毫無疑問，隨著新技術的廣泛應用，不僅推動了各個行業的數字化轉型，同時更帶來了諸多安全隱患和挑戰，特別是過去幾年發生的外部APT攻擊和內部違規導致的大規模數據泄露等惡性安全事件層出不窮，這也讓越來越多的企業意識到，傳統的邊界防護手段存在很多局限性，已無法滿足新形勢下的網絡安全需求。

　　背后的關鍵原因在于：隨著網絡邊緣的不斷擴展以及涵蓋云和本地等混合網絡環境的廣泛部署，企業網絡架構日趨復雜。與此同時，企業依然面臨孤立運行的安全產品和工具無法協同工作的嚴峻挑戰；此外，新型技術及應用為網絡攻擊提供新的攻擊載體，攻擊實施更加靈活、過程更加隱蔽、技術更加智能，此外整個攻擊橫跨越網絡、應用程序、內容和設備，威脅檢測和溯源難度增大；不僅如此，數字化轉型已經成為各行業的發展趨勢，數據共享和流通將成為企業“剛性”業務需求，原來相互隔離的業務網絡將打破安全邊界走向融合，安全管控難度與泄密風險進一步擴大。

　　在此背景之下，基于“永不信任，持續驗證”理念的零信任架構，開始成為了企業構建當下網絡安全防護體系的新理念和新架構。但也要看到，零信任體系的建立不可能是“一蹴而就”的，從零信任的規劃到落地仍不可避免地面臨一系列問題。

　　也正因此，企業在選擇和部署零信任架構的過程中，借助伙伴生態力量，選擇具備清晰的產品戰略、成熟的零信任解決方案以及深厚企業服務經驗的合作伙伴，最大化降低在技術選擇和決策方面的風險，持續提升網絡安全和零信任成熟度就變得至關重要。

　　四個維度入手構建防御層

　　客觀地說，零信任理念和架構是十分美好的。但與此同時，也要看到大量的企業客戶在過去已經建立了以縱深防御為主的安全防護體系，有的甚至已經完成了立體跨區域和多層級的安全防護體系。因此，零信任架構要在這樣的體系中落地，往往要面對“顛覆”性安全架構和“重建”安全體系的工作，很多過往的安全防護體系甚至要面臨“推倒重來”的困擾，以至于落地零信任成為一件“傷筋動骨”的過程。那么，如何才能更好地化解這一全新的挑戰，持續提升企業的網絡安全和零信任成熟度呢？

　　在這方面，作為在“零信任”架構領域驗證和實踐了多年的公司，戴爾科技集團在零信任架構方面的能力可以說已經發展得相當的完整，針對這一問題，戴爾科技集團認為企業需要從四個維度入手構建防御層，實現零信任架構的落地，幫助企業安全穩定地加速向數字化轉型。

　　一是，減少受攻擊面是建立強有力的網絡安全保障的基本要素。在Gartner年初發布的《2022年安全和風險管理趨勢報告》中，就預測了七大網絡安全趨勢，其中最先被提及的就是攻擊面管理，主要原因是隨著混合辦公的普及，物聯網的廣泛使用、開源代碼、SaaS應用程序、云應用、數字供應鏈、社交媒體等引發的風險，使得企業受攻擊的暴露面正在日益不斷擴大。

　　因此，如何“堵住”惡意攻擊者能夠利用的潛在漏洞和入口點就變得十分的迫切。針對此，企業就必須盡可能減少各個領域（包括邊緣、核心和云）的受攻擊面。這就需要實施預防性措施，例如全面的網絡分段、關鍵數據隔離、實施嚴格的訪問控制，以及定期更新和修補系統和應用程序。此外，企業還應該進行全面的漏洞評估和滲透測試，以找出潛在的薄弱環節并加以彌補。通過減少受攻擊面，企業可以顯著減少網絡威脅的潛在利用途徑。

　　二是，檢測和應對網絡威脅對于保持強有力的安全態勢同樣至關重要。目前，傳統安全措施已不足以應對復雜的威脅，因此企業可以利用先進的威脅檢測技術和方法來識別和應對已知和未知威脅。

　　這其中，就包括實施強大的入侵檢測和防御系統，利用人工智能和機器學習算法進行異常檢測，以及建立對網絡流量和用戶行為的實時監視。此外，隨著當下的安全建設也呈現“常態化、體系化、實戰化”的特征，因此借助專業的安全運營團隊去分析處置各種問題也成為了新的趨勢。更重要的是，與專業的合作伙伴深入合作，還可以為企業帶去威脅情報、事件響應和安全運營方面的專業知識，從而增強企業檢測和應對網絡威脅的能力。

