零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源，同时它也代表新一代的网络安全防护理念，打破默认的“信任”，秉持“持续验证，永不信任”原则，即默认不信任网络内外的任何人、设备和系统，基于身份认证和授权，重新构建访问控制的信任基础，确保身份可信、设备可信、应用可信和链路可信。本文旨在通过阐释为什么零信任建设需要“灵”及介绍拥有融合、敏捷、持续、弹性四大特色的启明星辰集团“灵”信任，帮助您对零信任这一安全理念有更为全面的了解。

　　近年来，由于传统安全架构设计的边界防护已无法确保内部系统的安全性，推动了零信任安全架构时代的到来，然而大量的政企客户已经建立了以纵深防御为主的安全防护体系，有的甚至已经完成了立体跨区域和多层级的安全防护体系。

　　在很多用户的安全管理者看来，零信任理念在这样的体系中落地，往往要面对“颠覆”性安全架构和“重建”安全体系的考量，主要的安全防护体系甚至要面临“推倒重来”的困扰，以至于落地零信任成为一件“伤筋动骨”的过程，而启明星辰集团“灵”信任以融合、敏捷、持续、弹性四大特色，让客户无需“拆墙”便可实现轻松落地，成为零信任领域的分水岭。

　　海纳百川

　　有“融”乃大

　　大海之所以浩瀚无边，是因为它能够容纳河流之水。启明星辰“灵”信任其“融”的机制在于让信息安全的大海与原有、未来安全的河流保持充分流动，因此“灵”信任架构需要以动态、发展的眼光统筹布局，建立融合成长机制，着力做好与原有纵深防御安全、未来安全趋势的有机融合，方可生生不息，保证信息安全大海的风平浪静。

　　“灵”信任架构与纵深防御安全的融合

　　启明星辰集团在业内最长的信息安全产品线积累的基础上，其零信任采用了独有的FE架构（Fusion Extended architecture, 融合扩展架构），为用户量体裁衣，既能充分发挥原有纵深防御的建设基础，又能落地零信任理念，化被动防御为主动防御。

　　在FE架构下，启明星辰集团的零信任架构着力于实现网络内的感知计算、策略判断和动作执行，以及整体的贯通运行，也会对用户原有的纵深防御的安全防护能力进行评估并融合，融合用户原有的主机安全、EDR、态势感知等为其进行安全感知能力；融合用户原有的堡垒机、统一门户（含SSO）安全准入、VPN以及安全网关（FW、UTM等）为其安全动作执行能力，在纵深防御体系上进行逐层的访问控制；融合态势感知、IAM等平台为其进行安全属性，并结合原有的安全闭环机制，进行全网的零信任架构落地。

　　“灵”信任架构与安全需求趋势的融合

　　启明星辰集团还将灵信任架构的理念与新的信息安全需求趋势充分结合，融合落地数据安全、云安全和物联网安全的能力，以身份为中心，持续认证、动态授权的技术架构，可自适应于不同基础架构和业务变化，从而让安全更智能。

　　“灵”信任架构与数据安全的融合

　　数据作为用户网络被访问的重要的对象之一，是数字经济时代的战略性资源。数据只有流动起来，才能发挥其价值，而没有数据安全，一切就是无本之源，启明星辰“灵”信任架构通过将数据分级分类、数据脱敏、数据的API访问、数据水印等能力充分融合，以身份为核心，针对结构化和非结构化数据的根据数据安全策略进行安全管控。

　　针对业务访问、办公访问、运维访问等不同场景，启明星辰“灵”信任从数据的采集、存储、传输、处理、交换、销毁等维度，采用能够根据数据的敏感程度和重要程度进行细粒度的授权，并结合人员的行为分析和访问的环境状态动态授权，在不影响效率的前提下，确保数据访问权限最小化原则，避免因为权限不当导致的数据泄露，从而让数据更安全。

　　“灵”信任架构与云安全的融合

　　云计算在“新基建”背景下，在用户网络中的部署应用更加普遍，云内的算力按需扩展、物理边界模糊，都适用于零信任架构的安全防护理念，可以有效整合，在SDN技术支撑下的云安全资源的灵活编排，东西向流量的访问控制，以及云负载安全（Cloud Workload Protection Platforms, CWPP）云上安全策略的落地。

