当零信任和云安全组起CP，如何架构来强防护安全体系？

万物互联时代，现代企业如果仅依靠本地安全防护体系，从物理边界部署安全策略，很难预见内部安全隐患。面对多终端安全漏洞，网络攻击者会采取窃取身份凭证等手段，不断威胁企业安全体系。当下，企业安全往往面临如下痛点：

• 企业决策者如何兼顾安全防护与稳定服务；
• 如何在安全防护领域，实现降本增效；
• 云时代，如何防护上云企业的 IT 设备、员工信息；
• IT 部门重复性工作繁重，如何实现自动化运维。

进击的零信任

当传统以边界为核心的安全防护体系遭遇瓶颈，零信任、原生云安全等理念随之兴起，为企业建设新一代安全体系提供了指引。2021年可信云大会上，“零信任”便被纳入到中国信通院云计算与大数据研究所正式发布的“2021云计算十大关键词”之中。简而言之，零信任（Zero-Trust）是一种理念而非具体技术。这种安全理念，不再区分内外网，而是需要在不可信网络中构建基于身份动态的可信访问安全体系。

当下，零信任与原生云安全正处于不断融合态势。在研发阶段，越来越多的企业开始以零信任原则设计应用系统，云服务或云上应用来实现原生零信任，由此大幅提升安全能力；在运营阶段，零信任作为云安全产品不断原生化，零信任从私有化部署向 SaaS 服务演进，能够应对海量访问请求，同时微隔离作为零信任关键技术，对云内东西向流量进行访问控制，弥补传统安全防护机制在云环境应用的不足。

整体而言，架构企业安全体系，从来不是独角戏，无法依靠某一个专属团队完成。这需要商业/技术领导层、架构师和技术经理以及实施团队的通力合作。以微软为例，表现为以下三个方面：

• 微软架构零信任模型时，自上而下的流程依次为确保数字化转型、业务和安全集成、制定安全策略程序、部署架构和策略以及在技术层面上的规划与实施；
• 微软体系下的零信任架构组件：安全运营中心、云服务保护、设备管理、混合云架构安全、loT 及 OT 安全架构、信息保护、身份管理、人员安全；
• 微软架构零信任模型四大阶段：核对身份、核对设备、核对访问、核对服务。

微软的硬实力

应对持续变化的网络安全风险，微软长期关注零信任领域发展变革，并进行深入探索实践。即将上线的微软 IT 直播间，会针对微软 IT 管理、微软企业安全经验下的优选实践进行分享。整体而言，微软在安全领域沉淀如下优势：

• 基于网络安全参考架构(MCRA)，微软利用各类安全服务、安全产品与微软智能云矩阵平台，保障全球150多个国家、30多万员工、64万台设备每时每刻的安全访问；微软将90%+业务应用安全迁移上云，将完整的本地体验从微软云传输到个人任何设备，随时随地进行高效办公和团队协作，让 IT 部署更灵活，开展业务更便捷。
• 微软目前已经将零信任安全模型践行于公司内部，让零信任安全战略贯穿于组织的架构、技术选型、运营流程以及组织的整体文化和员工的思维方式。在持续零信任实践过程中，微软基于“永不信任，始终验证”的理念，提出了自己零信任原则：进行显式验证、授予最小特权访问、假定违规。
• 为保证企业短期安全需求与长期安全战略间的统一性，微软为有序推进“零信任”系统工程实践，微软提出零信任成熟度模型，将其划分为传统、中期、理想3重阶段，并开发了零信任评估工具来助力客户确定在零信任实施过程中所处的阶段，并针对零信任的关键节点提供下一步实施计划和部署指南。实施部署过程中，微软建议企业从身份、设备、应用程序、数据、基础结构和网络这6要素进行推进完善，进而持续加固企业的安全防护体系。
• 微软基于自身数字化转型经验，从理论到实践提供 Azure 迁移支持，从人力、规划和过程、技术3方面提出了整体实践方案。组织人力层面上，宜自上而下推动文化变革、建立完备的迁移中心，确保利益相关者参与以及提供学习途径与认证；规划和过程中，设置规划迁移策略，小处着手跟踪迁移并优化云支持；技术布局上，将网络标识扩展至 Azure 以建立强大的安全基础，并提供不断发展的工作负载管理方法以及迁移工具。

---

了解更多有关零信任及微软 IT 优选实践内容，即刻扫码，锁定直播。