“从来不是遠(yuǎn)程办公淘汰了现场办公，而是高效代替了低效。”各行各业数字化转型，追求的必然是更高效的工作方式，由此催热了“零信任”的概念。

各安全厂商(shāng)百家争鸣，演进了多(duō)条技术路線(xiàn)（SDP、IAM、MSG 等），以期用(yòng)零信任架构，护航用(yòng)户遠(yuǎn)程办公的安全接入。

然而，大部分(fēn)用(yòng)户仍旧认為(wèi)零信任的落地难度和演进方向都是不明确的：

● 对于还在观望的用(yòng)户来说，停留于一个固有(yǒu)观念：“零信任只能(néng)解决遠(yuǎn)程办公的安全问题”，零信任不就是“更安全一点”的VPN吗？

● 对于已经初步入局的用(yòng)户，同样也存在疑惑：落地遠(yuǎn)程办公场景后，下一步要怎么办？

面对您的疑问，深信服零信任决定来一次全面解读。

过去我们通过不同类型的安全设备来进行访问控制，包括防火墙、交换机、路由器、SSL VPN 等。

经过多(duō)年的发展，传统的访问控制机制开始暴露出诸多(duō)弊端，主要有(yǒu)两个方面:

1.在传统身份认证机制下，先授权网络连接和访问，再进行身份认证，导致业務(wù)对外暴露。

2.基于 IP/MAC/VLAN 设置 ACL，难以与真实用(yòng)户进行关联；身份与权限对应静态且粗放，难以做到细粒度权限管控。

当我们进一步剖析，上述问题的本质都是“主體(tǐ)到客體(tǐ)的访问控制存在着安全风险”。

在南北向访问中，过去通过 SSL VPN 实现遠(yuǎn)程安全接入，但SSL VPN 在安全性/大并发等方面的能(néng)力，越来越难以满足数字化转型趋势下的用(yòng)户需求。

而零信任聚焦业務(wù)安全接入，从身份、终端、连接、权限、数据和行為(wèi)等不同维度，帮助用(yòng)户安全访问业務(wù)，构筑了基于端到端多(duō)维度信任评估的访问控制链条。

區(qū)别于以传统的 IP/MAC/VLAN 等方式判定网络边界，零信任基于身份构建更细粒度的网络边界，让业務(wù)的访问方式和信任判定方式更加完善和全面。

理(lǐ)解了这一点，我们就能(néng)达成一个共识：零信任所聚焦的建设范围实际上是用(yòng)户的整个办公网络，而不仅仅是遠(yuǎn)程接入场景。

举个例子来说，SSL VPN 和零信任，好比是计算器和计算机，二者都做数据运算，但计算器只能(néng)做加减乘除，而计算机有(yǒu)着更多(duō)的扩展空间，不论是能(néng)力扩展，还是场景扩展，都会存在差异，且随着后续的发展，差异也会越来越大。

引入一套新(xīn)的技术架构，势必犹如平地一声雷，给原有(yǒu)的网络架构带来冲击。

站在助力用(yòng)户领先一步落地的视角，过去我们提出“以零信任替换 VPN”，从遠(yuǎn)程办公场景切入，既是考虑到用(yòng)户需求的紧迫性、对业務(wù)影响范围较小(xiǎo)，也考虑了实际落地难度。这也已经成為(wèi)当前业界的共识。

然而，遠(yuǎn)程办公零信任落地后，我们还在思考：用(yòng)户可(kě)能(néng)还存在着哪些问题？这些问题可(kě)以通过零信任架构解决么？

在整體(tǐ)网络架构中，遠(yuǎn)程办公只是一个相对独立的场景，用(yòng)户的业務(wù)访问方式没有(yǒu)发生质的改变，依旧是先连接、后认证。一旦攻击者突破边界，整个内网将完全暴露。无论是攻防演练所暴露出的问题，还是真实世界中发生的网络安全事件，都在不断警示着我们：大部分(fēn)安全事件的源头都来自于内部。

大部分(fēn)用(yòng)户很(hěn)重视从外到内的安全接入，但内部业務(wù)访问逻辑却相对简单，且接入方式复杂多(duō)样，包括网络准入、云桌面 VDI、PC 等，不仅需要来回切换，还引入了多(duō)套身份體(tǐ)系，增加了安全风险。同时，伴随着企业数字化转型，业務(wù)部署方式发生变化，多(duō)机房、混合云的环境使得传统的 SSL VPN 难以满足用(yòng)户随时随地的接入访问需求。

多(duō)套安全接入产品，势必会造成不同设备访问策略管理(lǐ)的复杂度持续上升，需要投入更多(duō)的人力和时间成本，违背企业“降本增效”的经营逻辑。

相信以上问题，诸多(duō)用(yòng)户都有(yǒu)共鸣。如何解决，才是关键。

為(wèi)了给广大用(yòng)户提供更合理(lǐ)可(kě)行的解决方案，深信服以自身进行验证，在短短一年时间内，完成了集团内部零信任建设，实现基于零信任架构的内外网统一接入（点击跳转：深信服零信任的0号样板点）。无论用(yòng)户身处何种网络，只有(yǒu)通过零信任的安全认证和访问代理(lǐ)，才能(néng)访问后端业務(wù)。

去年，我们也开始帮助用(yòng)户逐步向更广泛的场景进发：分(fēn)支接入、开发测试、安全运维、内外网统一接入等，在各行各业打造典型案例，成為(wèi)國(guó)内零信任落地数量第1、单客户百万并发规模的网络安全厂商(shāng)。（点击跳转：落地数量第1，深信服零信任获中國(guó)信通院“最受行业欢迎厂商(shāng)”）

如今，越来越多(duō)的用(yòng)户已经将零信任取代了传统的 SSL VPN，并且享受到了零信任所带来的安全效益，因此我们為(wèi)用(yòng)户提供的切实建议是：

基于访问主體(tǐ)和客體(tǐ)，统一规划，在平稳完成遠(yuǎn)程办公场景零信任建设后，可(kě)以逐步切换到分(fēn)支接入、特权访问、办公内网等场景的零信任建设，逐步解决上述问题。

值得关注的是，作為(wèi)网络安全體(tǐ)系中信任评估和访问控制的全局性框架，零信任架构的演进性和生長(cháng)性是关键，需要随着业務(wù)范围的扩展，进行灵活、快速、低成本的适配。

零信任架构并非单个产品就能(néng)完全实现的，基于大量用(yòng)户实践的探索，深信服能(néng)够為(wèi)用(yòng)户提供不同组合的搭建方案：

提供“5A+S级”Workspace办公體(tǐ)验，构建融合多(duō)种不同安全级别应用(yòng)的数字化工作平台，在同一工作平台中实现不同密级应用(yòng)的一站式访问，為(wèi)办公安全与體(tǐ)验上一份“双重保险”。

综合虚拟网络域、办公空间、透明加解密、数据导出/外发管控、内存拷贝管控、屏幕水印等技术，实现终端数据泄密防护。