全球首個(gè)零信任國(guó)際標(biāo)準(zhǔn)發(fā)布 解決了哪些關(guān)鍵問(wèn)題?

  • 人閱讀
  • 2021-12-02 17:41:58

  • 來(lái)源:西盟科技資訊

  • 相關(guān)關(guān)鍵詞

標(biāo)準(zhǔn)化,是為了在一定的范圍內(nèi)獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn),共同使用和重復(fù)使用的一種規(guī)范性文件。這是三大國(guó)際標(biāo)準(zhǔn)組織ISO、IEC、ITU共同給標(biāo)準(zhǔn)下的定義。在任何領(lǐng)域,某項(xiàng)技術(shù)想要具備行業(yè)乃至世界影響力,“標(biāo)準(zhǔn)化”是必不可少條件。

日前,網(wǎng)絡(luò)安全行業(yè)最為火爆的零信任理念迎來(lái)了由騰訊牽頭的全球首個(gè)國(guó)際標(biāo)準(zhǔn)——《服務(wù)訪問(wèn)過(guò)程持續(xù)保護(hù)指南》。這意味著零信任理念及相關(guān)技術(shù)在全球范圍內(nèi)首次建立了統(tǒng)一的話語(yǔ)體系和實(shí)踐規(guī)范,將推動(dòng)全球零信任產(chǎn)業(yè)邁向更加開(kāi)放和健全的生態(tài)協(xié)作模式,進(jìn)一步夯實(shí)全球數(shù)字經(jīng)濟(jì)發(fā)展的安全底座。

十年探索實(shí)踐 零信任已成公認(rèn)未來(lái)發(fā)展方向

零信任的概念起源于十年前,F(xiàn)orrester分析師約翰·金德維格指出了“默認(rèn)信任是安全的致命弱點(diǎn)”這一事實(shí),并提出了不再以一個(gè)清晰的邊界來(lái)劃分信任或不信任的設(shè)備;不再有信任或不信任的網(wǎng)絡(luò);不再有信任或不信任的用戶的核心理念。

而零信任真正開(kāi)始被廣泛認(rèn)知,來(lái)自于谷歌的BeyondCorp項(xiàng)目。彼時(shí),隨著云技術(shù)越來(lái)越普及,大量員工在外網(wǎng)辦公,大量手機(jī)、PAD等新設(shè)備出現(xiàn),外協(xié)、臨時(shí)員工的加入,使得邊界變得沒(méi)有意義。谷歌破除內(nèi)外網(wǎng)概念,通過(guò)與設(shè)備為中心的認(rèn)證、授權(quán)工作流,實(shí)現(xiàn)員工任何地點(diǎn)對(duì)資源的訪問(wèn),谷歌的做法也成為了眾多企業(yè)開(kāi)展零信任實(shí)踐的參考。

時(shí)至今日,傳統(tǒng)網(wǎng)絡(luò)邊界已經(jīng)消失殆盡,零信任理念也被更多行業(yè)、組織認(rèn)為是解決新時(shí)代網(wǎng)絡(luò)安全問(wèn)題的“萬(wàn)全之策”。尤其是經(jīng)過(guò)2020年疫情的催化,讓零信任需求進(jìn)一步爆發(fā)。

騰訊企業(yè) IT 安全架構(gòu)師蔡?hào)|赟表示:“從安全趨勢(shì)上看,內(nèi)網(wǎng)安全基于邊界的安全已經(jīng)不是那么牢不可破,數(shù)字化辦公發(fā)展導(dǎo)致沒(méi)有邊界內(nèi)網(wǎng)。核心的爆發(fā)點(diǎn)還是來(lái)自于疫情帶來(lái)的物理隔斷,大家遠(yuǎn)程辦公,這是最基本的適用場(chǎng)景,人們已經(jīng)不得不使用零信任架構(gòu)。”

據(jù)知名咨詢機(jī)構(gòu)Gartner曾預(yù)測(cè),到2023年,60%企業(yè)會(huì)逐步淘汰虛擬專用網(wǎng)(VPN)方式,采用零信任網(wǎng)絡(luò)訪問(wèn)來(lái)進(jìn)行的遠(yuǎn)程方案,從政府組織到商業(yè)實(shí)體,零信任架構(gòu)在全球范圍內(nèi)迅速擴(kuò)張。

目前美國(guó)政府已經(jīng)正式開(kāi)啟零信任戰(zhàn)略。2021年5月,美國(guó)總統(tǒng)簽署了行政命令,強(qiáng)制要求政府部門全面邁向零信任架構(gòu)。在隨后的《2022財(cái)年預(yù)算案》中,美國(guó)國(guó)防部要求撥款6.15億美元用于與零信任網(wǎng)絡(luò)安全架構(gòu)相關(guān)的工作。

在資本市場(chǎng),海外已有多家零信任SaaS公司上市。其中的龍頭企業(yè)Okta,股價(jià)在過(guò)去四年間翻了十倍,市值從2017年上市首日的21億美元,達(dá)到如今的390億美元。

