古风名字,我吃西红柿

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

防御能力已被鎖死，破而后立，曉喻新生！

01 碎片化網(wǎng)絡帶來的挑戰(zhàn)

任何一款有價值、有意義的產(chǎn)品，一定是滿足了某些特定需求，或是解決了某些特定問題。做產(chǎn)品就是要找到這種最本質、最核心的問題，也就是我們通常說的0到1的問題。所以，當我們起心動念要去定義一個跟零信任相關的安全產(chǎn)品時，就先得想清楚我們到底要解決什么核心問題？滿足什么核心需求？

隨著云計算、移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等基礎技術的革新，政府和企業(yè)的辦公網(wǎng)、生產(chǎn)網(wǎng)都出現(xiàn)了巨大變化——網(wǎng)絡越來越碎片化了。一個企業(yè)同時使用多個云服務、多個數(shù)據(jù)中心、多個辦公職場已經(jīng)非常普遍，再加上移動辦公、分支機構、渠道合作伙伴遠程協(xié)同，遠程連接業(yè)務資源，這讓我們的辦公網(wǎng)、生產(chǎn)網(wǎng)變得越來越像是一個私有的互聯(lián)網(wǎng)。

在碎片化網(wǎng)絡里，網(wǎng)絡通信本不是問題，有很多技術和方法都可以實現(xiàn)，但安全治理卻出現(xiàn)了很多新的挑戰(zhàn)。

1、暴露面越來越多：網(wǎng)絡逐漸碎片化，意味著需要通過不可信網(wǎng)絡進行數(shù)據(jù)傳輸?shù)木W(wǎng)絡通道就越來越多，導致了不可信網(wǎng)絡的暴露面增多，攻擊者可用來滲透的入口也持續(xù)增多。

2、統(tǒng)一安全管控變得更難：大多數(shù)企業(yè)都有自己的集中身份管理、單點登錄系統(tǒng)等等，有些對安全有更高要求的企業(yè)還有終端DLP系統(tǒng)、終端集中管控系統(tǒng)、統(tǒng)一威脅分析系統(tǒng)、態(tài)勢感知系統(tǒng)。在碎片化網(wǎng)絡中如果想全局統(tǒng)一進行管控，就需要讓這些系統(tǒng)跟每一個獨立網(wǎng)絡都能通信，要讓所有分布在各個網(wǎng)絡碎片中的終端可以訪問這些系統(tǒng)，把各類安全數(shù)據(jù)發(fā)送到這些系統(tǒng)上來，以及從中心系統(tǒng)把安全策略分發(fā)到每個網(wǎng)絡碎片中去，這勢必又要把這些系統(tǒng)暴露在外。這樣雖然實現(xiàn)了統(tǒng)一管控，但暴露面又增加了，安全風險也與日俱增。

在碎片化的網(wǎng)絡里，統(tǒng)一管控和減少暴露面怎么才能共存？這是個很大的挑戰(zhàn)。

3、網(wǎng)絡IP地址與人的關聯(lián)越來越弱：現(xiàn)在的網(wǎng)絡環(huán)境越來越繁雜，在碎片化的網(wǎng)絡中使用了大量的IP地址轉換和動態(tài)IP技術，網(wǎng)絡地址跟人或終端的關聯(lián)性越來越弱，這讓原來的網(wǎng)絡安全產(chǎn)品的實際效果大不如前。安全的本質問題是人的問題，但傳統(tǒng)的網(wǎng)絡安全產(chǎn)品大多基于網(wǎng)絡流量進行威脅檢測和阻斷，IP地址現(xiàn)在跟人和終端沒有關聯(lián)，即便是檢測到了威脅，僅僅憑借一個源IP，即找不到真正有惡意企圖的人，又不敢直接封禁IP，因為沒準這一封禁，就把一群人都封禁了。

內(nèi)網(wǎng)互聯(lián)網(wǎng)化的過程中，暴露面問題、統(tǒng)一管控問題、網(wǎng)絡地址與人無關問題，是最硬核的需要解決的三個問題。

