为什么说只有零信任架构才足够安全？

我们现有的数据备份及安全解决方案，都是针对已知安全问题所设计，可以说是一种补救性的方案，并不能解决当前最新的安全问题。

在“加强现代化数据安全”媒体沟通会上，戴尔科技集团大中华区市场部高级顾问李君鹏的一句话引起了大家的反思。

简单分析一下，事实确实如此。无论是操作系统的补丁还是安全工具，所应对的都是已知问题，并基于现有技术。即使用户将所有安全问题封堵上，也无法抵挡黑客们新“挖掘”出来的攻击点。

安全布局，零信任架构首当其冲

十几年前，企业一般会围绕网络来布防，因为基础架构在企业内部，可以保证硬件是安全的，只要让网络足够安全，就可以封堵住绝大部分攻击。但现在已经进入了一个多云的时代，数据是分布式的，边界是虚拟的，可以说现有的安全解决方案不能解决我们所面临的安全问题。

我们该怎么办？

零信任将改变这一局面！

李君鹏表示，零信任有三个原则：1、在零信任环境中所有设备和实体都必须是已知的，都要经过身份验证和确认；2、要明确规定用户行为；3、行为是被理解和监控的。零信任是一种比较彻底、根本性的转变，目前正在被广大企业级用户所接受，逐渐成为主流。

零信任架构由三部分组成：业务控制、控制平面和零信任架构，这三部分必须是自上而下来做。

首先要做的就是业务控制，与业务相关的所有数据、安全、隐私全部做好分析与规划。然后就是控制平面，主要分三个部分：身份管理、策略管理和威胁管理。在零信任架构里面，所有的设备、用户、应用程序都需要有明确的定义，例如：何种身份用户能够在哪个系统上运行哪些应用、访问哪些基础架构等。例如戴尔的SecureWorks就是控制平面的软件解决方案，可以帮助用户解决这些具体问题。

最下层是基于零信任的基础架构，包括存储、网络、服务器、终端设备。正如前文所述，对于整个系统的安全性而言，零信任的基础架构尤为重要。

那么，戴尔在安全方面能起到什么作用呢？

现在，戴尔拥有全球存储基础架构近30%，并占据全球20%的服务器市场，此外还有大量的终端设备。戴尔有责任帮助业界实现零信任的集成，让零信任更简单地被采纳，并减轻用户集成的负担。凭借戴尔在IT行业的号召力，在生态系统的标准化或及合作方面能够发挥很大的作用。

保护系统，一致性是关键

加强现代安全需要做三件事情：保护数据和系统、增强网络弹性、降低安全复杂性。

李君鹏表示，戴尔在安全方面具备两个独特的优势：内在的安全功能和整个生态系统的整体存在。戴尔拥有从核心到边缘，再到云的基础架构，并可提供跨IT领域的整体解决方案。

戴尔对安全的愿景是全面、智能和可扩展的。从保护云的角度来看，戴尔认为一致性是关键。在内部的职能领域之间分担责任，可以促进跨安全控制点的一致性，因为安全需要跨越终端设备、服务器、存储、网络等不同的控制点。通过责任分担，实现统一的云安全策略。戴尔与合作伙伴VMware可以提供平台，为网络功能和威胁管理提供一个统一的策略，从而为客户在多云环境中构建起统一的视图。

在应用程序开发、托管与管理方面，戴尔与合作伙伴为用户提供了一致的操作层，可以实现跨任何云的零信任环境。戴尔通过与VMware的合作，让用户能够通过单点入口，在统一的数字工作空间里开发应用。

现在，越来越多的物联网设备接入到用户网络中，戴尔提供了在安全数字工作场所里跨设备的强大集成能力。包括由VMware和SecureWorks提供支持的端点安全技术，可以对所有类型的设备提供保护和管理。

通过数据避风港保护关键数据

“一个勒索攻击平均的搜索时间是200天”这一点跟我们在电影中看到的不太一样，主要还是因为专业性的勒索攻击也需要分步骤走。首先要找到勒索对象，然后开始逐步拓展，包括找到核心生产数据、关键数据、备份、容灾系统等等，待这一切都探索清楚之后，才会发起攻击。攻击的方式一般都是加密关键生产数据、备份数据，并让灾备系统失效。

在攻击的整个过程中，预防、检测、响应这些威胁，从IT的角度是可以防范的。但重要问题在于攻击一旦形成，数据被“绑架”后应该怎么办？

通常的方式是：第一断网，第二报警，第三等待国家网络安全部门来检查。但这样的等待很有可能持续很久，拖几个月的话公司业务将面临致命打击。此时急需一种完善的恢复手段，才能帮助企业数据“起死回生”，那就是三位一体的数据避风港！