在國(guó)內(nèi),眾多安全廠商也紛紛布局零信任。其中,騰訊自2016年起在內(nèi)部自主設(shè)計(jì)、落地零信任安全管理系統(tǒng)——騰訊iOA,在多年的實(shí)踐錘煉中,零信任安全管理方案實(shí)現(xiàn)了內(nèi)網(wǎng)零事故的戰(zhàn)績(jī),尤其是在2020年初疫情期間,騰訊iOA系統(tǒng)安全支持騰訊內(nèi)部7萬(wàn)名員工和10萬(wàn)臺(tái)服務(wù)終端跨境、跨城辦公需求。

從理念到落地 統(tǒng)一標(biāo)準(zhǔn)規(guī)范是重中之重

“經(jīng)過(guò)十余年的技術(shù)發(fā)展以及疫情遠(yuǎn)程安全辦公應(yīng)用需求的催化,零信任已經(jīng)從概念走向了實(shí)施落地階段,接下來(lái)企業(yè)用戶最關(guān)注的其實(shí)是零信任如何落地的問(wèn)題。” 零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組首席標(biāo)準(zhǔn)專家劉海濤表示。對(duì)于大多數(shù)企業(yè)來(lái)說(shuō),零信任架構(gòu)的“落地”時(shí)機(jī)和方法依然存在諸多疑慮和爭(zhēng)議。

首先零信任并不是一種具體的技術(shù),而是一種理念,實(shí)現(xiàn)零信任有多種框架和路徑,同時(shí)在市場(chǎng)的熱推下,有許多安全產(chǎn)品都打著零信任的幌子進(jìn)行宣傳,這導(dǎo)致許多企業(yè)對(duì)零信任安全認(rèn)知比較割裂,且千差萬(wàn)別。

騰訊安全團(tuán)隊(duì)在對(duì)外輸出零信任安全實(shí)踐時(shí)就遇到了這樣的問(wèn)題。“大家認(rèn)為的零信任根本不是一碼事。有人覺(jué)得這就是IAM,有人覺(jué)得零信任是動(dòng)態(tài)口令,有人說(shuō)是數(shù)據(jù)沙盒,甚至有拿上網(wǎng)行為管理系統(tǒng)的技術(shù)指標(biāo)說(shuō)要招標(biāo)零信任產(chǎn)品。”

另外,零信任的落地需要對(duì)現(xiàn)有的安全體系進(jìn)行改造,客戶從原有網(wǎng)絡(luò)架構(gòu)升級(jí)到零信任架構(gòu),完全重構(gòu)成本極高,且許多機(jī)構(gòu)的安全建設(shè)已有多年積累,在進(jìn)行零信任改造時(shí),對(duì)于如何與企業(yè)現(xiàn)有安全架構(gòu)、安全產(chǎn)品/設(shè)備結(jié)合,充分利舊,具有強(qiáng)烈的訴求。

騰訊企業(yè)IT安全架構(gòu)師蔡?hào)|赟表示:“去適配每個(gè)客戶千差萬(wàn)別的協(xié)議標(biāo)簽會(huì)非常麻煩。通過(guò)標(biāo)準(zhǔn)化以及生態(tài)協(xié)同的助力,推動(dòng)接口聯(lián)動(dòng),將大大提升服務(wù)商和客戶之間的合作效率,避免走彎路,同時(shí)還能減少后來(lái)者進(jìn)入行業(yè)的難度,促進(jìn)產(chǎn)業(yè)持續(xù)繁榮。”

最后,從安全廠商的角度來(lái)說(shuō),零信任安全生態(tài)建設(shè),不可能由一個(gè)公司或者某幾個(gè)公司完全主導(dǎo),要發(fā)揮整個(gè)行業(yè)的力量。“行業(yè)需要統(tǒng)一的標(biāo)準(zhǔn)為各個(gè)廠商確定技術(shù)邊界,服務(wù)商各自發(fā)揮自己擅長(zhǎng)的技術(shù)并進(jìn)行深入研究,促進(jìn)整個(gè)生態(tài)的發(fā)展。”上海派拉軟件研發(fā)總監(jiān)茆正華說(shuō)道。

從“持續(xù)驗(yàn)證”到“持續(xù)保護(hù)”不止換個(gè)詞那么簡(jiǎn)單

從理念到落地,零信任的未來(lái)發(fā)展不完全是技術(shù)或產(chǎn)品層面的問(wèn)題,它同時(shí)跟企業(yè)的經(jīng)營(yíng)、規(guī)劃、長(zhǎng)期發(fā)展的管理強(qiáng)相關(guān),并且是一個(gè)持續(xù)優(yōu)化的過(guò)程。技術(shù)與業(yè)務(wù)需求將雙輪驅(qū)動(dòng)零信任產(chǎn)品的未來(lái)發(fā)展,制定匯聚產(chǎn)業(yè)共識(shí)的標(biāo)準(zhǔn)規(guī)范將能更好的促進(jìn)產(chǎn)業(yè)協(xié)同發(fā)展。

