比起零信任，为什么说精益信任更具优势？

传统的网络安全架构将不同的网络划分为不同的区域，防火墙用于隔离不同的区域。每个区域都被授予一定程度的信任，这决定了允许访问哪些网络资源。这种安全建设的理念提供了很强的纵深防御能力。

但是，随着云计算、移动互联网等技术的快速发展，以及企业数字转型过程的不断推进，传统的内外网络界限变得模糊，企业不再能够基于传统的物理界限进行安全建设。传统的安全建设思想已经难以适应企业的快速发展和业务的快速变化。例如，在移动办公环境中，员工、供应商和合作伙伴需要从世界各地访问内部网。此外，应用程序的移动性和数据中心的云也带来了越来越多的安全问题。面对日益复杂的安全威胁，企业需要构建新的网络安全架构。在此背景下，零信任应运而生，成为网络安全发展的必然趋势。

先来说说，什么是零信任？

2010年，弗雷斯特分析师约翰·金德瓦格正式提出了“零信任模型”。关于零信任，他提到了三个核心点:不再使用明确的边界来划分可信或不可信设备；不再有可信或不可信的网络，也不再有可信或不可信的用户。

其研究报告指出，将网络安全整合到网络建设中，默认安全也是信息技术基础设施的一部分，采用零信任网络架构可以实现:

1)分区——网络的细粒度分区和网络的细粒度分区，隔离安全事件的传播和发生。

2)并行-构建多个并行交通交换和监控点微环和周界(MCAP)，作为每个区域的交通交换、监控和安全防御点。

3)集中化-集中管理网络和安全性。分段网关集成了防火墙、入侵防御系统、晶片、网络控制中心、内容过滤网关.SG定义全球政策和流量分配。

从2011年到2017年，谷歌花了六年时间迁移到碧昂斯公司的零信任环境。在此期间，谷歌不得不重新定义和调整其角色和分类，建立新的主库存服务来跟踪设备，并重新设计用户认证和访问控制策略。此后，国内外制造商推出了自己的零信任产品或结构，零信任逐渐流行起来。

零信任是实现精益信任的第一步

就网络安全而言，零信任模型引入了一些新的视角，解决了许多以前难以解决的问题。然而，在零信任研究和落地的过程中，仍有许多问题没有解决。零信任概念的核心问题之一是“永远不要信任，永远要核实”。信任总是“零”吗？因为信任是业务访问的基石，而业务访问是业务发展的第一步，如果信任总是“零”，那么如何满足业务访问要求呢？零信任如何与业务系统和现有的安全结构兼容？对此，国际权威信息技术研究和分析机构高德纳(Gartner)在其研究报告《Zero Trust Is an Initial Step on the Roadmap to CARTA》中指出，“零信任不是目标，精益信任才是。)’ .换句话说，零信任是实现精益信任的第一步。精益信任关注风险和信任，重构网络安全架构，通过信任的精益控制实现精益风险管理。

不同于“永远不信任，永远验证”的零信任概念。在精益信任中，它强调“准确和充分”的信任，提倡对信任的精益控制。商业是建立在信任的基础上的。所有的业务交互都需要主体和客体之间的信任。此外，信任与风险密切相关，风险是信任的必然结果。网络安全不能实现“零”风险，信任和风险的反馈控制是安全的本质。准确的控制要求基于多源信息进行持续的风险评估，然后根据风险水平和安全要求进行精益信任的建立和调整。

深信服的精益信任

毫无疑问，投资零信任技术体系的研究，以零信任模型为技术理念，在新时代背景下构建新的安全体系，是具有战略眼光的网络安全企业应该自然发生的重大事件

在2019年深度说服创新大会上，深度说服正式发布了精益信任安全解决方案。深信精益信任已在零信任的基础上得到加强。深信零信任已经解决了破碎的边界问题，但安全不能仅靠任何一种安全产品来解决。安全必须需要联系与合作。零信任需要与其他安全设备相联系，以形成一个互补和统一的安全系统。

深信精益信任解决方案基于信任和风险的闭环，以aTrust平台为核心，整合外部网络中的终端安全、边界安全、态势感知和现有安全设备，进行统一联动，形成独立优化、快速处置的统一安全系统，最终实现内外网络的“准确、充分”信任。

如上图所示，在精益信任解决方案中，用户的访问请求和信任判断大致会经过以下过程:

1)来自用户的所有访问请求都需要经过“控制中心”的信任评估模块，从身份、设备、环境和行为四个维度进行信任评估，评估后授予相应的信任级别。

2)在开始业务访问后，用户的后续访问还将通过情况感知中心实时收集和检测流量，分析用户行为，报告动态威胁，然后将流量、行为和资源风险的结果反馈给“控制中心”。

3)同时，在整个通信过程中，“终端检测与响应”平台将从操作系统、文件系统、应用程序、进程状态等方面不断评估终端环境，并将评估结果反馈给“控制中心”。

4)“控制中心”根据策略动态调整授权级别。最后，“控制中心”统一进行风险计算、信任评、动态授权和权限管理。

Deep指出，精益信任实现的关键点在于五个方面:全面身份、多源信任评估、动态访问控制、统一安全和增长。从以上过程中不难看出，深信精益信任解决方案和预防由这些关键点组成。

增长反映在精益信任中，精益信任可以根据企业的不同发展阶段有选择地部署在功能中。同时，在私有化和云化等各种部署场景下，与终端检测响应和安全感知平台等产品相联系，自适应地匹配企业发展的各种场景和阶段，从而为企业创建定制的统一安全系统。

立足用户需求，打造精益信任方案

说了这么多关于深信精益信任的事情，也许有人会问:对用户来说，深信精益信任有什么价值？这些价值可以归纳为三点，“集成容易落地”，“更有效的保护”和“统一的自动化操作和维护”。

首先，该方案可以将用户的改造成本完全控制在较低的范围内。因为深信精益信任(lean trust)aTrust平台能够集成和链接各种安全产品，包括EDR、IAM、UEBA等系统，并且无需购买新的安全设备就能实现统一的安全，用户可以结合组织的安全状况，构建易于以较低成本落地的精益信任方案。

其次，通过多源信息评估和访问行为识别，将代表身份的标识嵌入到每个访问行为中，大大减少了攻击面，降低了企业用户关键资源被入侵的概率。同时，利用信任的动态控制来实现访问安全保护和业务需求之间的动态平衡，从而为用户提供更加有效和面向未来的安全保护。

最后，精益信任(lean trust)可以结合业务需求，实现高度集成的安全保护，以及对数据和计算资源集中、大量内部和外部用户频繁访问的复杂场景的方便统一的自动操作和维护。