02 我們距離零信任還有多遠？

零信任是一套安全原則，給出了一個安全網(wǎng)絡應該具備的特性，比如：隔離、隱藏、白名單模式、以身份為中心的策略、最小授權、動態(tài)信任等等，讓安全回歸到人和數(shù)據(jù)本質。按照這套原則，理論上是已經(jīng)解決了上述三個問題。但零信任概念里并沒有一個標準的實現(xiàn)方法，這就是零信任讓大家覺得非常認可，但又非常困惑的原因，也是零信任市場目前特別熱鬧的原因。

典型的企業(yè)安全接入方案

大部分企業(yè)在網(wǎng)絡安全接入方面采用的都是這樣一套全家桶方案：終端準入+VPN+IAM+SSO+堡壘機（或應用網(wǎng)關）+防火墻+專線+威脅分析系統(tǒng)，IAM分別與準入、VPN、SSO、堡壘機打通，用統(tǒng)一身份進行認證授權。通常已經(jīng)上了安全接入全家桶方案的企業(yè)，往往對零信任的理解更加容易困惑，為什么已經(jīng)全副武裝了還要搞零信任？

如果我們要找到產(chǎn)品的意義，就不能假設客戶環(huán)境中什么安全措施都沒有，而是需要思考在這種“全副武裝”的環(huán)境下，我們離零信任還有多遠，找到這個差距，也就找到了產(chǎn)品存在的價值。

首當其沖是暴露面問題，很明顯VPN就是一個典型的互聯(lián)網(wǎng)暴露面，近幾年VPN的0day漏洞層出不窮，成為了攻擊熱點。但我們說的暴露面不僅僅是互聯(lián)網(wǎng)暴露面，而是指不可信網(wǎng)絡的暴露面，這里還包括內(nèi)網(wǎng)中的暴露面，內(nèi)網(wǎng)中的暴露面問題就更多了。

在網(wǎng)絡上，訪問控制一般分成兩層來管控，一個是應用層，我們可以通過IAM、SSO、堡壘機或應用網(wǎng)關，基于用戶統(tǒng)一身份進行訪問控制和審計；另一個是網(wǎng)絡層，一般通過防火墻進行訪問控制，通過流量日志進行審計。

這其中有個明顯的問題，雖然應用層我們可以用統(tǒng)一身份進行管控和審計，但網(wǎng)絡層我們只能基于網(wǎng)絡數(shù)據(jù)包來進行管控和審計，眾所周知，網(wǎng)絡協(xié)議是不帶身份的，零信任中以身份為中心的原則在這里出現(xiàn)了斷層。攻擊者一旦進入內(nèi)網(wǎng)，不能指望他按照我們設計的那樣通過IAM、SSO、堡壘機，用正常流程來訪問業(yè)務資源，并且只在應用層進行攻擊。攻擊者完全可以在網(wǎng)絡層對所有網(wǎng)絡可達的業(yè)務資源或終端進行攻擊，比如直接攻擊IAM、SSO等等，沒有任何阻攔。

我們已經(jīng)部署的各種威脅檢測系統(tǒng)，如：SOC、SIEM、態(tài)勢感知等等，它們不能保障網(wǎng)絡的安全嗎？很可惜，這些系統(tǒng)會遇到IP地址與身份無關的問題，無論是模式匹配、上下文分析、行為基線分析、威脅情報分析、威脅溯源，都只能基于IP地址來做，基于IP的行為數(shù)據(jù)只代表了一個人的行為片段，無法代表一個人的完整行為，所以在這種環(huán)境下安全分析能力會大打折扣。另外，即便分析出來某個IP有威脅，怎么封禁？封了這個IP，攻擊者下次更換一個IP還是一樣進來。

