十位安全行業(yè)專家解讀:零信任安全如何從概念走向?qū)嵺`

  • 人閱讀
  • 2020-07-01 10:14:12

  • 來源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

受疫情的影響,以及辦公軟件頻發(fā)的安全事件,十年前提出的“零信任”安全理念在2020年再度成為社會焦點,但如何將“零信任”這種能兼顧辦公協(xié)同、效率、安全和體驗的理念根植在企業(yè)安全建設(shè)中,卻始終無法達成共識。

端午節(jié)前夕的一場線上發(fā)布會嘗試給出答案。中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟秘書長雷曉斌以及中國移動設(shè)計院、騰訊、深圳網(wǎng)安、天融信、任子行等多家機構(gòu)相關(guān)負責(zé)人和技術(shù)專家在「零信任產(chǎn)業(yè)標準工作組成立暨騰訊零信任安全管理系統(tǒng)iOA 5.0版本發(fā)布會」上,圍繞零信任產(chǎn)業(yè)標準、落地實踐、應(yīng)用趨勢等展開探討,為零信任從概念走向?qū)崙?zhàn)提供參考樣本。

零信任落地要關(guān)注哪些問題?

在新基建和疫情的雙重刺激下,企業(yè)數(shù)字化進程進一步提速,這也意味著零信任的落地過程中需要考慮更多新場景、新技術(shù)與新要求。

例如面對逐漸“飛入尋常百姓家”的5G技術(shù),中國移動通信集團設(shè)計院有限公司5G+創(chuàng)新業(yè)務(wù)所副所長杜雪濤認為,5G網(wǎng)絡(luò)安全架構(gòu)下,整個安全防護的重點是安全邊界的防護。在安全邊界變得越來越模糊的情況下,進一步驅(qū)動了零信任架構(gòu)的引入。但是,在這兩個技術(shù)融合的過程中,需要解決什么是身份、如何提升超級時延的決策能力、如何保護敏感數(shù)據(jù)等三大挑戰(zhàn)。

天融信科技集團技術(shù)總監(jiān)劉治平則從目前網(wǎng)絡(luò)安全的發(fā)展趨勢剖析了零信任的發(fā)展抓手——網(wǎng)絡(luò)安全方面呈現(xiàn)出國產(chǎn)化、行業(yè)化、服務(wù)化、智能化四大趨勢,在零信任的應(yīng)用上,天融信將在四種趨勢的推動下持續(xù)落地零信任理念,幫助用戶完成在零信任產(chǎn)學(xué)研用生態(tài)鏈中“用”的建設(shè)。

如何做好安全合規(guī)同樣是零信任的關(guān)鍵任務(wù)。深圳市網(wǎng)安計算機安全檢測技術(shù)有限公司技術(shù)總監(jiān)洪躍騰認為,零信任的這種安全理念代表了新一代的安全思路,其在落地過程中,與等級保護測評中要求的邊界防護、身份認證、訪問控制、個人信息安全保護等方面關(guān)系密切。例如在邊界防護中,要保證這種跨越邊界的訪問和數(shù)據(jù)流,通過邊界設(shè)備提供的接口進行通信。在這種基于零信任的系統(tǒng)中,數(shù)據(jù)流通只有安全認證和合法授權(quán)后才可以接入目標資源和系統(tǒng)。

在聚焦到企業(yè)如何從現(xiàn)有的安全架構(gòu)向零信任理念遷移的場景中,任子行網(wǎng)絡(luò)技術(shù)股份有限公司技術(shù)總監(jiān)王先高結(jié)合自身實踐經(jīng)驗,提出了三點思考:落地的成本是否是低于傳統(tǒng)VPN的解決方案?業(yè)務(wù)的切割能否做到平滑的過渡?用戶的習(xí)慣是否可以體驗更好?基于此,王先高建議采用最小化的應(yīng)用先落地進行體驗,卸載掉傳統(tǒng)VPN歷史包袱,采用小步快跑的思路去迭代零信任方案的部署。

國內(nèi)首個“零信任產(chǎn)業(yè)標準工作組”的成立將帶來什么改變?

發(fā)布上,騰訊聯(lián)合共16家發(fā)起單位,在中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟標準專委會下建立了“零信任產(chǎn)業(yè)標準工作組”,致力于為成員單位提供技術(shù)交流、專家指導(dǎo)、市場開拓、產(chǎn)品測評、人才培養(yǎng)等平臺,并助力各行業(yè)用戶基于標準化的方式重構(gòu)網(wǎng)絡(luò)與安全應(yīng)用,建立真正有效的網(wǎng)絡(luò)安全架構(gòu)。

中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟秘書長雷曉斌在發(fā)布會上表示,與傳統(tǒng)的安全防護機制相比,零信任安全的新理念更有優(yōu)勢,也催生了行業(yè)內(nèi)越來越多零信任概念安全產(chǎn)品的涌現(xiàn)。如何能真正有效地推進零信任網(wǎng)安全的落地,各類產(chǎn)品和解決方案到底要達到哪些核心的安全技術(shù)要求,這是必須通過標準去探索和規(guī)范的;零信任產(chǎn)業(yè)發(fā)展也需要具有先進性、前瞻性的標準去牽引,才能真正成為網(wǎng)絡(luò)安全發(fā)展的驅(qū)動力。

