一直以來，ZTNA（零信任網絡訪問）與微隔離兩種技術被認為是零信任架構落地的兩個重要基石，ZTNA主要用于解決業務外部訪問安全接入問題，微隔離則用于解決業務內部流量安全交互問題。但是在這種應用模式中，ZTNA與微隔離通常會分別獨立部署，在相互協同配合時會存在較大的“縫隙”，這就給了攻擊者繞過零信任策略的可乘之機。

　　日前，薔薇靈動研發出一款創新設計的統一微隔離產品，通過融合傳統ZNTA技術和微隔離技術的應用特點，幫助用戶在一個統一平臺上，通過一套完整的身份規則和策略規則，實現對企業全部網絡流量（南北向+東西向）的零信任化管理，并實現全網精細化的安全策略編排。

　　統一化應用將是大勢所趨

　　研究機構Gartner在其今年2月發布的《2022年ZTNA市場指南報告》中指出：微隔離可能被當作獨立的產品提供，也可能直接和ZTNA產品整合在一起。ZTNA供應商應該積極嘗試為數據中心用戶提供融合微隔離技術的一體化解決方案，從而打破兩種分段技術的區隔。

　　以企業數據中心為例，這是零信任需要保護的最重要對象。數據中心的流量可分為兩類，一類是南北向流量（占比約30%），一類是東西向流量（占比約70%）。微隔離可以將全部東西向流量零信任化（基于ID的最小權限訪問），但是對于南北向流量管理則沒有很好辦法。目前，我國企業數據中心的入口建設事實上非常多樣，通過微隔離產品，能夠看到來自各種入口的南北向流量，如本地辦公網、遠程分支、VPN以及堡壘機等，而這些流量都是非零信任的。在這種情況下，微隔離技術只能基于IP地址段，給出一個非常寬泛的訪問權限。因為沒有具體的身份信息，微隔離無法對其來源做進一步驗證，更無法基于其角色給出細粒度的訪問權限。

　　有觀點認為，ZTNA技術可以對南北向流量進行檢測，微隔離只要放開就可以。但事實上，當下的ZTNA應用還不普及，大量的業務并不通過ZTNA進入，甚至很多用戶還沒有部署ZTNA。即便是通過ZTNA接入的流量，微隔離也不應該直接放行，而是應該根據其訪問的業務訴求，嚴格限制其在內部的訪問空間，這樣能夠避免ZTNA成為新的攻擊點。一旦ZTNA被突破乃至被控制，微隔離還可以構建起縱深防御體系，和ZTNA網關形成異構。

　　目前，我們可以看到，以Zscaler為代表的各大ZTNA廠商都在積極嘗試打通和微隔離之間的邊界，從而構建統一的零信任網絡。可以認為，各種零信任技術的獨立應用模式將會改變，統一化部署將會成為零信任技術應用未來發展的大勢所趨。

　　實現5大維度的統一

　　據薔薇靈動介紹，其最新發布的統一微隔離方案，是一種在傳統微隔離與ZTNA技術基礎上發展起來的，可以打通企業辦公網和數據中心網絡，為用戶提供端到端的安全分析與統一身份控制的新一代零信任應用產品，其中的統一包含了五大方面內涵：

　　01 實現辦公網與數據中心的統一

　　統一微隔離可以將辦公網與數據中心的邊界打開，將企業的全部基礎設施（包括公有云和遠程辦公終端）整合成一張統一的網絡，然后進行統一的策略管理。這將有效改變企業過去一直以來“做拼圖、建孤島”式的安全管理窘境。

　　02 實現各種身份屬性的統一

　　統一微隔離將人、設備、網絡、業務、數據的身份屬性完全打通，并進行統一管理，讓用戶基礎設施中的每一個要素，都能夠不受位置、環境、網絡的約束，擁有一個唯一的身份標識。這種對全要素進行身份化網絡標識與管理的能力，可以幫助用戶構建覆蓋全要素的統一零信任網絡。

　　03 實現網絡策略統一

　　統一微隔離允許用戶對整個基礎設施做軟件定義策略管理，通過一套統一的微隔離策略，對全部網絡流量進行統一管理，用戶可以用一條策略直接描述出跨部門、跨崗位的業務訪問權限，而這樣的訪問控制要求，在過去要在若干分散的安全產品上通過組合式策略才能達成。

　　04 實現安全數據統一

　　對全局安全數據進行統一管理和分析是體系化安全建設的必然要求，也是等級保護2.0標準體系中的重要組成部分，但是在實際應用中往往很難實現。統一微隔離方案可以基于其統一微隔離網絡和統一身份空間、統一策略空間的框架能力加持，將全部流量建立起一份全局關聯、全局索引，并且是按照用戶身份和業務信息進行整理和呈現的統一安全數據視圖，這將使安全運營工作變得更加便捷和有效。

　　05 實現與零信任平臺統一

　　統一微隔離可以在一個統一平臺上同時解決了外部業務安全接入與內部流量安全訪問兩個問題，避免了現有架構下的協同縫隙，真正做到全局統一業務分析和全局統一精細化策略編排，這是對零信任技術發展的一次積極創新，也是未來零信任技術發展的重要方向。

更多信息可以來這里獲取==>>電子技術應用-AET<<