通常來(lái)說(shuō),標(biāo)準(zhǔn)往往需要具備權(quán)威、普適、科學(xué)、實(shí)用四個(gè)特性。首先,必須由行業(yè)認(rèn)可的權(quán)威機(jī)構(gòu)批準(zhǔn)發(fā)布;其次,制定要經(jīng)過(guò)利益相關(guān)方充分協(xié)商,并聽(tīng)取各方意見(jiàn);另外,標(biāo)準(zhǔn)來(lái)源于人類社會(huì)活動(dòng),其產(chǎn)生的基礎(chǔ)是科學(xué)研究和科技進(jìn)步的成果,是實(shí)踐經(jīng)驗(yàn)的總結(jié);最后制定目的是為了解決現(xiàn)實(shí)問(wèn)題或潛在問(wèn)題,在一定的范圍內(nèi)獲得最佳秩序,實(shí)現(xiàn)最大效益。

此次由騰訊牽頭的全球首個(gè)零信任國(guó)際標(biāo)準(zhǔn)《服務(wù)訪問(wèn)過(guò)程持續(xù)保護(hù)指南》,由國(guó)際三大標(biāo)準(zhǔn)機(jī)構(gòu)之一的ITU-T批準(zhǔn)發(fā)布,在前期標(biāo)準(zhǔn)立項(xiàng)以及二次答辯過(guò)程中,均經(jīng)受了眾多世界頂尖安全專家的審查,具備充分的權(quán)威性和普適性。

從科學(xué)性上來(lái)說(shuō),《服務(wù)訪問(wèn)過(guò)程持續(xù)保護(hù)指南》源自于騰訊等多家中國(guó)企業(yè)落地零信任的最佳實(shí)踐經(jīng)驗(yàn)及技術(shù)總結(jié)。就騰訊而言,其自2016年就開(kāi)始在內(nèi)部展開(kāi)零信任實(shí)踐,多年來(lái)實(shí)現(xiàn)了內(nèi)網(wǎng)安全零事故并成功經(jīng)受了疫情考驗(yàn),與此同時(shí)騰訊零信任解決方案已經(jīng)在政務(wù)、醫(yī)療、交通、金融等多個(gè)行業(yè)成功應(yīng)用,支持百萬(wàn)終端設(shè)備的安全接入。

最后,從實(shí)用性上,首個(gè)零信任國(guó)際標(biāo)準(zhǔn)的建立,對(duì)零信任理念及相關(guān)技術(shù)在世界范圍內(nèi)的普及無(wú)疑具有重要的推動(dòng)作用。而且,基于中國(guó)特色的零信任實(shí)踐總結(jié),此次標(biāo)準(zhǔn)發(fā)布還推動(dòng)了零信任理念從“持續(xù)驗(yàn)證”到“持續(xù)保護(hù)”內(nèi)涵的升級(jí)。

具體來(lái)看,標(biāo)準(zhǔn)提出的零信任安全理念核心部分,打破了傳統(tǒng)基于網(wǎng)絡(luò)區(qū)域位置的特權(quán)訪問(wèn)保護(hù)方式,重在持續(xù)識(shí)別企業(yè)用戶在網(wǎng)絡(luò)訪問(wèn)過(guò)程中受到的安全威脅,保持訪問(wèn)行為的合理性,以不信任網(wǎng)絡(luò)內(nèi)外部任何人/設(shè)備/系統(tǒng),基于持續(xù)的身份認(rèn)證和安全評(píng)估對(duì)訪問(wèn)進(jìn)行授權(quán)控制,實(shí)現(xiàn)對(duì)訪問(wèn)主體、訪問(wèn)鏈路、訪問(wèn)客體(服務(wù))的整個(gè)訪問(wèn)過(guò)程的多維度持續(xù)安全保護(hù)。

例如,在遠(yuǎn)程工作場(chǎng)景、訪問(wèn)多云服務(wù)場(chǎng)景、服務(wù)器與服務(wù)器之間通信的三大典型應(yīng)用場(chǎng)景中,“持續(xù)保護(hù)”使得用戶不需要維護(hù)多個(gè)訪問(wèn)接口,即可實(shí)現(xiàn)使用一個(gè)訪問(wèn)控制策略來(lái)管理不同的云的資源,還能避免諸如分布式拒絕服務(wù)(DDoS)攻擊等各類型網(wǎng)絡(luò)攻擊。部署“持續(xù)保護(hù)”具有諸多優(yōu)勢(shì),包括有助于做出更精確的授權(quán)決定,縮小服務(wù)器的攻擊面,兼顧更好的用戶體驗(yàn)和更強(qiáng)的安全性等。

標(biāo)準(zhǔn)化的過(guò)程本身就意味著生態(tài)的建立,面對(duì)產(chǎn)業(yè)互聯(lián)網(wǎng)時(shí)代更加嚴(yán)峻的安全挑戰(zhàn),安全行業(yè)依然需要更加體系化的安全標(biāo)準(zhǔn),來(lái)促進(jìn)生態(tài)共建,加快構(gòu)筑新一代網(wǎng)絡(luò)安全體系。為產(chǎn)業(yè)數(shù)字化夯實(shí)安全基礎(chǔ),依然任重而道遠(yuǎn)。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )