“從(cóng)來不是遠(yuǎn)程辦公淘汰了現場辦公，而是高(gāo)效代替了低(dī)效。”各行各業(yè)數字化轉型，追求的必然是更高(gāo)效的工(gōng)作方式，由此催熱了“零信任”的概念。

各安全廠商百家争鳴，演進了多(duō)條技(jì)術(shù)路(lù)線（SDP、IAM、MSG 等），以期用零信任架構，護航用戶遠(yuǎn)程辦公的安全接入。

然而，大部分用戶仍舊(jiù)認為(wèi)零信任的落地難度和演進方向都是不明确的：

● 對于還(hái)在觀望的用戶來說，停留于一(yī)個(gè)固有觀念：“零信任隻能(néng)解決遠(yuǎn)程辦公的安全問題”，零信任不就(jiù)是“更安全一(yī)點”的VPN嗎(ma)？

● 對于已經初步入局的用戶，同樣也存在疑惑：落地遠(yuǎn)程辦公場景後，下(xià)一(yī)步要怎麽辦？

面對您的疑問，深信服零信任決定來一(yī)次全面解讀(dú)。

過去我們通(tōng)過不同類型的安全設備來進行訪問控制，包括防火牆、交換機(jī)、路(lù)由器(qì)、SSL VPN 等。

經過多(duō)年(nián)的發展，傳統的訪問控制機(jī)制開(kāi)始暴露出諸多(duō)弊端，主要有兩個(gè)方面:

1.在傳統身份認證機(jī)制下(xià)，先授權網絡連接和訪問，再進行身份認證，導緻業(yè)務對外暴露。

2.基于 IP/MAC/VLAN 設置 ACL，難以與真實用戶進行關聯；身份與權限對應靜(jìng)态且粗放(fàng)，難以做到(dào)細粒度權限管控。

當我們進一(yī)步剖析，上(shàng)述問題的本質都是“主體到(dào)客體的訪問控制存在著(zhe)安全風險”。

在南(nán)北(běi)向訪問中，過去通(tōng)過 SSL VPN 實現遠(yuǎn)程安全接入，但SSL VPN 在安全性/大并發等方面的能(néng)力，越來越難以滿足數字化轉型趨勢下(xià)的用戶需求。

而零信任聚焦業(yè)務安全接入，從(cóng)身份、終端、連接、權限、數據和行為(wèi)等不同維度，幫助用戶安全訪問業(yè)務，構築了基于端到(dào)端多(duō)維度信任評估的訪問控制鏈條。

區别于以傳統的 IP/MAC/VLAN 等方式判定網絡邊界，零信任基于身份構建更細粒度的網絡邊界，讓業(yè)務的訪問方式和信任判定方式更加完善和全面。

理解了這一(yī)點，我們就(jiù)能(néng)達成一(yī)個(gè)共識：零信任所聚焦的建設範圍實際上(shàng)是用戶的整個(gè)辦公網絡，而不僅僅是遠(yuǎn)程接入場景。

舉個(gè)例子來說，SSL VPN 和零信任，好比是計算(suàn)器(qì)和計算(suàn)機(jī)，二者都做數據運算(suàn)，但計算(suàn)器(qì)隻能(néng)做加減乘除，而計算(suàn)機(jī)有著(zhe)更多(duō)的擴展空間，不論是能(néng)力擴展，還(hái)是場景擴展，都會(huì)存在差異，且随著(zhe)後續的發展，差異也會(huì)越來越大。

引入一(yī)套新的技(jì)術(shù)架構，勢必猶如平地一(yī)聲雷，給原有的網絡架構帶來沖擊。

站在助力用戶領先一(yī)步落地的視角，過去我們提出“以零信任替換 VPN”，從(cóng)遠(yuǎn)程辦公場景切入，既是考慮到(dào)用戶需求的緊迫性、對業(yè)務影響範圍較小(xiǎo)，也考慮了實際落地難度。這也已經成為(wèi)當前業(yè)界的共識。

