“從來(lái)不是遠(yuǎn)程辦公淘汰了(le)現(xiàn)場(chǎng)辦公，而是高效代替了(le)低(dī)效。”各行各業數字化(huà)轉型，追求的必然是更高效的工作(zuò)方式，由此催熱了(le)“零信任”的概念。

各安全廠商(shāng)百家争鳴，演進了(le)多條技術路(lù)線（SDP、IAM、MSG 等），以期用零信任架構，護航用戶遠(yuǎn)程辦公的安全接入。

然而，大部分(fēn)用戶仍舊認為(wèi)零信任的落地難度和演進方向都是不明确的：

● 對于還在觀望的用戶來(lái)說(shuō)，停留于一(yī)個(gè)固有觀念：“零信任隻能(néng)解決遠(yuǎn)程辦公的安全問題”，零信任不就(jiù)是“更安全一(yī)點”的VPN嗎(ma)？

● 對于已經初步入局的用戶，同樣也(yě)存在疑惑：落地遠(yuǎn)程辦公場(chǎng)景後，下(xià)一(yī)步要怎麽辦？

面對您的疑問，深信服零信任決定來(lái)一(yī)次全面解讀。

過去我們通過不同類型的安全設備來(lái)進行訪問控制，包括防火(huǒ)牆、交換機、路(lù)由器(qì)、SSL VPN 等。

經過多年的發展，傳統的訪問控制機制開始暴露出諸多弊端，主要有兩個(gè)方面:

1.在傳統身(shēn)份認證機制下(xià)，先授權網絡連接和訪問，再進行身(shēn)份認證，導緻業務(wù)對外暴露。

2.基于 IP/MAC/VLAN 設置 ACL，難以與真實用戶進行關(guān)聯；身(shēn)份與權限對應靜态且粗放(fàng)，難以做到細粒度權限管控。

當我們進一(yī)步剖析，上(shàng)述問題的本質都是“主體(tǐ)到客體(tǐ)的訪問控制存在着安全風(fēng)險”。

在南(nán)北向訪問中，過去通過 SSL VPN 實現(xiàn)遠(yuǎn)程安全接入，但(dàn)SSL VPN 在安全性/大并發等方面的能(néng)力，越來(lái)越難以滿足數字化(huà)轉型趨勢下(xià)的用戶需求。

而零信任聚焦業務(wù)安全接入，從身(shēn)份、終端、連接、權限、數據和行為(wèi)等不同維度，幫助用戶安全訪問業務(wù)，構築了(le)基于端到端多維度信任評估的訪問控制鏈條。

區别于以傳統的 IP/MAC/VLAN 等方式判定網絡邊界，零信任基于身(shēn)份構建更細粒度的網絡邊界，讓業務(wù)的訪問方式和信任判定方式更加完善和全面。

理(lǐ)解了(le)這(zhè)一(yī)點，我們就(jiù)能(néng)達成一(yī)個(gè)共識：零信任所聚焦的建設範圍實際上(shàng)是用戶的整個(gè)辦公網絡，而不僅僅是遠(yuǎn)程接入場(chǎng)景。

舉個(gè)例子(zǐ)來(lái)說(shuō)，SSL VPN 和零信任，好(hǎo)(hǎo)比是計算(suàn)器(qì)和計算(suàn)機，二者都做數據運算(suàn)，但(dàn)計算(suàn)器(qì)隻能(néng)做加減乘除，而計算(suàn)機有着更多的擴展空間(jiān)，不論是能(néng)力擴展，還是場(chǎng)景擴展，都會存在差異，且随着後續的發展，差異也(yě)會越來(lái)越大。

引入一(yī)套新(xīn)的技術架構，勢必猶如(rú)平地一(yī)聲雷，給原有的網絡架構帶來(lái)沖擊。

站(zhàn)在助力用戶領先一(yī)步落地的視(shì)角，過去我們提出“以零信任替換 VPN”，從遠(yuǎn)程辦公場(chǎng)景切入，既是考慮到用戶需求的緊迫性、對業務(wù)影響範圍較小，也(yě)考慮了(le)實際落地難度。這(zhè)也(yě)已經成為(wèi)當前業界的共識。

