在日前举行的ISC 2022第十届互联网安全大会的零信任与SASE开放技术论坛上，360集团信息安全中心负责人张睿分享了《360零信任软件定义边界的落地与实践》主题演讲，介绍了360集团如何在复杂的基础架构环境和业务背景下，从零开始摸索实践，打造零信任安全架构体系相关情况。

360集团信息安全中心负责人张睿发表主题演讲

  面对重重威胁，360集团面向未来的零信任安全规划

  作为一家集团化业务的企业，360集团业务覆盖了互联网、网络安全、IoT等领域。随着业务的发展，组织架构和服务资源不断调整，内网接入边界逐渐模糊。面对复杂的基础架构与业务资产，如何构建一个全局统一的身份边界体系，管控不同业务的海量数据资源成了难题。

  实施零信任落地过程中，360制定了明确的阶段目标。张睿提到，最初建设零信任时并非追求极致的零信任，而是建立以身份为边界的精确资产管理，消除内网的特权，最小化网络边界的攻击面。零信任的概念不难理解，真正做到运营友好，可落地的零信任却很不容易，在实践与落地过程中需要扎实的安全功底与丰富的基础数据。

  360集团的零信任建设最早可追溯到2016年。在起步阶段，360建立了统一身份认证体系，实现了基于用户身份的权限全生命周期管理；2017-2018年，将SDP控制器管理系统的用户权限实时同步到ID防火墙上，完成用户权限的动态变更；2019、2020两年，360将零信任架构推广到分支办公区，在分支机构进行SDP改造，实现了分支机构用户基于ID的访问控制。

  从2021年起，360开始构建零信任统一数字工作空间，致力打造更安全、高效的办公环境。时至今日，360集团已经完成了零信任的全面落地。

  七年磨一剑，360对零信任执着探索与实践

  在360的认知中，零信任的本质是在不可信的环境下，如何兼顾安全和体验地实现对资源的访问。在架构的演进过程中，360的零信任逐渐从办公领域拓展到了生产领域，将核心IT基础设施和零信任网络接入层云化，构建形成了私有化的SASE基础设施，方便了分支机构的灵活扩展和管理。当用户访问云上的业务资源，安全云资源池就会对其进行检测并反馈，控制器基于终端安全状态对终端进行降权或强制下线，低成本实现了云上零信任资源的拓展。

  从零信任落地的技术架构来看，360零信任整体架构分为网络接入、访问控制、策略控制和安全分析四大模块，通过分析用户安全数据进行动态的访问控制。在安全分析模块，本地安全大脑起到了安全运营中心的作用，将基于安全状态的动态分析能力与整个零信任基础架构的访问控制能力紧密结合。

  360的零信任基础架构已在集团内稳定运行多年，支撑着整个360生态系统的员工接入访问，其中包含了三个核心组件。第一部分是以360推推作为办公入口的零信任统一数字工作空间，通过360终端安全管理系统、360浏览器、加固保等终端安全产品实时将终端的安全状态上报到云端；第二部分是云端服务架构，将IAM、QPaaS应用网关、连接云网关和身份防火墙等充分云化，联动SDP控制器，构建云端零信任SaaS服务；第三部分通过360本地安全大脑，基于身份进行用户行为分析，联动NDR和EDR等威胁检测产品，为整体安全运营的检测和响应提供良好的决策输出点。

  360全面开放零信任安全能力，助力企业构建新型安全架构

  张睿表示，零信任的落地离不开公司高层的支持与其他团队的通力协作。另外，盲目追求零信任不可取，按照零信任思想对现有安全架构进行改造，才能符合自身业务发展需求。在零信任建设过程中，应该高度重视数据质量，资产和访问控制策略梳理必不可少，也要做好灰度上线机制、应急通道和回滚机制避免影响业务。同时，零信任代理网关中四层和七层网关都可以落地，应考虑适配改造成本选择合适网关。

  如今，360集团的零信任架构日常承载着2万多用户的访问需求，日在线终端达到2.5万。通过对传统网络访问架构的零信任安全改造，360构建了“永不信任，持续认证”的安全访问机制，并在本次ISC大会上全面开放360的零信任安全能力。

  基于零信任统一数字工作空间形成了一体化的安全终端入口，在做到安全的同时兼顾了办公的高效和体验。此外，丰富的安全产品生态也为360零信任安全架构提供了助力。360本地安全大脑、360企业安全云、360连接云、360终端安全管理系统、360SDP、360推推、360企业浏览器等产品为零信任架构提供了从端到访问资源的全链路防护能力，自动化实时感知风险并决策，将能力嵌入到零信任基础架构中，实现了企业核心资源的动态防护，为数字化转型中的企业保驾护航。