毫無疑問，隨著新技術(shù)的廣泛應(yīng)用，不僅推動了各個行業(yè)的數(shù)字化轉(zhuǎn)型，同時更帶來了諸多安全隱患和挑戰(zhàn)，特別是過去幾年發(fā)生的外部APT攻擊和內(nèi)部違規(guī)導(dǎo)致的大規(guī)模數(shù)據(jù)泄露等惡性安全事件層出不窮，這也讓越來越多的企業(yè)意識到，傳統(tǒng)的邊界防護手段存在很多局限性，已無法滿足新形勢下的網(wǎng)絡(luò)安全需求。

　　背后的關(guān)鍵原因在于：隨著網(wǎng)絡(luò)邊緣的不斷擴展以及涵蓋云和本地等混合網(wǎng)絡(luò)環(huán)境的廣泛部署，企業(yè)網(wǎng)絡(luò)架構(gòu)日趨復(fù)雜。與此同時，企業(yè)依然面臨孤立運行的安全產(chǎn)品和工具無法協(xié)同工作的嚴(yán)峻挑戰(zhàn)；此外，新型技術(shù)及應(yīng)用為網(wǎng)絡(luò)攻擊提供新的攻擊載體，攻擊實施更加靈活、過程更加隱蔽、技術(shù)更加智能，此外整個攻擊橫跨越網(wǎng)絡(luò)、應(yīng)用程序、內(nèi)容和設(shè)備，威脅檢測和溯源難度增大；不僅如此，數(shù)字化轉(zhuǎn)型已經(jīng)成為各行業(yè)的發(fā)展趨勢，數(shù)據(jù)共享和流通將成為企業(yè)“剛性”業(yè)務(wù)需求，原來相互隔離的業(yè)務(wù)網(wǎng)絡(luò)將打破安全邊界走向融合，安全管控難度與泄密風(fēng)險進一步擴大。

　　在此背景之下，基于“永不信任，持續(xù)驗證”理念的零信任架構(gòu)，開始成為了企業(yè)構(gòu)建當(dāng)下網(wǎng)絡(luò)安全防護體系的新理念和新架構(gòu)。但也要看到，零信任體系的建立不可能是“一蹴而就”的，從零信任的規(guī)劃到落地仍不可避免地面臨一系列問題。

　　也正因此，企業(yè)在選擇和部署零信任架構(gòu)的過程中，借助伙伴生態(tài)力量，選擇具備清晰的產(chǎn)品戰(zhàn)略、成熟的零信任解決方案以及深厚企業(yè)服務(wù)經(jīng)驗的合作伙伴，最大化降低在技術(shù)選擇和決策方面的風(fēng)險，持續(xù)提升網(wǎng)絡(luò)安全和零信任成熟度就變得至關(guān)重要。

　　四個維度入手構(gòu)建防御層

　　客觀地說，零信任理念和架構(gòu)是十分美好的。但與此同時，也要看到大量的企業(yè)客戶在過去已經(jīng)建立了以縱深防御為主的安全防護體系，有的甚至已經(jīng)完成了立體跨區(qū)域和多層級的安全防護體系。因此，零信任架構(gòu)要在這樣的體系中落地，往往要面對“顛覆”性安全架構(gòu)和“重建”安全體系的工作，很多過往的安全防護體系甚至要面臨“推倒重來”的困擾，以至于落地零信任成為一件“傷筋動骨”的過程。那么，如何才能更好地化解這一全新的挑戰(zhàn)，持續(xù)提升企業(yè)的網(wǎng)絡(luò)安全和零信任成熟度呢？

　　在這方面，作為在“零信任”架構(gòu)領(lǐng)域驗證和實踐了多年的公司，戴爾科技集團在零信任架構(gòu)方面的能力可以說已經(jīng)發(fā)展得相當(dāng)?shù)耐暾槍@一問題，戴爾科技集團認(rèn)為企業(yè)需要從四個維度入手構(gòu)建防御層，實現(xiàn)零信任架構(gòu)的落地，幫助企業(yè)安全穩(wěn)定地加速向數(shù)字化轉(zhuǎn)型。