然而，遠(yuǎn)程辦公零信任落地後，我們還在思考：用戶可能(néng)還存在着哪些(xiē)問題？這(zhè)些(xiē)問題可以通過零信任架構解決麽？

在整體(tǐ)網絡架構中，遠(yuǎn)程辦公隻是一(yī)個(gè)相對獨立的場(chǎng)景，用戶的業務(wù)訪問方式沒有發生(shēng)質的改變，依舊是先連接、後認證。一(yī)旦攻擊者突破邊界，整個(gè)内網将完全暴露。無論是攻防演練所暴露出的問題，還是真實世界中發生(shēng)的網絡安全事(shì)件，都在不斷警示着我們：大部分(fēn)安全事(shì)件的源頭都來(lái)自于内部。

大部分(fēn)用戶很重視(shì)從外到内的安全接入，但(dàn)内部業務(wù)訪問邏輯卻相對簡單，且接入方式複雜多樣，包括網絡準入、雲桌面 VDI、PC 等，不僅需要來(lái)回切換，還引入了(le)多套身(shēn)份體(tǐ)系，增加了(le)安全風(fēng)險。同時(shí)，伴随着企業數字化(huà)轉型，業務(wù)部署方式發生(shēng)變化(huà)，多機房(fáng)、混合雲的環境使得傳統的 SSL VPN 難以滿足用戶随時(shí)随地的接入訪問需求。

多套安全接入産品，勢必會造成不同設備訪問策略管理(lǐ)的複雜度持續上(shàng)升，需要投入更多的人(rén)力和時(shí)間(jiān)成本，違背企業“降本增效”的經營邏輯。

相信以上(shàng)問題，諸多用戶都有共鳴。如(rú)何解決，才是關(guān)鍵。

為(wèi)了(le)給廣大用戶提供更合理(lǐ)可行的解決方案，深信服以自身(shēn)進行驗證，在短短一(yī)年時(shí)間(jiān)内，完成了(le)集團内部零信任建設，實現(xiàn)基于零信任架構的内外網統一(yī)接入（點擊跳(tiào)轉：深信服零信任的0号樣闆點）。無論用戶身(shēn)處何種網絡，隻有通過零信任的安全認證和訪問代理(lǐ)，才能(néng)訪問後端業務(wù)。

去年，我們也(yě)開始幫助用戶逐步向更廣泛的場(chǎng)景進發：分(fēn)支接入、開發測試、安全運維、内外網統一(yī)接入等，在各行各業打造典型案例，成為(wèi)國内零信任落地數量第1、單客戶百萬并發規模的網絡安全廠商(shāng)。（點擊跳(tiào)轉：落地數量第1，深信服零信任獲中國信通院“最受行業歡迎廠商(shāng)”）

如(rú)今，越來(lái)越多的用戶已經将零信任取代了(le)傳統的 SSL VPN，并且享受到了(le)零信任所帶來(lái)的安全效益，因此我們為(wèi)用戶提供的切實建議(yì)是：

基于訪問主體(tǐ)和客體(tǐ)，統一(yī)規劃，在平穩完成遠(yuǎn)程辦公場(chǎng)景零信任建設後，可以逐步切換到分(fēn)支接入、特權訪問、辦公内網等場(chǎng)景的零信任建設，逐步解決上(shàng)述問題。

值得關(guān)注的是，作(zuò)為(wèi)網絡安全體(tǐ)系中信任評估和訪問控制的全局性框架，零信任架構的演進性和生(shēng)長性是關(guān)鍵，需要随着業務(wù)範圍的擴展，進行靈活、快(kuài)速、低(dī)成本的适配。

零信任架構并非單個(gè)産品就(jiù)能(néng)完全實現(xiàn)的，基于大量用戶實踐的探索，深信服能(néng)夠為(wèi)用戶提供不同組合的搭建方案：

提供“5A+S級”Workspace辦公體(tǐ)驗，構建融合多種不同安全級别應用的數字化(huà)工作(zuò)平台，在同一(yī)工作(zuò)平台中實現(xiàn)不同密級應用的一(yī)站(zhàn)式訪問，為(wèi)辦公安全與體(tǐ)驗上(shàng)一(yī)份“雙重保險”。

綜合虛拟網絡域、辦公空間(jiān)、透明加解密、數據導出/外發管控、内存拷貝管控、屏幕水印等技術，實現(xiàn)終端數據洩密防護。