　“灵”信任架构与物联网安全的融合

　　物联网技术在工业互联网的大力推进下持续发展，边缘计算、5G、边云协同体系导致了物联网网络安全域的边界蔓延，使得物联网安全体系正逐步从检测恶意攻击，转变为安全可信的接入和计算，整合物联网的安全接入，软件定义边界和面向大规模物联终端的安全策略管理，与物联网安全充分融合，保障用户的物联网安全。

　　敏捷开发

　　“灵”动从容

　　《孙子兵法》有言：“兵无常势，水无常形。能因敌变化而取胜者，谓之神。”指用兵作战要根据敌情的变化来采取灵活机动的战略战术，不能墨守某种作战方法，能依据敌情的变化而取胜的，就称得上用兵如神了。敏捷开发也是同样的道理，“敏捷”概念的引入IT最先是从软件开发领域引入的，是一种应对快速变化的需求的一种软件开发思想。相对于传统开发流程，更强调快速、灵活变化的开发过程。

　　道高一尺，魔高一丈，安全始终处于动态变化与不确定性的状态，面对不断变化的安全需求，启明星辰“灵”信任架构摈弃了传统网络安全防护体系的固化、慢速检查方式，以敏捷能力采取灵活变动的战术，对传统网络安全动态防御能力不足进行有力补充，结合在AI领域中成熟的机器学习技术，实时感知风险，应对在访问控制过程中出现的风险。

　　持续验证

　　永不信任

　　持续是一个长期维持、连续不断的过程。零信任的关键在于持续不断的去分析或是证明网络中“我是我”（这个“我”指的是网络中存在的访问主体）的问题，它通过一系列的动作或参数去评估网络中的“我”是否是“我”，是否是“我”在操作，“我”是否有权限操作等的问题。总体概括就是一个认证和授权的过程。

　　零信任通过改变原有的静态认证和静态的权限控制的方法，用一种新的持续的可度量的风险参数作为评判的依据，加入到访问主体的过程中，以达到网络访问的可信，实现整个零信任架构的建设。

　　持续有两重含义，一方面主要体现在“灵”信任自身的架构特点上，持续认证和持续授权，持续的概念关键在于信任评估中，信任评估的数据来源于终端、网络、主体行为审计中，通过一系列信任评估算法，持续判断主体行为的可信；另一方面主要体现在“灵”信任的落地建设方面，“灵”信任是一种安全理念和架构思维，它的落地并不是推翻现有安全建设架构重构安全的过程，而是需要在现有安全技术沉淀、积累和不断改善的过程，通过与现状对比，查漏补缺，持续不断的调整，最终形成一套完善的“灵”信任架构建设体系。

　　弹性赋能

　　无限调节

　　老子说“上善若水”和孔子说“无可无不可”，老子用道家的方式说，孔子用儒家的方式说，但他们所说的含义是一样的。为人处世我们需要保持弹性、不僵化的价值观，才能以不变应万变。

　　网络安全也是同样的道理，我们做网络安全产品始终致力于做强，但强并不意味着刚硬，只有建立弹性的机制，才能平稳自如应对变幻莫测的安全威胁。

　　启明星辰“灵”信任里的弹性是指从不幸或变化中恢复或调整的能力。应该始终假设网络充满威胁，外部和内部威胁每时每刻都充斥着网络——不可预见的情况一定会发生。“灵”信任架构必须对变化做出响应，为此，需要监视整个网络并及早发现变化。例如在运行时分析和学习正常行为，并在偏离时检测异常行为，即使在不可预见的情况下也能提供早期预警，还可以触发自动校正或缓解措施，阻止事态的进一步发展。拥有弹性特点的“灵”信任架构，能够为一个可无限可调节的弹性网络提供基于策略的“软件定义”安全访问。因此，通过弹性赋能，启明星辰集团“灵”信任架构可以在业务遭到攻击的情况下，依然可保障业务提供正常的服务。

　　根据MarketsandMarkets的数据，全球零信任安全市场规模预计将从2020年的196亿美元增长到2026年的516亿美元，从2020年到2026年的复合年增长率（CAGR）为17.4％。零信任其创新的安全思维因契合数字基建新技术特点，着力提升信息化系统和网络的整体安全性，被寄予厚望成为网络安全保障体系升级的中流砥柱。

　　启明星辰集团“灵”信任以融合、敏捷、持续、弹性的优势，让零信任落地告别“伤筋动骨”，实现轻松落地，携手客户共同拥抱零信任安全架构时代的到来。