提起戴尔数据避风港解决方案（Dell PowerProtect Cyber Recovery）相信大家都非常熟悉了，其原理是将关键数据同步到加固的存储区，并通过自动化操作的网络阻断隔离这些数据；之后创新这些数据的拷贝，并根据需要设置存储区的保留期；将数据锁定为保留状态，进一步保护它免遭意外或者删除，同时对其进行智能分析，检测数据是否受到感染。

数据避风港要做的是：隔离、锁定和智能分析，缺一不可。

基于戴尔数据避风港的解决方案，用户还需要对应用、数据、人员及流程进行分类管理，通过多种途径保障系统安全。而面对勒索攻击，则可以从容地在隔离区内进行恢复数据等操作，并将干净的数据赋予到生产环境中来。只有在这一套密不透风的组合拳打击下，才能真正破解黑客的勒索攻击。

复杂性是安全的敌人

在演讲中，李君鹏曾多次提到：复杂性是安全的敌人！

一家企业，在数字化转型过程中，所面临的最大挑战就是复杂性。面对海量的服务器、存储、网络和云，系统、数据库、应用、部署等等都将成为痛点，在降低效率同时又提升了风险与成本，因此亟需为系统来做减法。

为整个系统做减法，并不是一件简单的事情，需要面对大量的硬件设备、各种云，还要充分了解业务需求、系统配置并拥有丰富的经验。而现阶段，能够满足这些条件的可能只有AI了。

戴尔所做的就是通过智能创新，将更多的人工智能和机器学习注入到这些安全工具中，以更大的自主权来管理威胁，并提供更好的业务建议。这套基于云的监控和分析软件叫CloudIQ，是面向智能基础架构的AIOps。

CloudIQ结合了主动监控、自动通知、推荐、机器学习和预测分析，对一些故障做预判并针对突发状况采取自动补救措施，帮助降低戴尔基础架构的风险。据了解，CloudIQ可以在IT团队及安全控制点之间，创建一个自动化层，从而推动更一致的行为，帮助用户扩展安全态势。

在这一切高精度自动化的背后，是戴尔安全管理团队提供的支持，通过将技术、人员及流程相结合，提供了从战略到持续管理端到端的服务，从而更好地保护组织。凭借基于AI和机器学习的现代工具集以及20多年的业务弹性专业知识，戴尔能够帮助用户加速安全计划，使其更有弹性。同时，戴尔的专家也通过简化整个客户组织中的关键网络安全、业务连续性和数据保护计划，来帮助用户降低安全的复杂性。

构建零信任，从基础架构开始

现在，我们看到很多安全企业也都在谈零信任，那么基于产品和市场方面，是否有项目落地呢？

戴尔科技集团大中华区数据保护技术总监李岩表示，目前国内还没有企业全面转向零信任，因为这是一个循序渐进的过程。在IT硬件方面，也不可能在短时间内替换掉所有硬件设备。值得关注的是，现在有很多国内企业开始着手向零信任迈进，但这依然是一个相对漫长且投入较高的转型。

在网络弹性方面，戴尔在中国有超过百家客户，包括金融、银行、保险、制造业、医疗、芯片、高科技制造、汽车制造、能源、食品等，它们都建立了数据避风港，且每个季度都会有众多新客户参与进来，这方面市场进程发展非常快。

在硬件方面，戴尔的PowerMax、PowerStore、PowerEdge等等设备也均采用了零信任架构设计，并能够与微软Active Directory及VMware解决方案集成，可按照业务逻辑实现了零信任。例如用户在部分系统中的某个应用，或局部数据中心里，已经可以实现零信任了。

对于整体安全性而言，这是一个巨大的进步，同时也为全面转向零信任架构打下了基础。

面对安全，企业不应存在侥幸心理，因为在这个万物互联的时代，一旦暴风骤雨袭来成为幸存者的几率就很是渺茫。正如网红禅师普陀山上说的那样：蝴蝶不来，花开不开？

总的来看，在整体安全方面企业级用户应该重点关注三个方面，第一是选择值得信赖的安全合作伙伴，例如戴尔这样在全球拥有强大影响力和资源的IT企业，能够为用户提供全面的安全工具与功能；第二是增强网络弹性，保护关键数据和应用，同时还要有完善的数据恢复计划；第三是充分利用AI，实现更加智能的自动化，降低安全复杂性，从而实现业务突破。

最后，笔者认为非常有必要再重复一遍戴尔的那句话：现有的解决方案仅仅针对已知的安全问题。面向未来，企业还需打造真正零信任的架构才行。