、三重防御”为思路，产品主要包括：工控主机卫士、工业防火墙、工业网闸、工业监测审计系统、统一安全管理平台等。在国内，零信任安全架构尚未应用到OT安全领域，假设在白名单产品的基础上应用零信任安全架构，安全产品将获得哪些提升？下表将探讨零信任安全架构如何应用于OT安全产品。

表2、零信任安全架构应用于OT安全产品的思考

3.2、国外OT安全现状及新探索

国外的OT安全市场当前百家争鸣，包括但不限于：专注白名单的工业防火墙，专注物理上单向传输的工业网闸，专注工业流量全面可视化的下一代防火墙，基于零信任架构的工控安全解决方案等。

表3、国外OT安全的典型企业和产品

3.2.1、思科零信任OT解决方案

本文重点

转载请注明:http://www.aideyishus.com/lkjg/1651.html