在数字大潮涌动之时，网络安全的威胁日益增加，数字安全技术也在相应更新迭代。

为了应对数字时代的发展与挑战，云安全联盟大中华区增设旗下品牌特色栏目——安全“咖”啡馆，集结网络安全行业大咖，用轻松的聊天方式碰撞安全前沿的观点。旨在用一杯咖啡时间，聊一个安全话题，分享一段安全故事。

咖啡时间，是忙碌工作中的放松时刻，安全“咖”啡馆的时间，是对网络安全行业的观点绽放，弥漫着咖啡的轻盈与行业大咖的思想火花，碰撞出行业前瞻观点，为行业的未来发展“添砖加瓦”。

日前，安全“咖”啡馆首期分享会成功举行，本期分享会由云安全联盟大中华区多云安全工作组组长魏小强主持，与首位安全大咖腾讯安全总经理杨育斌进行主题名为“多云环境，零信任还是SASE？”的深度对话，围绕多云环境、零信任、SASE等行业热词，就新形势下企业网络安全的架构带来精彩分享。

Q：多云时代和零信任的关系是什么？

上云打破了传统企业边界理念，随着云计算和各种应用的融合，很多企业需要应用不同的云环境保证业务的连续性和容灾能力，多云策略越来越普及。Gartner有报告指出，未来90%以上的企业都会采取多云策略。

多云是企业网络环境或者物理环境边界的扩张，在扩张过程中，安全状况会变得越来越复杂。越来越多的企业发现，传统基于边界防御手段已经不能适应目前的安全防护需求，行业需要一种新的架构体系或者理念来弥补传统防护方式的不足。零信任遵循永不信任，持续验证的理念，可以很好的解决传统圈地式防御颗粒度比较粗的问题，已经成为了网络安全行业的热词。

Q：零信任能解决所有的安全问题么？

安全是没有银弹的，无论是传统的安全体系还是现在的零信任，或许未来还会出现一个新的名词和技术手段，解决的都是一个阶段的问题，在行业发展过程中会不断发现还有新的问题，需要持续去改进防护手段。零信任和传统的边界防御是可以并存的，他们解决的问题不太一样。如果是基于可信的网络结构，传统的边界防御还是有效且高性价比的防御手段。

Q：零信任如何协调业务发展与网络安全之间的关系？

零信任最早的用途是让办公可以无处不在，让企业员工即便在不信任的网络环境下也能接入到企业内网去办公，安全边界是从内网扩散到整个网络。如果用传统的安全体系去评估，是很难办到万无一失的。零信任理念主张持续的验证，颗粒度很小的授权，以及每次动态端口一次一密，双向加密等各种严格的手段，是一种动态的防御思想，能够打破原有业务的边界，让业务走得更远。

Q：如果没有零信任，会发生什么情况？

举个典型的例子，曾经有客户抱怨，他的防火墙上有几千条策略，很多策略都是临时加的，有时候需要临时为业务合作伙伴开个端口，有时需要服务员工办公环境的临时变化，但他已经记不清这些策略到底哪些有用，什么时候加的，为什么加，所以这些策略在迁移机房的时候迁移还是不迁移，就成了难题，总体来说维护成本非常高昂。

零信任的特点在于放大了安全边界，扩大了保护半径，通过持续验证来确保所有访问动作是可信的，也可以通过很多信息的融合分析，来确保整个链路的访问过程对于网络管理员或者安全从业者来说都是可见的，对于客户来说它打破了原有的安全策略静态叠加的方法，采取更灵活的动态最小授权，提供了更好的用户体验，扩大了业务安全半径。
 

Q：如何看待最近很火的安全访问服务边缘SASE及其与零信任的关系？
 

SASE更加体现了融合的概念。零信任是一种安全的新思想，把各个分散的端和边界做融合的安全管控。SASE是更大范围的融合，从横向来说，会把包括公有云和私有云在内的各个云都给打通，纵向来说覆盖了边缘计算到各种传感器的网络。当然在连接、最小授权、如何在不可靠的连接环境下更安全的访问网络等层面，SASE与零信任是相辅相成的。