然而，遠(yuǎn)程辦公零信任落地後，我們還(hái)在思考：用戶可能(néng)還(hái)存在著(zhe)哪些問題？這些問題可以通(tōng)過零信任架構解決麽？

在整體網絡架構中，遠(yuǎn)程辦公隻是一(yī)個(gè)相(xiàng)對獨立的場景，用戶的業(yè)務訪問方式沒有發生(shēng)質的改變，依舊(jiù)是先連接、後認證。一(yī)旦攻擊者突破邊界，整個(gè)内網将完全暴露。無論是攻防演練所暴露出的問題，還(hái)是真實世界中發生(shēng)的網絡安全事(shì)件(jiàn)，都在不斷警示著(zhe)我們：大部分安全事(shì)件(jiàn)的源頭都來自(zì)于内部。

大部分用戶很重視從(cóng)外到(dào)内的安全接入，但内部業(yè)務訪問邏輯卻相(xiàng)對簡單，且接入方式複雜(zá)多(duō)樣，包括網絡準入、雲桌面 VDI、PC 等，不僅需要來回切換，還(hái)引入了多(duō)套身份體系，增加了安全風險。同時，伴随著(zhe)企業(yè)數字化轉型，業(yè)務部署方式發生(shēng)變化，多(duō)機(jī)房、混合雲的環境使得傳統的 SSL VPN 難以滿足用戶随時随地的接入訪問需求。

多(duō)套安全接入産品，勢必會(huì)造成不同設備訪問策略管理的複雜(zá)度持續上(shàng)升，需要投入更多(duō)的人力和時間成本，違背企業(yè)“降本增效”的經營邏輯。

相(xiàng)信以上(shàng)問題，諸多(duō)用戶都有共鳴。如何解決，才是關鍵。

為(wèi)了給廣大用戶提供更合理可行的解決方案，深信服以自(zì)身進行驗證，在短短一(yī)年(nián)時間内，完成了集團内部零信任建設，實現基于零信任架構的内外網統一(yī)接入（點擊跳轉：深信服零信任的0号樣闆點）。無論用戶身處何種網絡，隻有通(tōng)過零信任的安全認證和訪問代理，才能(néng)訪問後端業(yè)務。

去年(nián)，我們也開(kāi)始幫助用戶逐步向更廣泛的場景進發：分支接入、開(kāi)發測試、安全運維、内外網統一(yī)接入等，在各行各業(yè)打造典型案例，成為(wèi)國(guó)内零信任落地數量第1、單客戶百萬并發規模的網絡安全廠商。（點擊跳轉：落地數量第1，深信服零信任獲中國(guó)信通(tōng)院“最受行業(yè)歡迎廠商”）

如今，越來越多(duō)的用戶已經将零信任取代了傳統的 SSL VPN，并且享受到(dào)了零信任所帶來的安全效益，因此我們為(wèi)用戶提供的切實建議是：

基于訪問主體和客體，統一(yī)規劃，在平穩完成遠(yuǎn)程辦公場景零信任建設後，可以逐步切換到(dào)分支接入、特權訪問、辦公内網等場景的零信任建設，逐步解決上(shàng)述問題。

值得關注的是，作為(wèi)網絡安全體系中信任評估和訪問控制的全局性框架，零信任架構的演進性和生(shēng)長(cháng)性是關鍵，需要随著(zhe)業(yè)務範圍的擴展，進行靈活、快速、低(dī)成本的适配。

零信任架構并非單個(gè)産品就(jiù)能(néng)完全實現的，基于大量用戶實踐的探索，深信服能(néng)夠為(wèi)用戶提供不同組合的搭建方案：

提供“5A+S級”Workspace辦公體驗，構建融合多(duō)種不同安全級别應用的數字化工(gōng)作平台，在同一(yī)工(gōng)作平台中實現不同密級應用的一(yī)站式訪問，為(wèi)辦公安全與體驗上(shàng)一(yī)份“雙重保險”。

綜合虛拟網絡域、辦公空間、透明加解密、數據導出/外發管控、内存拷貝管控、屏幕水(shuǐ)印等技(jì)術(shù)，實現終端數據洩密防護。