問題還可能變得更復雜，上圖所示的網(wǎng)絡中，所有人在訪問業(yè)務資源之前都先接入到總部職場的辦公網(wǎng)中，通過這種犧牲帶寬和體驗的方式強制所有人在訪問業(yè)務的時候都先經(jīng)過統(tǒng)一身份認證和授權，同時確保認證系統(tǒng)不在互聯(lián)網(wǎng)暴露。假設有多個職場，每個職場也有自己的業(yè)務資源，部署在不同的地方，業(yè)務訪問是在多職場之間，多方向同時進行。要讓所有人都能使用統(tǒng)一的身份和管控策略，我們就不得不把IAM、SSO這些系統(tǒng)都放到互聯(lián)網(wǎng)上才行，但這又會產(chǎn)生新的暴露面。

我們的一個客戶，非常關心敏感數(shù)據(jù)流出的問題，在每個終端上都部署了DLP客戶端，原來都在局域網(wǎng)內(nèi)使用，可以通過網(wǎng)絡準入系統(tǒng)強制要求入網(wǎng)時DLP客戶端必須開啟，DLP日志服務器也部署在局域網(wǎng)內(nèi)，能采集到的所有終端的DLP日志。疫情期間，員工都居家辦公了，遠程接入，網(wǎng)絡準入系統(tǒng)失效，怎么才能讓員工在任何地方都必須開啟DLP？同時還能在不暴露DLP日志服務器的前提下，讓分布在任意地方的終端把DLP日志實時傳到日志服務器上？

很顯然，客戶對網(wǎng)絡準入的需求已經(jīng)發(fā)生了轉變，客戶現(xiàn)在需要的是場景準入，而不再是物理網(wǎng)絡準入。當訪問互聯(lián)網(wǎng)時，員工在任意地點都能隨時訪問，當訪問業(yè)務資源時，無論在哪都必須符合安全要求，經(jīng)過認證授權才可訪問。

03 實現(xiàn)零信任的關鍵技術問題

可見，要實現(xiàn)零信任，在技術層必須解決兩個核心問題：

1. 在網(wǎng)絡上，需要同時滿足網(wǎng)絡碎片化、統(tǒng)一安全管控和分析以及網(wǎng)絡零暴露。

2. 網(wǎng)絡層也需要身份化，要以統(tǒng)一身份為核心打通認證、授權、接入、網(wǎng)絡層訪問控制、應用層訪問控制、用戶行為分析、敏感數(shù)據(jù)訪問審計、威脅場景化分析、帳號終端實時處置全過程。

先來看看第一個問題。現(xiàn)在我們面臨的是一個既要在物理網(wǎng)絡上碎片化，又在安全策略編排上集中化的問題。什么技術能實現(xiàn)與物理位置無關、同時又能集中編排？——云計算。

用云的思維解決物理位置無關和集中管控問題

云的本質是虛擬化，是一種通過虛擬化實現(xiàn)資源共享的技術。云把多個位于不同物理位置的服務器虛擬化，構建在一個Overlay網(wǎng)絡中，租戶在這個Overlay網(wǎng)絡中集中對資源進行編排，但實際業(yè)務分布在不同的物理服務器上，數(shù)據(jù)傳輸也實際在物理網(wǎng)絡中傳輸。對于租戶而言，無需再考慮物理資源和物理網(wǎng)絡。

我們對云的理解太狹隘了，云一定是在遠端嗎?云一定都是服務資源的虛擬化嗎？PC端、手機端、物聯(lián)網(wǎng)終端不能是云的一部分嗎？云不能無處不在嗎？我們自己不能身在云中嗎？

按照這個思路，我們可以把虛擬化的范圍再擴大一下，不僅僅是把IDC的服務器資源云化，而是把分布在各種云上、IDC、自建機房的業(yè)務資源，以及在任意位置PC端、手機端都云化，構建在一個Overlay網(wǎng)絡中，那會是個什么景象？這樣的方式使得所有終端、所有業(yè)務資源的物理位置已經(jīng)不再重要，傳統(tǒng)的內(nèi)網(wǎng)已經(jīng)被云化了。