　　一是，減少受攻擊面是建立強有力的網(wǎng)絡(luò)安全保障的基本要素。在Gartner年初發(fā)布的《2022年安全和風(fēng)險管理趨勢報告》中，就預(yù)測了七大網(wǎng)絡(luò)安全趨勢，其中最先被提及的就是攻擊面管理，主要原因是隨著混合辦公的普及，物聯(lián)網(wǎng)的廣泛使用、開源代碼、SaaS應(yīng)用程序、云應(yīng)用、數(shù)字供應(yīng)鏈、社交媒體等引發(fā)的風(fēng)險，使得企業(yè)受攻擊的暴露面正在日益不斷擴大。

　　因此，如何“堵住”惡意攻擊者能夠利用的潛在漏洞和入口點就變得十分的迫切。針對此，企業(yè)就必須盡可能減少各個領(lǐng)域（包括邊緣、核心和云）的受攻擊面。這就需要實施預(yù)防性措施，例如全面的網(wǎng)絡(luò)分段、關(guān)鍵數(shù)據(jù)隔離、實施嚴(yán)格的訪問控制，以及定期更新和修補系統(tǒng)和應(yīng)用程序。此外，企業(yè)還應(yīng)該進行全面的漏洞評估和滲透測試，以找出潛在的薄弱環(huán)節(jié)并加以彌補。通過減少受攻擊面，企業(yè)可以顯著減少網(wǎng)絡(luò)威脅的潛在利用途徑。

　　二是，檢測和應(yīng)對網(wǎng)絡(luò)威脅對于保持強有力的安全態(tài)勢同樣至關(guān)重要。目前，傳統(tǒng)安全措施已不足以應(yīng)對復(fù)雜的威脅，因此企業(yè)可以利用先進的威脅檢測技術(shù)和方法來識別和應(yīng)對已知和未知威脅。

　　這其中，就包括實施強大的入侵檢測和防御系統(tǒng)，利用人工智能和機器學(xué)習(xí)算法進行異常檢測，以及建立對網(wǎng)絡(luò)流量和用戶行為的實時監(jiān)視。此外，隨著當(dāng)下的安全建設(shè)也呈現(xiàn)“常態(tài)化、體系化、實戰(zhàn)化”的特征，因此借助專業(yè)的安全運營團隊去分析處置各種問題也成為了新的趨勢。更重要的是，與專業(yè)的合作伙伴深入合作，還可以為企業(yè)帶去威脅情報、事件響應(yīng)和安全運營方面的專業(yè)知識，從而增強企業(yè)檢測和應(yīng)對網(wǎng)絡(luò)威脅的能力。

　　三是，保持網(wǎng)絡(luò)彈性也是企業(yè)在網(wǎng)絡(luò)安全管理中必須具備的能力。特別是在網(wǎng)絡(luò)攻擊事件發(fā)生后，及時地恢復(fù)系統(tǒng)、網(wǎng)絡(luò)和數(shù)據(jù)，及早恢復(fù)正常運營對于企業(yè)保持持續(xù)穩(wěn)定變得十分關(guān)鍵。

　　為此，企業(yè)也需要制定明確的事件響應(yīng)計劃并開展協(xié)作。一方面，企業(yè)應(yīng)提前制定事件響應(yīng)規(guī)程，在其中概述角色和職責(zé)，并確保內(nèi)部團隊、專業(yè)服務(wù)提供商和合作伙伴之間進行無縫溝通和協(xié)調(diào)；另一方面，定期備份關(guān)鍵數(shù)據(jù)和系統(tǒng)，同時采用安全的異地存儲解決方案和數(shù)據(jù)加密，也可以促進快速恢復(fù)并更大限度地減少數(shù)據(jù)丟失。同樣，在此過程中，專業(yè)服務(wù)提供商也可以在事件響應(yīng)和恢復(fù)方面提供指導(dǎo)和支持，幫助企業(yè)恢復(fù)運營并減輕網(wǎng)絡(luò)攻擊的影響。

