零信任实践举例 蒲公英零信任方案适用于哪些场景？

零信任代表未来安全架构的发展方向，零信任安全核心观点是不自动信任何访问者或设备,任何访问都应该进行认证、授权或者访问控制，以避免内网渗透等安全风险。在本文中，笔者主要从主机领域分析零信任框架的落地与零信任实践。

零信任实践场景1：东西向移动

以近期被肆虐的勒索病毒为例，我们在回溯了多起勒索病毒事件的入侵轨迹后发现，黑客均是先攻击业务系统中安全防御能力较弱的主机，再利用业务系统中主机间的“信任”关系，东西向移动至核心系统，渗透成功后锁定核心业务、窃取数据或者勒索用户，也就说在“默认内网安全”的架构下，无论核心业务系统的安全防御能力多强，只要业务系统中还存在安全薄弱点，都一样可能遭受黑客入侵。
解决主机间东西向移动的零信任架构是微隔离技术，微隔离从2016年开始连续三年入选Gartner 10大安全技术，其本质是基于主机agent的分布式防火墙技术，目标是解决进入云计算时代后安全边界模糊导致的防火墙策略丢失，以应对云计算时代的东西向流量防护。
云锁将微隔离技术衍生为二个模块：流可视化、微隔离（东西向流量防护、南北向流量防护），以实现业务系统主机间的零信任安全框架。
流可视化
流可视化的功能分为两部分：1，业务资产可视化；2，业务资产间访问关系可视化。
下图中图标代表安装agent的主机资产，主机间的线代表访问关系，线的颜色代表访问绿色-合规流量；红色-违规流量（被拦截）；灰色-未设置规则流量；黄色-监控模式流量。
微隔离
微隔离采用白名单机制，可以细粒度控制主机、主机应用间的访问关系。分为两个部分：
1.东西向流量防护
可以基于角色、标签定义主机、主机应用间的细粒度访问控制策略。比如在一个安全域内允许A类主机（如web服务器）去访问B类主机（如数据库），其他类型的主机去访问B类主机将被禁止；或者A类主机的web应用可以去访问B类主机的数据库应用，A类主机的其他应用访问B类主机的数据库应用将被禁止。

1. 南北向流量防护
   主要解决主机非法外连问题，可以定义主机允许访问的特定IP、IP段、域名，不在规则外的访问将被禁止。
   在流可视化和微隔离的访问控制下，实现了主机间访问关系的零信任，内网主机再也无法成为黑客东西向横向移动的“跳板”。

   零信任实践场景2：应用漏洞利用

   微隔离解决了主机与主机间的零信任问题，而主机内部应用间的零信任模型如何建立？应用漏洞利用是黑客常用的攻击手段，在主机内部应用之间的默认“信任”的前提下，利用存在漏洞的应用发起一系列攻击，最终获得服务器权限。
   主机的零信任安全实践
   应对应用漏洞攻击的零信任架构，1，在内核层剥离应用过高权限；2，对在易受攻击应用中注入rasp应用运行时自我防护技术。
   ASVE虚拟化安全域是云锁在内核层的应用权限控制技术，可以将web服务、数据库服务等高权限应用隔离在受限环境，实现主机内部应用“零信任”，可以有效抵御提权等利用应用漏洞的黑客攻击，如限制WEB服务器进程权限，禁止执行cmd.exe等；限制数据库进程权限，禁止创建可执行文件等。
   Rasp应用运行时自我防护
   Rasp(Runtime Application Self Protection)技术不再单纯关注应用漏洞本身，而是将监控与防护移至命令执行、脚本解析等攻击发起点，实现对应用系统的流量、上下文、行为的持续监控。
   Rasp技术的核心思想是默认应用是不可被信任的，应用自身需要具备对抗黑客攻击的能力，解决了应用补丁的滞后性问题，缩短attack free攻击时间差，降低了0day漏洞的安全威胁。
   结束语：
   主机是信息安全的最后一道防线，主机安全也必将成为零信任安全框架落地的重要构成。
   越来越多的企业意识到需要在企业内部和外部生态环境中营造信任。下一代互联网访问，零信任已成必然趋势。国内外踊跃的零信任安全厂商中，不乏有许多已经为终端用户部署落地的案例。下面小编就给大家分析零信任的未来展望。

   蒲公英零信任安全网络访问有哪些应用场景？

   零信任即无边界访问控制，打破传统“内部等于可信任”、“外部等于不可信任”的传统旧安全观念。蒲公英基于SD-WAN延伸出全新的访问边界及安全模型，对于企业数字化转型提供了可扩展性和易用性。
   蒲公英零信任架构通过对访问身份权限的动态管控，持续进行信任评估和动态访问控制，实现最终业务安全访问。优势如下：
   建立基于应用的安全边界，打破传统基于防火墙的网络边界，建立基于应用的更细粒度的访问策略管理；
   建立基于身份的接入验证，身份权限动态管控，所有成员身份无差别信任与验证；
   建立基于安全的数据保护，终端数据、应用分级隔离，企业数据通过加密隧道传输。
   蒲公英零信任安全网络访问应用场景：
   远程移动办公。随着远程办公及移动办公越来越普及，外部访问量激增，而企业访问边界的模糊化和访问设备的可信度管控缺失，导致企业数据安全面临较大挑战。但大部分企业基于已有的网络架构无法瞬时改变，这时蒲公英基于SD-WAN的零信任安全访问就能快速接入，重建企业网络访问边界，加强网络安全；
   助力数字化转型。随着物联网、5G时代的到来，企业数字化转型已成为必然的趋势，这种情况下，业务平台及员工身份属性的多样化将越来越强烈。零信任在此基础下可重塑信任体系及访问策略，有效内外访问成员的安全属性进行监控；
   
   通过本文介绍的零信任实践场景，我们了解到，零信任可以应用于整个计算架构的各个方面，提倡对于所有身份进行授权访问，并动态监控授权身份的访问行为，所有账号无差别信任与认证，保障网络安全访问，同时可以极大的提高企业在数字化转型过程中的抗安全风险能力。