云化后的內(nèi)網(wǎng)會變成一個與物理位置無關，極簡的端到端網(wǎng)絡，在這個網(wǎng)絡里我們只聚焦跟安全相關的三個對象：人、終端、業(yè)務，所有策略、分析研判都基于這三個關鍵對象來制定和執(zhí)行。

端到端的極簡網(wǎng)絡

終端是人的延伸，一個具體的人和一個具體的終端構成一個網(wǎng)絡實體。這個網(wǎng)絡里存在三種通信關系：人與業(yè)務、業(yè)務與業(yè)務、人與人。（我們需要認識到，在網(wǎng)絡中訪問方向不是“十”字型，而是“工”字型，東西向流量有兩種方式，即人與人、業(yè)務與業(yè)務兩種方式。）

這些關系的編排就是授權策略，統(tǒng)一在控制中心進行授權編排和細粒度策略實時計算，細粒度策略實時分發(fā)到端和業(yè)務側，用分布式策略引擎來執(zhí)行。

內(nèi)網(wǎng)互聯(lián)網(wǎng)化與集中管控共存的問題解決了，我們構造的云化網(wǎng)絡可以跨越整個互聯(lián)網(wǎng)，連接任何位置的業(yè)務資源和終端，同時可以集中統(tǒng)一的對策略進行編排。

接下來，我們再看看如何將這個網(wǎng)絡打造成私有的隱匿網(wǎng)絡。

在SDP的架構里實現(xiàn)網(wǎng)絡隱身使用的是SPA單包授權技術，這是一種在會話建立前通過一個UDP單向包來實現(xiàn)身份驗證和會話開關的技術，也是SDP最關鍵的技術。

在我們構建的網(wǎng)絡里實現(xiàn)隱身，可以做到比SDP更徹底、更簡潔一些，因為我們在網(wǎng)絡層、應用層都是完全可控的，沒必要一定在上層來實現(xiàn)隱身，完全可以在更底層來實現(xiàn)。

在網(wǎng)絡層實現(xiàn)網(wǎng)絡隱身不是什么新鮮事，幾乎每個人每天都可以接觸到，例如：每個人家里的家庭網(wǎng)絡就是個隱匿網(wǎng)絡，我們每個人家里都有個家庭路由器，家里的電腦、電視都是通過這個路由器接入互聯(lián)網(wǎng)，但是我們不用擔心有人會從互聯(lián)網(wǎng)主動連接到家里的電腦或者電視上，因為我們并沒有在路由器上開放任何內(nèi)部IP地址和端口，這是個單向訪問網(wǎng)絡。那用同樣的方式，我們把原來開放的IP和端口停掉，把業(yè)務資源所在的業(yè)務局域網(wǎng)也都改造成這樣的單向訪問網(wǎng)絡，不就實現(xiàn)了網(wǎng)絡層的隱身嗎？而且這種隱身方式更為徹底，不光是業(yè)務資源隱藏起來了，零信任控制器、零信任網(wǎng)關都隱藏起來了，不光是應用層隱藏了，網(wǎng)絡層也隱藏了。

另外，SPA又被稱為敲門協(xié)議，每次聽到“敲門協(xié)議”都會讓我想到一個畫面：一個小伙，在家里吃著火鍋唱著歌，突然聽到一陣敲門聲，跑到門口從貓眼里看到一個人畜無害的小姑娘，她說：“物業(yè)的，查水表！”于是，小伙把門打開了。突然兩側沖出來數(shù)個大漢，瞬間把這個小伙死死地摁倒在地上。

不是說好了要“永遠不信任，始終在驗證”嗎？

既然在TLS會話建立過程中，可以通過一個UDP單向包來實現(xiàn)身份驗證和會話開關，那我們不如再徹底一點，把所有業(yè)務訪問數(shù)據(jù)包都改造成UDP單向包，使用逐包認證、逐包加密的方式來實現(xiàn)網(wǎng)絡隱藏，讓未經(jīng)過認證授權的終端，連三次握手的SYN包都發(fā)不過來。