Q：SASE在落地过程中有哪些难题？

SASE的玩家，主要有云厂商、网络运营商还有安全运营商。其中最难的问题就是这三者怎么样能够真正的融合到一起，因为SASE的核心就是网络和安全还有服务的融合。网络运营商有固定网络保障模式，但是在网络保障的同时，如何保证一个业务异构环境下平行空间的安全同步，目前还没有看到一个很成功的落地案例。

另外安全厂商需要有不同的运营商来提供不同的边缘节点实现业务的就近接入，但是边缘节点并不受控。如何让不同运营商自建的网络真正实现融合，让业务跨供应商的就近接入，同时保证安全，是行业需要共同努力探讨的问题。

03

Q：IT环境越来越复杂，攻击面增加，同时人们追求随时随地安全访问的用户体验，有什么手段来实现两者的平衡？

融合的思路是不会变的，业务发展一定会打破传统的网络边界带来新的应用场景。网络安全未来的复杂性也在于融合，比如说多云融合和云边结合的环境会带来无处不在的安全需求。结合传统安全以及零信任的理念，对不安全的传输、网络进行最小授权和可视化监控等策略，会是未来的发展方向。

另外，所有的边界或者节点，慢慢的都变成了安全的传感器或者是传感节点，将新的安全思想或者手段植入到传播层，在每一层的传输中，对流量进行可视化的监控是更加容易落地的思路。而如何实现业务与业务之间的联通和建立信任关系，并在这个过程中保证数据的安全，完成数据的合规审计等，会是更大的挑战。

Q：网络安全有什么新的服务模式？

安全产品原来是解决一个问题，未来安全更应该作为一种基础平台，来实现对信息化IT系统的支撑，并完成自身的解耦，将安全服务能力模块化、组件化，由业务单元按需调用，并由专业的安全人员、安全组织对异构组件进行安全运维，为客户提供更加敏捷、轻量、高性价比的XaaS服务模式。

Q：如何建设协调统一的网络安全生态？

安全无处不在，数字化转型一边带来了便利，一边也带来了巨大的安全风险，安全从业者需要各种技术理念的融合，更需要生态的联合协同，才足以应对未来复杂的安全风险。在协同的层面，当前各种安全产品或者安全服务，包括安全的业务模式，面临最大的问题还是控制面如何能够统一。

借用零信任理念来说，无论是在边界、网络、应用或者身份层面，零信任的各种服务都是一些组件，需要统一的安全策略体系来调动这些组件。安全运营商在给客户设计安全体系的时候，首先要统一安全策略，把安全策略所用的场景确定清楚，之后采用哪些组件，组件与组件之间如何通讯，如何协调安全和通讯之间的调度关系，就比较容易往下梳理，产品的接口、标准也更容易统一。

Q：总结一下未来网络安全建设的几个关键要点。

几个关键词。我们讨论多云环境、零信任或者是SASE，第一个关键词就是融合，传统安全架构和零信任等新架构，在各种云和网络环境中，在各种业务场景下都要进行融合；

第二个关键词是解耦，融合之前产品先要解耦，要实现组件化，能够被集成被调用，融合才有基础，若大家都各自为政，还是传统的包围圈防御体系；

最后一个关键词是统一策略，一定要有统一的安全策略，在融合的环境里面去完成组件化的调用，完成策略同步，才能真正做到零信任，实现每一步都验证。

最后，伴随着魏小强与杨育斌的举杯共饮咖啡中，首期安全“咖”啡馆圆满结束。

安全“咖”啡馆

用一杯咖啡时间

聊一个安全话题

分享一个安全故事

安全“咖”啡馆的启动，是云安全联盟大中华区坚持做独立、中立、权威的非营利性国际组织的呈现，更是为下一代数字安全的前沿技术标准研究与产业最佳实践分享的决心。欢迎广大行业大咖们加入安全“咖”啡馆的队伍中共饮咖啡，提报新颖、创新的内容话题，共同为下一代的数字技术发展出力！