軟件定義邊界安全模型的基礎(chǔ)，正是“零信任（Zero-Trust）”原則，業(yè)界也稱之為“零信任網(wǎng)絡”或“無邊界網(wǎng)絡”。

　　早在2010年，時任Forrester首席分析師的John Kindervag創(chuàng)建了零信任架構(gòu)。Google在2013年開始向零信任架構(gòu)轉(zhuǎn)型，帶動這種新安全架構(gòu)流行，逐漸成為主流。Forrester認為，三年內(nèi)，零信任將成為網(wǎng)絡安全領(lǐng)域最流行的框架之一。

　　所謂“零信任”你的網(wǎng)絡，就是說，企業(yè)不應自動信任內(nèi)部或外部的任何人/事/物。這種安全概念認為，應在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人/事/物進行驗證。

　　簡言之，零信任的策略就是不相信任何人，“不放過一個壞人”。除非網(wǎng)絡明確知道接入者的身份，否則任誰都別想進入。什么IP地址、主機之類的，不知道用戶身份或者不清楚授權(quán)途徑的，統(tǒng)統(tǒng)不放進來。用戶的訪問權(quán)限將不再受到地理位置的影響，但不同用戶將因自身權(quán)限級別的不同，擁有不同的訪問資源。同時，過去從外網(wǎng)登陸內(nèi)網(wǎng)所需的VPN也將被一道廢棄。

　　2017 RSA大會上，基于零信任架構(gòu)準則，Google闡述了其“BeyondCorp”安全觀：

　　簡單說，就是無邊界設計、上下文感知和動態(tài)訪問控制三大指導原則。

　　隨著網(wǎng)絡攻擊不斷進化，變得更加復雜高端，防護企業(yè)系統(tǒng)及數(shù)據(jù)安全的壓力越來越大，傳統(tǒng)的安全方法早已“力不從心”，不能發(fā)揮作用的防火墻變得“形同虛設”。很明顯，企業(yè)不能再指望用VPN防護所有基礎(chǔ)架構(gòu)。

　　波耐蒙研究所《2017數(shù)據(jù)泄露研究》發(fā)現(xiàn)，數(shù)據(jù)泄露事件所致平均損失為362萬美元。盡管該數(shù)字比上一年有所下降，但數(shù)據(jù)泄露事件的平均規(guī)模卻上升了1.8%，達到了平均每起事件泄露2.4萬條記錄之多。

　　看看那些最嚴重的的數(shù)據(jù)泄露事件，都是因為黑客進入公司防火墻后，基本沒遇到什么阻礙，就能在內(nèi)部系統(tǒng)中來去自如。很大程度上，邊界已經(jīng)不存在了，防火墻已經(jīng)逼近到了需要保護的資產(chǎn)身邊。本質(zhì)上，零信任模型就是在和過去邊界式的防護思維說“再見”，是為新世界而生的安全架構(gòu)。

　　業(yè)務擴張、移動化辦公、BYOD、云轉(zhuǎn)型……如今企業(yè)員工的工作方式是分布式的，用戶工作的地點可能是家、酒店、分支機構(gòu)或任何地方，不僅是公司辦公室。同時，用戶使用的應用程序可能來自內(nèi)部，也可能通過SaaS、其他網(wǎng)絡或云訪問。邊界已不再是那個邊界，IT專業(yè)人員需要以全新的方式思考安全架構(gòu)。

　　新安全架構(gòu)中的上下文是：“你是誰？是否經(jīng)過嚴格認證？你使用什么設備？對你設備的了解情況如何？”零信任理念的核心是系統(tǒng)并不需要“證偽”，而是“若無法證明可被信任，即無法獲得權(quán)限”。