對，小姑娘可以進來，大漢們必須全堵在門外。

這樣第一個問題就解決了，再來看看如何破解第二個問題。

上文提到，對于政府和企業(yè)的辦公網(wǎng)、業(yè)務網(wǎng)來說，統(tǒng)一身份管理并不缺，網(wǎng)絡準入、VPN接入、應用層的訪問控制已經(jīng)可以實現(xiàn)用統(tǒng)一身份進行管控，但網(wǎng)絡層基于統(tǒng)一身份的訪問控制是缺失的，零信任原則里以身份為中心的訪問管控在網(wǎng)絡層出現(xiàn)了斷層，而原因就是因為網(wǎng)絡協(xié)議本身都不帶身份屬性。

我們的解決方法非常簡單粗暴，但是很高效，我們直接在所有網(wǎng)絡層數(shù)據(jù)包都上加上了身份信息，讓網(wǎng)絡五元組變成網(wǎng)絡六元組，在網(wǎng)絡層每一個數(shù)據(jù)包里都增加一個身份的維度。

降維打擊分兩種，一種是讓對手降低維度，另一種是自己升高維度。既然我們無法讓攻擊者降維，那我們就在網(wǎng)絡底層給自己升維。

這也就意味著，在這個能覆蓋全球的網(wǎng)絡的任何一個位置，我們都能看到是什么人、用什么終端、對什么業(yè)務、收發(fā)了什么數(shù)據(jù)包。也就是說，在網(wǎng)絡上任意一個點都可以基于帳號、終端、業(yè)務進行權限控制和行為干預。

通過這種升維，基于身份的全鏈路管控能力就都有了，實現(xiàn)零信任的各種安全原則，就有了一個身份化的網(wǎng)絡基礎設施。

網(wǎng)絡流量包含了所有人對業(yè)務和數(shù)據(jù)的訪問行為，所以我們都想通過網(wǎng)絡流量來捕獲到所有威脅行為，但通過網(wǎng)絡數(shù)據(jù)進行威脅分析存在兩個不足：

網(wǎng)絡數(shù)據(jù)包不帶身份信息，所以通過網(wǎng)絡流量不可能做到真正基于人或者終端的行為分析，無論是上下文關聯(lián)，還是用機器學習的方式找到人的行為基線，幾乎都不可能。

這個問題我們通過在網(wǎng)絡數(shù)據(jù)包上加上身份信息的方式已經(jīng)解決了。我們從網(wǎng)絡上捕獲到的流量日志無論是網(wǎng)絡層還是應用層都會帶上身份信息。這樣所有采集到的數(shù)據(jù)都天然基于身份做了聚合，然后再基于這些聚合后的信息進行基于人或終端的行為分析，不需要關心源IP是什么，所有分析結果都可溯源到人和端。

2、業(yè)務資源可能會在應用層加密，在網(wǎng)絡流量上看到的是加密后的數(shù)據(jù)，無法識別具體內(nèi)容。在某些場景下可以用應用網(wǎng)關，用ssl證書對流量進行卸載，雖可以做一些內(nèi)容識別，但是交付復雜，識別率也差強人意。

這個問題，我們通過用瀏覽器解決。我們在終端Agent上內(nèi)置一個安全瀏覽器，可以設置策略，要求終端用戶必須用內(nèi)置瀏覽器訪問一些特殊業(yè)務資源，禁止用其他瀏覽器訪問。瀏覽器是人與數(shù)據(jù)交互的末端，瀏覽器里全是明文信息，通過瀏覽器識別敏感數(shù)據(jù)可以無視所有網(wǎng)絡加密手段，因為人總是要用明文進行信息傳遞的（用密文傳遞信息的人是無間道、是余則成，這里不做討論）。

