“零信任”安全架构如此好， 为什么还未被广泛采用？

传统的安全模式基于基础架构所有权，根据网络拓扑实施安全策略，当我们进入到一个应用程序和数据通道跨多云拓扑的时代，这种安全策略还有效吗？

答案是明确的，这种以网络拓扑为基础的安全策略正在失去效力，因此业界很多声音认为，现代化企业安全必须进入一个全新的模式，那就是“零信任”的模式。戴尔科技集团大中华区市场部高级顾问李君鹏对此也表示说：“传统的安全模式上的改进上只是一种添油战术，并不能从根本上解决当前企业所面临的安全问题。

戴尔科技集团大中华区市场部高级顾问 李君鹏

在“零信任”模式下将会为企业IT环境带来三大改变：一是用户和设备，在过去的传统环境下，基本的身份验证是可选的，不是必做的；二是从传统的模式进入到零信任的模式，身份要始终被验证，而且是持续验证。在零信任架构体系里，还用策略去定义了好的行为和坏的行为，风险管理变得简单；三是威胁管理，在零信任架构体系下应用身份验证和管理策略，很容易检测到与已知的参数背离的行为。

也正是基于此，戴尔科技提出了现代安全的三大要素——信任的基础、简化的零信任采纳、网络恢复计划。并且通过提供专业知识和端到端工具，帮助企业实施现代安全解决方案：

保护数据和系统：戴尔可提供固有安全性功能，在整个IT基础架构中扩展安全性，并针对整个生态系统提供全面支持，从而为企业带来显著的增量价值。

提升网络弹性：网络弹性不单是一项技术，还是一种成果，它通过结合规划、控制和集成技术来实现，这些技术可管理整个生态系统中的检测、保护、响应和恢复等功能。戴尔可提供全面的技术解决方案和服务，旨在帮助各种规模的企业增强网络弹性，并帮助客户制定相关策略，以便在网络攻击中断其运营之前还原数据和恢复正常运营。

降低安全措施复杂性：复杂性是确保网络安全的一大挑战。戴尔可提供具有固有安全性和自动化功能的产品，并整合安全工具，帮助客户实现智能扩展。

自上而下的零信任架构

如文间前面所说，戴尔科技认为“零信任”是在安全上的彻底、根本性的转变，这种理念正在被广泛接受，只是实施部署起来还有诸多现实难点需要解决。

可以说，戴尔科技集团因其独特的地位，让他可以帮助客户加强现代安全，并成为值得信赖的合作伙伴。这主要是因为：一、戴尔科技集团不仅推出了广泛行业的创新解决方案，并且能够通过戴尔科技集团的规模和资源优势，可以更好地将人员、流程和技术结合在一起，用于从战略规划到全面实施安全项目；二是戴尔作为值得信赖的安全合作伙伴，其解决方案经过了长达20年并且在全球范围内经过广泛验证的。比如，戴尔弹性恢复解决方案在帮助客户进行恢复方面的成功率达到了97%；三是戴尔自身也在进行安全现代化的旅程，帮助加速数字化的转型。戴尔科技集团对市场提供的全面、智能可扩展的安全理念，都是基于实践经验和系统的方法论。

戴尔科技推出的“零信任“架构由三部分组成：业务控制、控制平面和零信任架构。需要强调的是，零信任架构不能是自下而上而必须是自上而下的。

首先是业务控制，这是基于业务逻辑定义的访问管理。比如研发人员能够访问实验室，非研发人员不能访问实验室。这里有一个关键要素就是数据的本地化以及合规，比如遵循欧盟GDPR标准，中国的《信息安全法》等等合规条约。  

中间是控制平面：控制平面分为身份管理、策略管理和威胁管理。身份管理是要把所有的设备、用户、包括应用程序的身份进行管理，身份管理确定你是谁，你为什么在这里。策略管理决定你能干什么，比如，哪些应用程序能够在哪个基础架构上运行。而威胁管理是管理你干了什么。在零信任架构里，所有的设备、用户、应用程序能够在哪个上面运行，能够访问哪些基础架构，都有明确的定义。

最下层是基于零信任的基础架构：包括存储、网络、服务器、终端设备。

戴尔科技认为，只有存储、网络、服务器、终端设备这些基础架构满足零信任架构的要求，才能跟控制平面很好地整合在一起。所以第三层受控制平面控制，归属于控制平面。

“要做零信任，仅有一层不行，这三层必须是联动的，否则将不能构成一个完整的零信任体系架构。“李君鹏强调说。

生态联动下的“零信任“体系

既然“零信任”如此好，为什么不是所有企业都能够将安全策略转变为“零信任”呢？

“零信任只是一个架构，它本身并没有明确定义哪一块应该做什么，哪一块跟哪一块相互之间应该怎么配合，目前市场上还没有零信任的API。”李君鹏如是说。

目前，如果企业要采用零信任架构，基本都需要自己去做整合，这种集成的负担对企业而言是不言而喻的。那么，戴尔科技能起的关键作用在哪里？

首先来看，戴尔科技在全球存储基础架构上的市场份额接近30%，服务器接近全球的20%。除此之外，戴尔科技集团还拥大量的终端设备。在零信任基础架构部分，戴尔已经占了很大的比重。从大企业的社会责任上，戴尔科技集团应该承担起这份责任帮助业界实现零信任的集成，让零信任更简单地被采纳，减轻客户集成的负担，这是戴尔科技集团在安全生态上的能够发挥的重要作用。另外，戴尔在业界的庞大生态，也让其具备这样的号召力，在生态系统的标准化以及生态合作方面，发挥更大的作用。

戴尔科技集团大中华区数据保护技术总监李岩甚至认为，“零信任”不是一种技术或者是一种理念，这种理念必须要有一个完整的生态系统来支撑。一个安全厂商出一个产品并不能形成“零信任”，这是一个大体系的转变。

戴尔科技集团大中华区数据保护技术总监 李岩

在戴尔科技看来，一个真正的“零信任“体系，其实从基础架构就开始了。现在的网络、服务器、存储，很多已经不适用于零信任这种体系架构。比如如果企业的数据保护存储不支持双验证认证，它就没有办法纳入到零信任体系，因为它做不到永不信任，永远验证。同时，在验证环节，也不能靠单一简单的验证，而需要双验证认证。如果所有的基础架构都不具备双验证认证的能力，这些设备就不具备和上层“控制平面”接入的能力。所以在李岩来看，每一个IT厂商都在”零信任“体系架构里面扮演着他应该扮演的角色，只有整个生态合作起来才能构筑成真正的零信任架构。

我们知道戴尔科技集团可以提供跨IT领域的整体解决方案，横跨从核心到边缘，到云的基础架构。即使是聚焦到安全方面，戴尔科技的视角仍然是全面的、整体的、甚至是跨行业的，具有一致的目标和策略应用。从客户的视角来看，戴尔科技是整体存在的，无论从客户端到服务器，到存储，到网络，再到云，一致性是戴尔科技成功的关键。