　　零信任網(wǎng)絡實質(zhì)上就是一個SDP，后者也是零信任網(wǎng)絡的一種具體實現(xiàn)方式。網(wǎng)絡邊界并不是一個確認可信度的有效方式。傳統(tǒng)數(shù)據(jù)中心基礎(chǔ)設施正在通過IaaS、PaaS和SaaS等外部云資源進行擴展。盡管AWS、Microsoft Azure和VMware等云基礎(chǔ)架構(gòu)各自擁有自己的網(wǎng)絡配置和安全模型，但其設計初衷并不是提供細粒度的訪問控制，或基于云服務器實例更改來調(diào)整用戶訪問。這正是SDP進入的地方，為來自世界各地的、不同的網(wǎng)絡連接參與者建立安全邊界，無論在云端、DMZ、私有數(shù)據(jù)中心還是應用服務器中。

　　Citrix認為，新安全思維應“以人為中心”，具體原則包括：構(gòu)建以用戶為中心的模型；無邊界的網(wǎng)絡安全；用戶不受地域和環(huán)境限制；對網(wǎng)絡、應用和數(shù)據(jù)實現(xiàn)基于上下文的行為感知；智能風險探測；數(shù)據(jù)不落地。

　　實現(xiàn)動態(tài)的、以身份為中心的安全，毫無疑問，這是一大進步。Gartner預計，到2021年，不少于25％的企業(yè)數(shù)據(jù)流量將繞過傳統(tǒng)邊界（目前是10%左右），并直接從移動和便攜式設備流向云端。當然，SDP正受益于Citrix這樣市場領(lǐng)導者，讓IT團隊能夠基于NetScaler和XenDesktop工具，輕松創(chuàng)建軟件定義邊界模型，實現(xiàn)GDPR就緒。

　　摒棄地理位置和內(nèi)部人員可信的概念，構(gòu)筑數(shù)字安全圍欄，將安全防護從邊界擴展到企業(yè)員工和業(yè)務任何所到之處。Citrix數(shù)字安全圍欄的核心方法包括：通過數(shù)字安全工作空間為訪問者提供設備獨立性、應用兼容性、位置靈活性。實現(xiàn)安全、高質(zhì)量和一致性的訪問體驗；統(tǒng)一供給和管理應用和數(shù)據(jù)，適應各種混雜的私有和公有云基礎(chǔ)架構(gòu)；為應用和數(shù)據(jù)提供安全、高效和可視化的交付網(wǎng)絡。

　　通過識別安全風險來源與目標，作為隔離元素，Citrix可幫助企業(yè)有針對性地輕松構(gòu)建安全隔離解決方案，已成為大量企業(yè)事實上的安全標準：Citrix HDX協(xié)議僅傳輸屏幕圖像、鍵鼠信息，可以有效隔離數(shù)據(jù)和應用邏輯；發(fā)布平臺集中在數(shù)據(jù)中心，有效縮小企業(yè)安全邊界；NetScaler對傳輸數(shù)據(jù)進行加密封裝；屏幕錄像功能可以起到事前威懾、事中監(jiān)控、事后追查的效果。細分落地方案包括網(wǎng)管資源隔離、數(shù)據(jù)隔離、生產(chǎn)系統(tǒng)運行環(huán)境隔離、網(wǎng)絡間隔離（邏輯隔離）、內(nèi)外網(wǎng)隔離（網(wǎng)閘隔離）和互聯(lián)網(wǎng)隔離，面面俱到。

　　Citrix數(shù)字安全圍欄與Google零信任模型具有高度一致的理念，異曲同工。與Google零信任模型相比，Citrix數(shù)字安全圍欄無需對現(xiàn)有應用進行任何改造，與企業(yè)現(xiàn)有IT架構(gòu)無縫融合，權(quán)限管理等手段簡單、強度中等。同時，進一步隔離了應用邏輯和數(shù)據(jù)的交互，實現(xiàn)數(shù)據(jù)不落地。

　　還以為傳統(tǒng)邊界安全、防火墻能讓你“高枕無憂”？是時候把服務從Internet“大染缸”中分離出來了！當然，過程和方法絕非簡單的網(wǎng)絡隔離所能及。Citrix SDP是個好思路。