　　三是，保持網絡彈性也是企業在網絡安全管理中必須具備的能力。特別是在網絡攻擊事件發生后，及時地恢復系統、網絡和數據，及早恢復正常運營對于企業保持持續穩定變得十分關鍵。

　　為此，企業也需要制定明確的事件響應計劃并開展協作。一方面，企業應提前制定事件響應規程，在其中概述角色和職責，并確保內部團隊、專業服務提供商和合作伙伴之間進行無縫溝通和協調；另一方面，定期備份關鍵數據和系統，同時采用安全的異地存儲解決方案和數據加密，也可以促進快速恢復并更大限度地減少數據丟失。同樣，在此過程中，專業服務提供商也可以在事件響應和恢復方面提供指導和支持，幫助企業恢復運營并減輕網絡攻擊的影響。

　　四是，隨著網絡從核心擴展到邊緣，再到云端，各種環境已成為關鍵的漏洞點，因此企業也必須將網絡安全的防護重點擴展到邊緣、核心和云環境。可以看到，隨著分布式網絡的擴散，邊緣已成為一個關鍵的薄弱點。因此，企業也應該在邊緣實施零信任原則，確保嚴格實施訪問控制，持續進行身份驗證，以及全面了解和控制網絡流量。

　　同樣，核心網絡和云環境也需要采取強有力的安全措施，例如網絡分段、加密和持續監視。在此過程中，與專注于邊緣、核心和云安全性的專業服務提供商和業務合作伙伴協作，同樣也可以為企業提供必要的專業知識，以便在這些領域實施有效的安全措施。

　　由此可見，增強網絡安全并提高零信任成熟度對于應對不斷變化的網絡威脅環境已是大勢所趨，而從四個維度入手構建防御層體系，讓企業建立起全面的安全態勢，持續推動零信任架構的落地，才能夠最大化地防范不斷變化的網絡威脅。

　　三個方面強化端點安全性

　　除此之外，端點安全性也是企業零信任轉型的重要組成部分。事實上，當下終端已經成為現代企業風險的中心。從用戶到設備，從業務應用程序到云工作負載，每種類型的企業數據都會流經端點。更大的難題在于，隨著遠程工作的加快和大量物聯網設備連接到企業網絡，監控每個端點的安全性和可見性變得極具挑戰性。

　　根據普華永道和Statista的調查，2022年優先級最高的十大企業網絡安全投資中，端點安全排名第二。數據也顯示，云基礎設施、ActiveDirectory、勒索軟件、Web應用程序、漏洞利用和分布式拒絕服務（DDOS）攻擊在過去一段時間內也急劇激增。

　　而利用零信任的策略和架構，則可以最大化的強化端點的安全性。根據MITREATT&CK框架，當前，不法分子會使用九種“初始訪問技術”來進入企業網絡。

　　研究也表明，在基于云的環境中，傳統的防御措施無法保證端點的安全。攻擊者只需要一個進入端點，其威脅行為體就可以在設備的整個生命周期內利用許多漏洞展開攻擊，更可怕的是，隨著網絡中設備數量的增加，端點就變成了越來越大的攻擊載體。

　　而零信任模式中的安全策略，則詳盡地定義了“已知良好的行為”，這意味著其他所有行為都會被阻止。之后，威脅管理會監視任何偏離已知良好行為的情況，并標記反常行為，同時觸發相應的操作來防范潛在威脅，由此更好地強化了端點的安全性。

　　同樣在這方面，戴爾科技集團也提出了三點建議，希望最大化地幫助企業強化端點安全性，具體來看：

　　首先，企業需要建立正確的策略和控制來支持業務的優先事項。毫無疑問，任何企業用于保障安全的預算都是有限的，因此企業首先要確定的是公司的關鍵業務優先事項。如企業需要保護的最關鍵資產和數據是什么，這樣企業才能“有的放矢”地根據可承受的風險評估攻擊面，并確定出適合企業自身的安全保護策略。

　　其次，企業可以借助在設計和開發時就充分考慮到安全性的設備以加強防御。這其中包括了兩個方面，端點設備是否基于硬件和固件提供保護，并且能夠提供可見性？此外，端點設備的供應鏈是否得到了保護并且具有完整性控制？換句話說，企業未來可以考察合作的端點設備供應商是否滿足以下兩個條件：其一是否采用了安全實踐；其二從采購到制造再到交付，企業可以全程驗證設備的完整性。