　　四是，隨著網(wǎng)絡(luò)從核心擴展到邊緣，再到云端，各種環(huán)境已成為關(guān)鍵的漏洞點，因此企業(yè)也必須將網(wǎng)絡(luò)安全的防護重點擴展到邊緣、核心和云環(huán)境。可以看到，隨著分布式網(wǎng)絡(luò)的擴散，邊緣已成為一個關(guān)鍵的薄弱點。因此，企業(yè)也應(yīng)該在邊緣實施零信任原則，確保嚴(yán)格實施訪問控制，持續(xù)進行身份驗證，以及全面了解和控制網(wǎng)絡(luò)流量。

　　同樣，核心網(wǎng)絡(luò)和云環(huán)境也需要采取強有力的安全措施，例如網(wǎng)絡(luò)分段、加密和持續(xù)監(jiān)視。在此過程中，與專注于邊緣、核心和云安全性的專業(yè)服務(wù)提供商和業(yè)務(wù)合作伙伴協(xié)作，同樣也可以為企業(yè)提供必要的專業(yè)知識，以便在這些領(lǐng)域?qū)嵤┯行У陌踩胧?br />
　　由此可見，增強網(wǎng)絡(luò)安全并提高零信任成熟度對于應(yīng)對不斷變化的網(wǎng)絡(luò)威脅環(huán)境已是大勢所趨，而從四個維度入手構(gòu)建防御層體系，讓企業(yè)建立起全面的安全態(tài)勢，持續(xù)推動零信任架構(gòu)的落地，才能夠最大化地防范不斷變化的網(wǎng)絡(luò)威脅。

　　三個方面強化端點安全性

　　除此之外，端點安全性也是企業(yè)零信任轉(zhuǎn)型的重要組成部分。事實上，當(dāng)下終端已經(jīng)成為現(xiàn)代企業(yè)風(fēng)險的中心。從用戶到設(shè)備，從業(yè)務(wù)應(yīng)用程序到云工作負(fù)載，每種類型的企業(yè)數(shù)據(jù)都會流經(jīng)端點。更大的難題在于，隨著遠(yuǎn)程工作的加快和大量物聯(lián)網(wǎng)設(shè)備連接到企業(yè)網(wǎng)絡(luò)，監(jiān)控每個端點的安全性和可見性變得極具挑戰(zhàn)性。

　　根據(jù)普華永道和Statista的調(diào)查，2022年優(yōu)先級最高的十大企業(yè)網(wǎng)絡(luò)安全投資中，端點安全排名第二。數(shù)據(jù)也顯示，云基礎(chǔ)設(shè)施、ActiveDirectory、勒索軟件、Web應(yīng)用程序、漏洞利用和分布式拒絕服務(wù)（DDOS）攻擊在過去一段時間內(nèi)也急劇激增。

　　而利用零信任的策略和架構(gòu)，則可以最大化的強化端點的安全性。根據(jù)MITREATT&CK框架，當(dāng)前，不法分子會使用九種“初始訪問技術(shù)”來進入企業(yè)網(wǎng)絡(luò)。

　　研究也表明，在基于云的環(huán)境中，傳統(tǒng)的防御措施無法保證端點的安全。攻擊者只需要一個進入端點，其威脅行為體就可以在設(shè)備的整個生命周期內(nèi)利用許多漏洞展開攻擊，更可怕的是，隨著網(wǎng)絡(luò)中設(shè)備數(shù)量的增加，端點就變成了越來越大的攻擊載體。

　　而零信任模式中的安全策略，則詳盡地定義了“已知良好的行為”，這意味著其他所有行為都會被阻止。之后，威脅管理會監(jiān)視任何偏離已知良好行為的情況，并標(biāo)記反常行為，同時觸發(fā)相應(yīng)的操作來防范潛在威脅，由此更好地強化了端點的安全性。