通過這種方式我們可以輕松了解到：誰、用什么終端、在哪、訪問了什么業(yè)務資源、看到了什么敏感數(shù)據(jù)，反過來也能看到都有哪些敏感數(shù)據(jù)，都存儲在在哪些業(yè)務系統(tǒng)上，它們的整個數(shù)據(jù)流動過程是怎樣的。然后基于這些基礎數(shù)據(jù)，結合機器學習算法，識別異常的敏感數(shù)據(jù)訪問行為。

舉個例子：某企業(yè)全國有上百個銷售渠道，上千銷售人員每天都在使用CRM和工單系統(tǒng)銷售企業(yè)的產(chǎn)品或服務，銷售員需要錄入客戶的手機號、姓名、銀行賬號這些個人隱私信息。通過剛才說的方式，我們可以看到每個人都在哪、什么時間段、通過什么方式、訪問了哪些數(shù)據(jù)、訪問頻率以及數(shù)據(jù)量都是多少，然后用機器學習算法，計算每個人的敏感數(shù)據(jù)訪問行為基線。當某個銷售員某天對敏感數(shù)據(jù)的訪問行為發(fā)生較大偏差時，比如：對于銷售員來說日常寫入敏感數(shù)據(jù)比較多，突然有一天他的讀取敏感數(shù)據(jù)的行為增加了，或者說對某單一類型數(shù)據(jù)訪問量過大，系統(tǒng)會自動讓這個帳號暫時退出網(wǎng)絡，對終端和人進行多因素的二次身份校驗，再次確認身份；或者直接禁用這個帳號，那這個帳號無論在什么地方，使用什么終端，都無法再訪問這個業(yè)務資源。

04 安全云網(wǎng)能力結構

講到這里，產(chǎn)品的功能架構基本就清晰了，如下圖，這就是整個安全云網(wǎng)的功能結構。

從能力分層上，至下而上分為四層：

底層是一套基于SDN技術的端到端隱匿網(wǎng)絡。讓業(yè)務資源和終端擺脫物理網(wǎng)絡限制，讓內(nèi)網(wǎng)互聯(lián)網(wǎng)化，構建一個跨多個網(wǎng)絡的隱匿內(nèi)網(wǎng)，同時讓網(wǎng)絡層數(shù)據(jù)包具備身份維度，可以基于身份在任意網(wǎng)絡節(jié)點進行管控或者行為捕獲，為上層能力提供基礎支撐；

第二層是安全接入和控制層。這一層遵循零信任原則來設計，用身份打通任意位置入網(wǎng)、網(wǎng)絡層控制、應用層控制，細粒度授權、動態(tài)授權等等零信任相關的能力，同時開放各種接口，對接已建的安全系統(tǒng)。（BTW：安全云網(wǎng)不是一種零信任產(chǎn)品，而是一種符合零信任安全原則的云化安全網(wǎng)絡，未來所有安全產(chǎn)品都會依據(jù)自身定位，多多少少地滿足零信任安全原則，不存在獨立的零信任產(chǎn)品）

第三層是威脅檢測層。這里利用云網(wǎng)數(shù)據(jù)包身份化的優(yōu)勢，匯集各種帶有身份的數(shù)據(jù)，以人、端為中心對數(shù)據(jù)進行聚合，同時利用機器學習算法對異常行為、威脅行為進行研判、驗證和處置；

4、第四層是智能化運營層。云化網(wǎng)絡也好，零信任也好，威脅檢測也好，都不是安全的最終目標。安全不是一個功能，不是一種狀態(tài)，而是一個持續(xù)且有周期的運營過程，智能化運營層就是在構建這樣一個自適應安全運營過程。在這一層里我們整合下面每一層的能力，讓我們對整個網(wǎng)絡具備全面感知、全面管控的能力，對每一個網(wǎng)絡實體進行實時的安全風險評估，基于威脅場景自動化的對各類數(shù)據(jù)進行關聯(lián)、溯源和研判?！?/p>