　　最后，企業還需要努力實現整個生態系統的無縫集成和互操作性。要實現有效的安全態勢，則需要從以下三個關鍵方面入手，包括集成整個IT生態系統的所有防御；實時可見性；有能力在需要時采取措施等等。

　　不難看出，任何一方面的短板都會給組織造成巨大的損失。因此，企業在零信任安全建設中，只有進一步提升端點安全的防護能力，才能確保整體建設目標的實現。目前傳統端點安全技術由于面臨全面性、兼容性、智能化等應用挑戰，正在被新的防護需求與理念重新定義，而企業應該根據零信任框架要求和最小化訪問授權原則，推動新一代端點安全的能力建設與應用優化，才能最大化強化端點安全性。

　　選擇合適伙伴構建安全體系

　　據Gartner調查顯示，“75%的企業組織正積極尋求安全供應商的全面整合”。該調查還指出，“運營效率低下以及無法有效應對異構安全架構的集成挑戰，令安全和風險管理領導者的擔憂持續升溫。用戶亟待部署更高效和全面集成的解決方案，而非孤立運行的單點安全產品。”

　　從這個角度來看，作為全球領先的技術提供商以及數據保護領域的專家，戴爾科技集團很早就基于“零信任”架構，打造出了全新的安全整體解決方案，并沉淀了一套完整的零信任安全方法論，能夠幫助企業客戶更好地實現“保護數據和系統、增強網絡彈性和降低安全措施復雜性”，在企業提升網絡安全和零信任成熟度的過程中，可以發揮出更大的力量和價值。

　　第一，戴爾科技為企業提供了一整套的網絡安全方法，包括與風險保持一致的數據保護和恢復；先進的檢測和響應平臺；技術與流程自動化；業務連續性和事件響應計劃；與業務需求相一致的網絡恢復；以及擁有業界廣泛認證的安全專家，能夠彌補企業在安全方面技術人員的缺乏，幫助企業設計安全戰略、彌補資源缺口，希望由此讓企業的業務需求和IT流程保持一致，以提高整個組織的業務彈性。在此基礎上，戴爾科技還圍繞企業最為關注的三個方面，即保護數據和系統、提升網絡彈性以及降低安全措施復雜性打造出了完整的解決方案，希望能夠更好的幫助企業強化現代化安全能力，筑牢現代化數據安全“防線”。

　　第二，零信任更是成為了戴爾科技集團基礎架構端到端生命周期“不可或缺”的一部分。比如，在設計和開發之初，戴爾科技安全開發生命周期（SDL）就優先考慮網絡彈性和零信任，從功能構思到設計再到生產和維護，都要確保能夠為企業提供的基礎架構能成為其彈性基礎的保障；同樣，在制造和交付環節，戴爾科技“供應鏈保證計劃”也實施了在實體、人員和網絡安全領域的“零信任”保障措施，以最大化確保彈性制造和交付的過程。

　　此外，在部署和維護方面，戴爾科技也通過安全控制、自動化、遙測和全面的管理工具，通過跨硬件和固件的強大安全層實現“零信任”的部署；更為關鍵的是，戴爾科技的“零信任”策略也會一直延續到項目或者產品生命周期的結束，最終通過擦除所有系統數據來避免機密數據泄露或濫用，從而使系統能夠安全地退出生產。

　　第三，針對端點安全，戴爾科技也通過“DellTrustedWorkspace”幫助企業構建零信任就緒型IT環境保護端點。借助戴爾特有的全面硬件和軟件保護產品組合，減小攻擊面，同時戴爾科技也通過將內置的保護與持續的警戒功能相結合來幫助企業最大化的抵抗威脅。

　　總的來看，面對安全挑戰的“新常態”，目前傳統的、被動安全防御體系已經根本無法抵御日益頻繁的網絡攻擊，企業需要重新審視傳統網絡安全的思想、方法、技術和體系，才能構筑全面防護的主動安全體系，而在此過程中，戴爾科技集團不僅在零信任領域沉淀了多年，能夠提供業界最全的零信任架構和關鍵技術，將安全能力融入云、網、邊、端和業務系統，并始終從業務系統的視角解決安全問題，幫助企業能夠最大化地應對日益復雜并不斷變化的攻擊，并通過保證業務的韌性來應對傳統安全邊界的消失和網絡邊緣不斷擴展的難題，相信也將會在企業未來提升網絡安全和零信任成熟度方面貢獻出更多的價值。