7月27~29日以“网络安全需要新战法，网络安全需要新框架”为主题的第九届互联网安全大会（ISC 2021）在北京国家会议中心盛大开幕。大会第三日，“零信任与6A论坛”如期举办，蔷薇灵动受邀参与并作题为《零信任的理想国》演讲。

零信任是近年来最为火热的安全理念，受到了产业界和用户的大力追捧，6A则是零信任落地所需的具体能力细分。本次论坛以“零信任与6A”为主题，内容既涉及理念剖析，也深入实操落地，成为本届大会最受关注的论坛之一。

以下是蔷薇灵动代表演讲的主要观点分享。

传统网络安全策略以物理边界为核心，采用静态策略进行访问控制，其基本假设是网络是静态的，网络内的每一个实体都有其固定的业务属性。然而，随着基础设施架构巨变及网络威胁环境持续恶化，原有的平衡正在被打破，网络世界正因快速熵增而失去秩序。

云计算、物联网、移动办公等新技术的普遍运用，使得访问两侧飘忽不定。以云内工作负载间的流量访控场景为例，云计算的运用使得东西向流量剧增，但云内的东西向流量无法被准确洞察，这就失去了进一步对其进行管理的基础。即便每个工作负载都部署了主机防火墙技术，但由于其静态策略难以跟上云内工作负载频繁的漂移、克隆、扩展、关闭，使得安全策略难以持续生效。同时，云内工作负载间访控计算复杂度，将随着工作负载数量的增加呈指数级增长，更易造成管理混乱。这些现实案例都是造成当前网络熵增的因素。

此外，安全对抗是永无止境的，无论是被动防护还是积极防御手段，都是在跟着威胁的节奏而行进，防御者永远难以预知攻击下一次来临时的情形，因此必须假设敌已在内，边界已不可信。

网络世界的种种混乱，体现在不可预知、不可理解和不可控制，亟需重建新的秩序。

重建网络秩序，应将安全控制与基础设施解耦，安全策略面向业务制定，零信任则提供了这样的能力。

零信任本质上是面向业务（而非网络）进行全要素纳管和细粒度控制，ID则承担了标定网络实体业务角色的任务。因此，零信任从逻辑上可以理解为一张构建于物理网络之上的管理网络，其控制平面与数据平面分离，控制平面的策略决策点（PDP）负责基于ID计算策略，并将其翻译为数据层面能够理解的网络语言，进而由数据平面的策略执行点（PDP）实现连接的阻断与放行。

零信任本身并不是一种更高超的安全对抗技术，而是提供了一套方法。以数据中心零信任场景为例，工作负载资产的身份基于其承载的业务、所处的环境、所在的位置等业务属性而标定，安全策略则基于业务逻辑而制定。

面向业务的安全策略控制不再是“虚机A”到“虚机B”的连接，而是某种业务的工作负载（如“北京公有云中心 - 测试环境 - 电商业务 – Web应用”）到某种业务工作负载（如“上海私有云中心 – 生产环境 – 支付业务 – DB应用”）的访问。由于有了业务属性，网络中所有的连接都是可理解的，而无论虚机怎么变化，基于业务属性和逻辑的安全策略总是可以以不变应万变，并实现最细粒度的访问控制。

概括而言，在无边界的网络中构建边界，在零信任的网路中重建信任，相对攻防对抗模式，零信任是一种更加能够形成闭环并取得成功的方法论。

IAM、SDP、微隔离被称作零信任的“三驾马车”，IAM回答网络中有什么、能干什么的问题，SDP决定外部的流量是否可以访问内部，而微隔离则实现网络内部间互访的零信任控制。

需要指出，微隔离技术作为工作负载的“口罩”，必须具备几个特性。首先，口罩必须容易佩戴，否则难以推广，微隔离技术则需具有较低的部署难度及成本。其次，口罩必须很轻，不会让佩戴者产生不适，否则难以坚持佩戴，微隔离技术则必须保证不会对工作负载原本的稳定运行及安全可靠造成影响。第三，口罩作为用量超大的防护用品，需要具备较为经济的价格。

上述三者是实现零信任的三大核心结构性要求，也是“狭义零信任”的最小能力集合，而零信任理念作为一套技术框架，也有其更为广义的内涵。

本届论坛提了“6A”的概念，即Account & Subject、Application & Object、Authentication、Authorization、Access Control、Auditing，其实是对零信任实现过程的逻辑分解。

再引用美国国防部《零信任参考架构》中的零信任能力支柱来看，其包括了用户、设备、网络/环境、应用及工作负载、数据、可视化与分析、自动化与编排7大关键能力，这些能力则可贯穿于6A的全过程。

从更高的维度概括而言，零信任的核心能力将始终围绕全业务可视化分析与全业务访问控制构建。因此，上述能力的构建，才是真正由混沌世界通向理想国的天梯。

当前，零信任仍处于由技术理念、产品概念向方案落地的早期阶段，也是市场上各类产品百家争鸣、百花齐放的时期，产品标准化、接口开放化则是零信任真正走向落地、产生价值所亟待改善之处。因此，产业界应尽快打破藩篱、抹去鸿沟，利用生态力量打造完整的零信任能力，重建网络新秩序。