目前，大量零信任设备连接成为常态,安全策略必须与时俱进。整合零信任等安全概念可能是保护这些远程工作环境的关键部分，这些环境通常包括企业笔记本电脑、BYOD(Bring Your Own Device,指携带自己的设备办公)设备和家庭网络设备。今天小编就来一次性讲透一下零信任设备相关问题。

什么是零信任？

零信任提供了一系列概念和思想，在假定网络环境已经被攻陷的前提下，当执行信息系统和服务中的每次访问请求时，降低其决策准确度的不确定性。零信任架构（ZTA）则是一种企业网络安全的规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。零信任设备

举例

大灰狼看到三只小猪，就像黑产看到了企业可窃取的巨大利益，大灰狼（黑产）通过各种手段来攻破房子（企业业务系统），进而吃掉三只小猪（窃取利益）。三只小猪的房子坚固度，就像是企业的安全防护手段。现实中，企业会在房子外面增加围栏、门锁、防盗门等措施加固房子，防止房子被屋里破坏。而黑产可以通过收买“坏猪”来打开房门，还可以伪装成“猪妈妈”进入房子。
如果三只小猪懂“零信任”，他们可以通过判断谁是“坏猪”，识破冒牌“猪妈妈”来保护自己，防止大灰狼进入房子；当然即便大灰狼通过很好的伪装进入房子，也可以通过不间断分析监督，在不同的风险程度时，采取不同的处置手段，若风险程度较高，便可直接驱逐来断绝风险。
房子是他们的安全边界，攻破了房子就会被吃掉。数字时代下的云计算、物联网等新兴技术的快速发展，企业传统的以网络作为边界安全的架构正在逐渐失效，而不以边界为信任条件，以“人”为核心的零信任安全更符合当下企业的业务安全需求。

零信任的发展

从2004年

耶利哥论坛提出去边界化安全理念

到2010年

“零信任支付”John kindervag提出零信任网络模型概念，2019年CSA大中华区SDP工作组，发布行业相关标准白皮书和实践指南
至2020年
方案在多行业落地，并陆续推出零信任相关标准，零信任安全正在快速普及应用，将成为企业IT安全建设的必然选择。
零信任即永不信任，始终验证。默认情况下不信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。

蒲公英零信任安全网络访问有哪些应用场景？

零信任即无边界访问控制，打破传统“内部等于可信任”、“外部等于不可信任”的传统旧安全观念。蒲公英基于SD-WAN延伸出全新的访问边界及安全模型，对于企业数字化转型提供了可扩展性和易用性。
蒲公英零信任架构通过对访问身份权限的动态管控，持续进行信任评估和动态访问控制，实现最终业务安全访问。优势如下：
建立基于应用的安全边界，打破传统基于防火墙的网络边界，建立基于应用的更细粒度的访问策略管理；
建立基于身份的接入验证，身份权限动态管控，所有成员身份无差别信任与验证；
建立基于安全的数据保护，终端数据、应用分级隔离，企业数据通过加密隧道传输。
蒲公英零信任安全网络访问应用场景：
远程移动办公。随着远程办公及移动办公越来越普及，外部访问量激增，而企业访问边界的模糊化和访问设备的可信度管控缺失，导致企业数据安全面临较大挑战。但大部分企业基于已有的网络架构无法瞬时改变，这时蒲公英基于SD-WAN的零信任安全访问就能快速接入，重建企业网络访问边界，加强网络安全；
助力数字化转型。随着物联网、5G时代的到来，企业数字化转型已成为必然的趋势，这种情况下，业务平台及员工身份属性的多样化将越来越强烈。零信任在此基础下可重塑信任体系及访问策略，有效内外访问成员的安全属性进行监控。
现在大部分企业的业务部署选择混合云的方式，内网数据外网访问难，外网数据安全保障难已成为大多企业的难题。以蒲公英为代表的零信任设备提倡对于所有身份进行授权访问，并动态监控授权身份的访问行为，所有账号无差别信任与认证，保障网络安全访问。

随着零信任网络的发展，它已经从一个安全理念变为互联网安全的共识，能在网络动态连接过程中提供安全、稳定的防护。零信任会对每一个申请网络连接的用户进行审核，其中就包括设备，尤其是智能联网设备。下文中详细介绍了如何部署零信任设备？蒲公英如何实现零信任安全网络访问？

如何部署零信任设备？

零信任要求从用户开始落实安全性，但有趣的是，这里的用户不仅仅指传统意义上的用户。近年来不断兴起的物联网（IoT）、操作技术（OT）和智能联网设备为网络和企业带来了巨大的网络安全威胁，于是安全架构人员不得不重新审视身份的概念。从本质上而言，每个联网对象都有一个身份，并且必须包含在零信任框架内，因此这里的用户应该还包括设备、虚拟基础设施和云资产。
要真正掌握设备身份，不仅需要识别 IP 地址、厂商和型号，更需要对设备的业务环境和潜在风险了如指掌，而这就是准确的态势感知发挥重要作用的地方。
先来看一类常见的 IoT 设备——联网摄像头。即便是同一台摄像头，执行的功能也截然不同，可以是视频监控，也可以是视频会议。在金融服务行业，摄像头主要用于交易过程中监控客户，或内置于 ATM 中扫描支票存款。这些摄像头的每一个视频输入都需要与不同的数据中心应用和云服务共享通信路径。因此，设备身份和情境是零信任安全中非常重要的概念。
为企业网络建立零信任框架还需要深入了解网络上的所有 IoT 和 OT 系统，从而做出基于情境的分段决策，以在不过度影响可用性的情况下降低业务风险。企业在网络中实施零信任时需要考虑以下几点：
1）将零信任的实施范围扩展到用户之外，包括设备。
2）对 IoT 和 OT 设备使用无代理设备可视化和持续网络监控，基于代理的安全方法不适用 IoT 和 OT 设备。
3）了解访问企业网络的所有设备身份，包括设备的业务环境、流量和资源依赖关系。
4）使用细分实现零信任原则，并满足风险管理用例：
控制并持续监控用户和设备的访问以保护关键业务应用
对关键的 IT 和 OT 设备设置特权访问
将企业的 IoT 和 OT 设备划分在适当的区域以减少攻击面
包含易受攻击的设备和遗留的业务应用/操作系统，不能在单独的区域内打补丁或脱机，以减少攻击面

蒲公英如何实现零信任安全网络访问？

针对越来越广泛的“零信任”网络安全策略需求，贝锐旗下蒲公英SD-WAN推出了零信任安全网络访问解决方案。 贝锐旗下蒲公英异地智能组网是基于SD-WAN智能组网方案，通过组建异地虚拟局域网，实现异地局域网内电脑、手机、服务器的互联互通，为个人及企业用户提供远程办公支持。
无法回到公司值班的人员，企业可统筹在家办公，通过在总部服务器及远端员工的PC或手机安装蒲公英软件，员工在家也可轻松连接至企业内部，实现异地办公，达到助力企业高效协作运转和减少人群聚集的效果。
蒲公英零信任安全体系能实现业务安全访问，主要通过对访问身份权限的动态管控，对访问成员持续进行信任评估和动态的访问控制，来自网络上的未授权访问、网络攻击、爬虫都将被直接拒绝。
日常生活中，需要用到零信任的场景越来越广泛，蒲公英也在自己的安全体系中加入了零信任网络，减少传统信任模式造成的安全威胁，使用蒲公英路由器进行异地组网，更加适用于线上办公，能为用户提供一个安全的网络办公环境。