　　同樣在這方面，戴爾科技集團也提出了三點建議，希望最大化地幫助企業(yè)強化端點安全性，具體來看：

　　首先，企業(yè)需要建立正確的策略和控制來支持業(yè)務(wù)的優(yōu)先事項。毫無疑問，任何企業(yè)用于保障安全的預(yù)算都是有限的，因此企業(yè)首先要確定的是公司的關(guān)鍵業(yè)務(wù)優(yōu)先事項。如企業(yè)需要保護的最關(guān)鍵資產(chǎn)和數(shù)據(jù)是什么，這樣企業(yè)才能“有的放矢”地根據(jù)可承受的風(fēng)險評估攻擊面，并確定出適合企業(yè)自身的安全保護策略。

　　其次，企業(yè)可以借助在設(shè)計和開發(fā)時就充分考慮到安全性的設(shè)備以加強防御。這其中包括了兩個方面，端點設(shè)備是否基于硬件和固件提供保護，并且能夠提供可見性？此外，端點設(shè)備的供應(yīng)鏈?zhǔn)欠竦玫搅吮Ｗo并且具有完整性控制？換句話說，企業(yè)未來可以考察合作的端點設(shè)備供應(yīng)商是否滿足以下兩個條件：其一是否采用了安全實踐；其二從采購到制造再到交付，企業(yè)可以全程驗證設(shè)備的完整性。

　　最后，企業(yè)還需要努力實現(xiàn)整個生態(tài)系統(tǒng)的無縫集成和互操作性。要實現(xiàn)有效的安全態(tài)勢，則需要從以下三個關(guān)鍵方面入手，包括集成整個IT生態(tài)系統(tǒng)的所有防御；實時可見性；有能力在需要時采取措施等等。

　　不難看出，任何一方面的短板都會給組織造成巨大的損失。因此，企業(yè)在零信任安全建設(shè)中，只有進一步提升端點安全的防護能力，才能確保整體建設(shè)目標(biāo)的實現(xiàn)。目前傳統(tǒng)端點安全技術(shù)由于面臨全面性、兼容性、智能化等應(yīng)用挑戰(zhàn)，正在被新的防護需求與理念重新定義，而企業(yè)應(yīng)該根據(jù)零信任框架要求和最小化訪問授權(quán)原則，推動新一代端點安全的能力建設(shè)與應(yīng)用優(yōu)化，才能最大化強化端點安全性。

　　選擇合適伙伴構(gòu)建安全體系

　　據(jù)Gartner調(diào)查顯示，“75%的企業(yè)組織正積極尋求安全供應(yīng)商的全面整合”。該調(diào)查還指出，“運營效率低下以及無法有效應(yīng)對異構(gòu)安全架構(gòu)的集成挑戰(zhàn)，令安全和風(fēng)險管理領(lǐng)導(dǎo)者的擔(dān)憂持續(xù)升溫。用戶亟待部署更高效和全面集成的解決方案，而非孤立運行的單點安全產(chǎn)品。”

　　從這個角度來看，作為全球領(lǐng)先的技術(shù)提供商以及數(shù)據(jù)保護領(lǐng)域的專家，戴爾科技集團很早就基于“零信任”架構(gòu)，打造出了全新的安全整體解決方案，并沉淀了一套完整的零信任安全方法論，能夠幫助企業(yè)客戶更好地實現(xiàn)“保護數(shù)據(jù)和系統(tǒng)、增強網(wǎng)絡(luò)彈性和降低安全措施復(fù)雜性”，在企業(yè)提升網(wǎng)絡(luò)安全和零信任成熟度的過程中，可以發(fā)揮出更大的力量和價值。