05 部署案例

這樣一整套安全云網(wǎng)，看起來功能不少，但如果構建這么一個安全云網(wǎng)需要中斷業(yè)務、需要改造應用、需要冒著風險，這套方案也就失去了實際應用的意義。

選擇用Overlay的方式構建云化網(wǎng)絡的主要目的就是要讓安全運營與數(shù)據(jù)通信徹底分離。網(wǎng)絡安全需要的是集中統(tǒng)一編排、研判和處置，而數(shù)據(jù)通信的環(huán)境現(xiàn)在卻越來越碎片化，這兩者的發(fā)展趨勢一個向左、一個向右，而我們非得在同一個網(wǎng)絡平面上把他們倆湊一塊，就會出現(xiàn)各種各樣的問題。大部分的網(wǎng)絡安全設備正是因為這個原因，導致安全能力被鎖死，再往上提升的空間已經(jīng)沒有多少。

通過構建一個全新的云化網(wǎng)絡，在虛擬網(wǎng)絡里做安全的事情，在物理網(wǎng)絡上做數(shù)據(jù)通信的事情，這就是信域安全云網(wǎng)。

以下是一個部署案例：

這是一個相對比較大的網(wǎng)絡，接近一萬員工、上千業(yè)務資源、多個云、多個數(shù)據(jù)中心、多個異地職場。全網(wǎng)采用高可用多活架構設計：控制平臺異地高可用集群，在兩個數(shù)據(jù)中心同時為所有終端用戶服務，每個物理區(qū)域都部署多個網(wǎng)關，每個業(yè)務資源同時由多個網(wǎng)關代理接入云網(wǎng)，終端根據(jù)鏈路質量自動選擇最優(yōu)路徑。

整個云化網(wǎng)絡構建耗時也就兩三個小時，并且是在工作日辦公時間完成部署，業(yè)務毫無感知。

云化網(wǎng)絡除了可以輕松突破物理位置限制、改造底層協(xié)議、編排所有策略，還可以輕松實現(xiàn)對業(yè)務無感知、全網(wǎng)高可用、彈性、交付簡單等等，基本上云的優(yōu)勢全都繼承過來了。

06 對網(wǎng)絡的認知需要升級了！

在過往的認知里，網(wǎng)絡就是由各種網(wǎng)線光纖、路由器、交換機、防火墻構建成的網(wǎng)狀的數(shù)據(jù)通道，就像高速公路一樣將不同的服務器、終端連接在一起，完成數(shù)據(jù)的流通，在流動中讓數(shù)據(jù)產(chǎn)生價值。

未來的網(wǎng)絡需要面對業(yè)務互聯(lián)網(wǎng)化的趨勢，需要突破物理網(wǎng)絡限制，隨時隨地可以安全接入，同時它應該是個身份化的隱匿網(wǎng)絡，能開放地對接各種安全能力，甚至為其他安全能力賦能，是持續(xù)安全運營的安全網(wǎng)絡底座。

未來的網(wǎng)絡會進化成一個智能的分布式生命體，網(wǎng)線光纖、路由器、交換機組成了這個生命體的骨架和脈絡。每一個終端、每一個資源就像是這個生命體的神經(jīng)元，承載了人的意識和有價值的數(shù)據(jù)。集中的控制中心就像小腦，用策略控制整個網(wǎng)絡的數(shù)據(jù)流通，以及對每個網(wǎng)絡實體的實時響應。分析中心就像大腦，通過每一個神經(jīng)元感知整個網(wǎng)絡世界的所有活動，具備場景化的研判和處置邏輯，自動發(fā)現(xiàn)這個網(wǎng)絡世界里存在的異常和威脅，自動生成響應策略，并向控制中心發(fā)出指令，對異?；蛲{點實時處置。

是時候向智能云網(wǎng)絡進化了！

網(wǎng)站欄目：防御能力已被鎖死，破而后立，曉喻新生！
網(wǎng)頁地址：http://fisionsoft.com.cn/article/cojicci.html