网络安全新战法，安全网络新空间

7月27日至29日，第九届ISC互联网安全大会于国家会议中心盛大举办。作为全球高规格、高影响力的安全行业峰会，汇聚了安全行业领先企业，国内外高水准行业专家、多维度媒体资源，以“线下盛会+线上同频”的形式举办。大会以“网络安全需要新战法，网络安全需要新框架”为主题，聚焦全球数字化转型之下网络空间的前沿趋势，探讨数字经济的新安全体系及网络空间安全战略，分享前沿安全技术研究成果及实践案例。

29日上午，零信任6A论坛以“重构6A，再铸信任”为核心主旨，论坛主持人潘柱廷先生在会议中提出并介绍了Account & Subject（帐号和主体）、 Application & Object（应用和目标客体）、Authentication（认证）、Authorization（授权）、Access Control（访问控制）、Auditing（审计）的 6A理念。

绎云CEO陈坤鹏先生受邀出席了本次论坛，并发表了题为《破而后立，晓喻新生——为安全开辟一个新空间》的演讲。颇具颠覆性的创新思维，为在场各位领导、专家、嘉宾介绍了了零信任安全的全新视角和实践方法，与6A的理念不谋而合，同时也获得大家高度认可。

我们离零信任到底还有多远？

零信任这个话题近几年突然在国内安全圈火了起来，SDP、IAM、MSG、SASE等优秀解决方案纷纷腾空出世，基于这些全新的方案框架，形成了国内零信任安全方案的多个阵营。政府、企业以及安全厂商都基于自己的安全能力、适用场景进行了深度优化和改造，形成了多元化的零信任解决方案，可谓百家争鸣、百花齐放。

绎云科技CEO 陈坤鹏

在热闹非凡的安全市场里，绎云用独特的视角，看到了不一样的零信任解法。绎云CEO陈坤鹏先生在论坛上提到：过去和现在的网络安全产品，一直在尝试在同一个网络空间里去解决“安全管理集中化”和“业务网络碎片化”这两个趋势背离的问题。但越是这样去做，安全就变得越复杂，安全和业务就像跷跷板一样，各自发展都被锁死，我们需要一种新的方式，让两者互不影响，还能相得益彰。

想要实现上面提到的目标需要先解决三个难题：

01 跨域管控难题

跨域管理难，究其根本是物理位置太多。有什么办法可以让管理突破物理位置的限制呢？有，云计算。众所周知，云计算的本质是一种虚拟化技术，它把不同物理位置的数据中心资源虚拟化，让租户可以在一个逻辑空间里进行业务编排、共享，而无需考虑资源的实际物理位置。

云计算不仅仅可以把数据中心的资源云化，我们还可以把电脑终端、移动终端、物联网终端、云上的业务、数据中心的业务等等一切终端和业务资源都虚拟化，构建一个与物理位置无关的，端到端的极简虚拟网络。我们在这个全新构建的极简网络中编排人、终端和业务的关系，分析和管控他们之间的行为。通过网络云化的技术，让安全空间和网络空间被彻底解耦，跨域管理的问题就迎刃而解。

02 暴露面难题

随着互联网的快速发展，政府和企业的业务也在加速碎片化，在碎片化的网络中实现互联互通，必然会导致暴露面增多，被攻击的风险也随之升高。所以，大家自然会想到用各种技术和方法实现网络资源隐藏。其实不然，网络并不需要我们去隐藏，它天然是具备隐藏属性的，我们需要考虑的是如何可信的接入。

办公网，家庭网就是我们每天会用到的隐身网络。这种网络是一种单向访问网络，只要不开放任何IP地址和端口，在互联网上就是隐身的。我们把业务资源都放到这样的单向网络里，就很容易地实现了网络隐藏。

那如何解决可信接入就成为核心问题。绎云借鉴了SPA单包授权的创意，并进行了升级，用端到端的逐包加密，逐包验证的方式对每一个数据包进行可信校验，让每一个数据包都做到“永远不信任，始终在验证”，在数据包层面解决隐含信任的问题。

03 实体定位难题

在碎片化的网络环境中，大量使用了IP地址转换和动态IP技术，这让人与IP地址的关系越来越弱，我们很难通过IP地址实现精准的实体定位与行为关联。

零信任的理念强调以身份为中心，但在实际的网络环境中，IAM、单点登录、网络准入、堡垒机，这些不都是基于身份的安全措施么？难道实现零信任需要推倒重做么？不，我们需要的是填补上安全访问过程中缺失身份的环节——网络流量。因为网络协议缺失身份字段，网络流量里的数据包天然是不具备身份的，也正是这个原因，所有基于网络流量的安全产品，都无法以身份为中心来进行威胁的分析、研判和处置。

绎云通过在每个网络数据包都增加了一个身份字段，把网络五元组升维到网络六元组，让底层网络能力得以升级，把攻击防御、安全接入、安全运营，三个安全闭环都升级成以身份为中心的安全体系。在这样的网络里，通过任何一个数据包，就能轻而易举的定位到人、终端和业务资源。

让安全在全新的空间里重生

每一次趋势背离的出现，一定会带来诸多看似无解的问题，但同时也一定也会带来一次蜕变新生的机会。零信任是解决网络安全问题的一种策略和方法，是一种包容的、创新的安全新架构，可以帮助政府和企业在不可信网络中重新打造自己的信任体系，建立可信、安全、便捷的网络环境。绎云正是要构建这样一个“轻松协同，可信互联”的全新安全空间。

信域安全云网是绎云打造的创新产品，利用云技术在客户原有的物理网络之上构建了一个全新的平行网络，将安全空间与网络空间解耦，在极简的、点到点的安全空间里，遵循零信任安全原则，执行聚焦人、终端和业务的安全策略，让安全管理可以在极简虚拟网络里进行集中统一编排、动态威胁分析、管控和处置。同时业务的发展不再受制于安全合规的要求。不仅如此，信域安全云网还是一个开放式的安全底座，可以赋能原有的安全产品更细粒度、更深度的安全能力。

“从安全的视角看，未来的网络就像是一个分布式的人工智能，会进化成一个智能的生命体，网线光纤、路由器、交换机组成了这个生命体的骨架和脉络。每一个终端、每一个资源就像是这个生命体的神经元，承载了人的意识和有价值的数据。集中的控制中心就像小脑，用策略控制整个网络的数据流通，以及对每个网络实体的实时响应。分析中心就像大脑，通过每一个神经元感知整个网络世界的所有活动，通过植入的威胁研判和处置逻辑，自动发现这个网络世界里存在的异常和威胁，自动生成响应策略，并向控制中心发出指令，对异常或威胁源进行实时处置。在信域安全云网里，所有网络安全能力都将会有质的飞跃。”