騰訊安全總經(jīng)理王宇表示,作為零信任產(chǎn)業(yè)標準工作組的發(fā)起單位,騰訊將秉持合作共贏理念,開放自身在零信任領(lǐng)域的能力和資源積累,與“零信任產(chǎn)業(yè)標準工作組”合作伙伴共建產(chǎn)業(yè)標準生態(tài),推動行業(yè)標準研制、測試評價、市場活動與成果轉(zhuǎn)化,為客戶提供高質(zhì)量的零信任產(chǎn)品和服務(wù),促進零信任產(chǎn)業(yè)規(guī)?;l(fā)展。

毫無疑問,零信任產(chǎn)業(yè)標準工作組的成立為零信任真正融入企業(yè)、走進場景提供了框架式的規(guī)范。在騰訊安全管理部標準中心副總監(jiān)黃超看來,零信任目前已經(jīng)展現(xiàn)出了良好落地實踐效果,包括遠程安全辦公場景、混合云安全運維管理場景以及服務(wù)端之間安全訪問場景。但同時,黃超也提出,從技術(shù)維度上看,零信任在真正落地時,需要適配更多的終端和通信協(xié)議;通過一些技術(shù)手段去打造智能化、自動化的目標;通過零信任來實現(xiàn)細粒度的、動態(tài)的安全和訪問控制;平衡用戶體驗、用戶實際使用之間的矛盾;以及零信任這種新的理念和架構(gòu),如何和已有安全產(chǎn)品和服務(wù)兼容和集成,都需要產(chǎn)業(yè)上下游攜手探索和優(yōu)化。

零信任的“騰訊實踐”如何煉成?

在推動零信任標準建立的過程中,騰訊還收獲了更多零信任的實踐成果。騰訊安全高級產(chǎn)品經(jīng)理王丹在發(fā)布會上,首次介紹了騰訊基于領(lǐng)先技術(shù)和最佳安全實踐打造的騰訊iOA(5.0版本)。騰訊iOA打破了傳統(tǒng)基于區(qū)域的授信控制方式,采用基于可信身份(Trusted identity)、可信設(shè)備(Trusted device)、可信應(yīng)用(Trusted application)和可信鏈路(Trusted link)的“4T原則”授予訪問權(quán)限,并強制所有訪問都必須經(jīng)過認證、授權(quán)和加密,真正實踐了“零信任”設(shè)計理念,保障無論員工位于何處、何時使用何設(shè)備都可安全訪問企業(yè)資源?;谧匝屑夹g(shù)成果和內(nèi)部安全實踐檢驗,全新升級的騰訊iOA,成功打造了員工位于何處(Anywhere)、何時(Anytime)使用何設(shè)備(Any device)都可安全地訪問授權(quán)資源以處理任何業(yè)務(wù)(Any work)的4A新型辦公方式。

“騰訊從2015年開始研發(fā)基于零信任的iOA版本,把整個辦公路徑分解為人、設(shè)備、運用、資源等核心元素。在這個過程中,騰訊內(nèi)部提供了很好的戰(zhàn)場,有大量的應(yīng)用場景和用戶。”騰訊企業(yè)IT安全研發(fā)負責(zé)人蒙俊伸表示,經(jīng)過10多年實踐的積累跟研究,騰訊建立起了一套安全、穩(wěn)定、高效的一個零信任工作環(huán)境。目前,騰訊iOA服務(wù)了內(nèi)網(wǎng)近10萬終端,覆蓋Windows、MAC、linux三大辦公平臺。

騰訊iOA在安全上的表現(xiàn),蒙俊伸還分享了一個案例——騰訊iOA在終端環(huán)境上通過可信身份、可信設(shè)備和可信應(yīng)用保障整體辦公環(huán)境的安全。其中在可信應(yīng)用上,可以實現(xiàn)對每個應(yīng)用及API的校驗。正是依托于這種深度分析能力,在18年某安全運維工具被攻擊時,騰訊比行業(yè)提前兩周發(fā)現(xiàn)并及時阻止了風(fēng)險。

騰訊游戲也基于零信任的理念,摸索出了支撐海量游戲服務(wù)集群的經(jīng)驗。據(jù)騰訊IEG 技術(shù)運營部基礎(chǔ)安全產(chǎn)品負責(zé)人龍凡介紹,針對騰訊游戲面臨的多云跨云服務(wù)器訪問管理等需求,零信任的落地有兩個核心點,第一是以身份為基礎(chǔ)的可信接入;第二是在具備持續(xù)風(fēng)險評估的基礎(chǔ)上動態(tài)訪問控制能力。騰訊TEG在實踐過程中的特色還在于,以iOA校驗過的身份為基礎(chǔ),結(jié)合在服務(wù)器訪問過程當中的風(fēng)險評估再次發(fā)起身份挑戰(zhàn),旨在實現(xiàn)從服務(wù)器端到用戶終端的聯(lián)動,實現(xiàn)基于身份的安全訪問控制。

伴隨著越來越多針對零信任的趨勢洞察、標準制定和實踐落地,零信任這一前沿理念將加速融入企業(yè)IT架構(gòu),成為企業(yè)安全體系的“標準配置”。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責(zé)任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )