智能运维技术专题｜“零信任”下的防火墙策略管理_策略管理中心 零信任

1一个著名的勒索攻击案例

2018年，某大型半导体制造企业突然传出消息：其营运总部及相关园区电脑遭到勒索病毒——WannaCry大规模入侵，且病毒迅速蔓延至生产线，几小时内，该企业几个重要的生产基地全部停摆。仅3天，亏损额就超过了11亿，股价蒸发近78亿，损失惨重。这场事故将隐藏在现代制造业特点背后的网络安全隐患曝光在大众视野中。

勒索病毒攻击一般始于网络端口扫描，找到网络暴露端口的服务器，再利用漏洞进入目标服务器内部。而上述提到的WannaCry就是利用了Windows的SMB协议（文件共享）的漏洞进行传播的。病毒通过扫描445端口，发现漏洞之后，就能在电脑里执行任意代码，植入后门程序，然后再进行内网东西向传播。

究其原因，缺乏基于“零信任”架构的防火墙策略管理，使现如今国内一些仍然依赖人工方式进行防火墙策略管理的企业成为攻击的重灾区。

2 “零信任”下的防火墙策略管理难题

“零信任”是Forrester分析师在2010年提出的一种安全概念，它的核心思想是默认不应该信任网络内部和外部的任何人/设备/系统，遵循关键的零信任原则，即对最小特权访问的每一步都需要策略检查。

当我们在执行“零信任”策略“是”的时候，无论是Gartner提出的“五步最佳实践”，还是NIST白皮书提