　　第一，戴爾科技為企業(yè)提供了一整套的網(wǎng)絡(luò)安全方法，包括與風(fēng)險保持一致的數(shù)據(jù)保護和恢復(fù)；先進的檢測和響應(yīng)平臺；技術(shù)與流程自動化；業(yè)務(wù)連續(xù)性和事件響應(yīng)計劃；與業(yè)務(wù)需求相一致的網(wǎng)絡(luò)恢復(fù)；以及擁有業(yè)界廣泛認(rèn)證的安全專家，能夠彌補企業(yè)在安全方面技術(shù)人員的缺乏，幫助企業(yè)設(shè)計安全戰(zhàn)略、彌補資源缺口，希望由此讓企業(yè)的業(yè)務(wù)需求和IT流程保持一致，以提高整個組織的業(yè)務(wù)彈性。在此基礎(chǔ)上，戴爾科技還圍繞企業(yè)最為關(guān)注的三個方面，即保護數(shù)據(jù)和系統(tǒng)、提升網(wǎng)絡(luò)彈性以及降低安全措施復(fù)雜性打造出了完整的解決方案，希望能夠更好的幫助企業(yè)強化現(xiàn)代化安全能力，筑牢現(xiàn)代化數(shù)據(jù)安全“防線”。

　　第二，零信任更是成為了戴爾科技集團基礎(chǔ)架構(gòu)端到端生命周期“不可或缺”的一部分。比如，在設(shè)計和開發(fā)之初，戴爾科技安全開發(fā)生命周期（SDL）就優(yōu)先考慮網(wǎng)絡(luò)彈性和零信任，從功能構(gòu)思到設(shè)計再到生產(chǎn)和維護，都要確保能夠為企業(yè)提供的基礎(chǔ)架構(gòu)能成為其彈性基礎(chǔ)的保障；同樣，在制造和交付環(huán)節(jié)，戴爾科技“供應(yīng)鏈保證計劃”也實施了在實體、人員和網(wǎng)絡(luò)安全領(lǐng)域的“零信任”保障措施，以最大化確保彈性制造和交付的過程。

　　此外，在部署和維護方面，戴爾科技也通過安全控制、自動化、遙測和全面的管理工具，通過跨硬件和固件的強大安全層實現(xiàn)“零信任”的部署；更為關(guān)鍵的是，戴爾科技的“零信任”策略也會一直延續(xù)到項目或者產(chǎn)品生命周期的結(jié)束，最終通過擦除所有系統(tǒng)數(shù)據(jù)來避免機密數(shù)據(jù)泄露或濫用，從而使系統(tǒng)能夠安全地退出生產(chǎn)。

　　第三，針對端點安全，戴爾科技也通過“DellTrustedWorkspace”幫助企業(yè)構(gòu)建零信任就緒型IT環(huán)境保護端點。借助戴爾特有的全面硬件和軟件保護產(chǎn)品組合，減小攻擊面，同時戴爾科技也通過將內(nèi)置的保護與持續(xù)的警戒功能相結(jié)合來幫助企業(yè)最大化的抵抗威脅。

　　總的來看，面對安全挑戰(zhàn)的“新常態(tài)”，目前傳統(tǒng)的、被動安全防御體系已經(jīng)根本無法抵御日益頻繁的網(wǎng)絡(luò)攻擊，企業(yè)需要重新審視傳統(tǒng)網(wǎng)絡(luò)安全的思想、方法、技術(shù)和體系，才能構(gòu)筑全面防護的主動安全體系，而在此過程中，戴爾科技集團不僅在零信任領(lǐng)域沉淀了多年，能夠提供業(yè)界最全的零信任架構(gòu)和關(guān)鍵技術(shù)，將安全能力融入云、網(wǎng)、邊、端和業(yè)務(wù)系統(tǒng)，并始終從業(yè)務(wù)系統(tǒng)的視角解決安全問題，幫助企業(yè)能夠最大化地應(yīng)對日益復(fù)雜并不斷變化的攻擊，并通過保證業(yè)務(wù)的韌性來應(yīng)對傳統(tǒng)安全邊界的消失和網(wǎng)絡(luò)邊緣不斷擴展的難題，相信也將會在企業(yè)未來提升網(wǎng)絡(luò)安全和零信任成熟度方面貢獻(xiàn)出更多的價值。