風(fēng)口之下,零信任的未來(lái)清晰了嗎?

科技云報(bào)道原創(chuàng)。

隨著產(chǎn)業(yè)數(shù)字化升級(jí)和企業(yè)“上云”的不斷推進(jìn),零信任作為一種新安全理念,成為全球網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)和大趨勢(shì)。

據(jù)MarketsandMarkets預(yù)測(cè),零信任安全市場(chǎng)規(guī)模將從2019年的156億美元增長(zhǎng)到2024年的386億美元,2019-2024年的復(fù)合年均增長(zhǎng)率為19.9%。

在國(guó)內(nèi),從零信任政策及標(biāo)準(zhǔn)逐步落地,到互聯(lián)網(wǎng)科技巨頭廠商積極布局,市場(chǎng)的火熱已顯而易見(jiàn)。有業(yè)內(nèi)人士預(yù)測(cè),零信任現(xiàn)在還處于膨脹期,在未來(lái)的2-5年會(huì)成為一種主流方案。

風(fēng)口之下,零信任的未來(lái)清晰了嗎?

什么是零信任?

作為2010年就被Forrester定義的安全模型,“零信任”正在成為不斷變化的現(xiàn)代工作場(chǎng)所的安全戰(zhàn)略指南。

正如美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)所總結(jié)的那樣,零信任是一套“將防御系統(tǒng)從靜態(tài)的基于網(wǎng)絡(luò)的周邊轉(zhuǎn)向關(guān)注用戶、資產(chǎn)和資源不斷發(fā)展的網(wǎng)絡(luò)安全范式”。

簡(jiǎn)單地說(shuō),“零信任”意味著“什么都不相信, 驗(yàn)證一切”。它要求任何用戶(公司內(nèi)部或外部)在獲準(zhǔn)訪問(wèn)系統(tǒng)、應(yīng)用和數(shù)據(jù)之前必須經(jīng)過(guò)身份驗(yàn)證和授權(quán)。

值得注意的是,“零信任”是一種理念,而不是一種技術(shù)。沒(méi)有單一的產(chǎn)品或解決方案能夠使企業(yè)獨(dú)自實(shí)現(xiàn)“零信任”。

目前來(lái)看,由美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì)NIST于2019年對(duì)外公布的“SIM”(SDP、IAM和MSG),已成為行業(yè)公認(rèn)的實(shí)現(xiàn)零信任的三大技術(shù)路徑。

軟件定義邊界(SDP

在SDP中,客戶端首先進(jìn)行多因素認(rèn)證,認(rèn)證設(shè)備的可靠性等。通過(guò)后,才進(jìn)入用戶登錄階段。這兩步均是客戶端與IT管理員進(jìn)行交互,不涉及對(duì)具體服務(wù)的訪問(wèn)。當(dāng)認(rèn)證通過(guò)后,客戶端才能夠與可訪問(wèn)的服務(wù)建立連接。

身份識(shí)別與訪問(wèn)管理(IAM

IAM具有單點(diǎn)登錄、認(rèn)證管理、基于策略的集中式授權(quán)以及審計(jì)、動(dòng)態(tài)授權(quán)等功能。它決定了誰(shuí)可以訪問(wèn),如何進(jìn)行訪問(wèn),訪問(wèn)后可以執(zhí)行哪些操作等。

和傳統(tǒng)的IAM相比,除了對(duì)用戶身份的統(tǒng)一管理、認(rèn)證和授權(quán)之外,現(xiàn)代化IAM還需要實(shí)現(xiàn)基于大數(shù)據(jù)和AI技術(shù)的風(fēng)險(xiǎn)動(dòng)態(tài)感知與智能分析,對(duì)于用戶訪問(wèn)的行為數(shù)據(jù)、用戶的特征和權(quán)限數(shù)據(jù),以及環(huán)境上下文數(shù)據(jù)進(jìn)行分析,通過(guò)風(fēng)險(xiǎn)模型自動(dòng)生成認(rèn)證和授權(quán)策略

微隔離(MSG

微隔離是細(xì)粒度更小的網(wǎng)絡(luò)隔離技術(shù),能夠應(yīng)對(duì)傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下對(duì)于東西向流量隔離的需求,重點(diǎn)用于阻止攻擊者進(jìn)入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移。

零信任風(fēng)口期到來(lái)

數(shù)字化轉(zhuǎn)型的加速和云計(jì)算的不斷普及,都推動(dòng)了“零信任”理念的快速落地。

“零信任”應(yīng)用場(chǎng)景不僅僅是遠(yuǎn)程辦公,SaaS營(yíng)運(yùn)安全、大數(shù)據(jù)中心、云安全平臺(tái)等都是典型的應(yīng)用場(chǎng)景。

任何企業(yè)網(wǎng)絡(luò)都可以基于“零信任”原則進(jìn)行設(shè)計(jì),大多數(shù)組織的企業(yè)基礎(chǔ)架構(gòu)已經(jīng)具備了“零信任”的某些要素,或者正在通過(guò)實(shí)施信息安全、彈性策略和最佳實(shí)踐來(lái)實(shí)現(xiàn)“零信任”。

目前,“零信任”市場(chǎng)參與者較多,主要有四大類參與者:

云巨頭:谷歌、微軟,以及國(guó)內(nèi)的騰訊云、阿里云等巨頭企業(yè),率先在企業(yè)內(nèi)部實(shí)踐“零信任”并推出完整解決方案;身份安全公司:Duo、OKTA、Centrify、Ping Identity 推出“以身份為中心的“零信任”方案”;綜合安全廠商:思科、Akamai、Symantec、F5 ,以及國(guó)內(nèi)亞信安全、啟明星辰、深信服、奇安信等,都推出了偏重于網(wǎng)絡(luò)實(shí)施方式的“零信任”方案;初創(chuàng)安全公司:Vidder、Cryptzone、Zsclar、Illumio,以及國(guó)內(nèi)的芯盾時(shí)代等初創(chuàng)公司。

另外,收購(gòu)兼并成為目前“零信任”市場(chǎng)的主旋律。如思科、派拓、賽門(mén)鐵克、Unisys、Proofpoint這樣的巨頭玩家,多以收購(gòu)的方式實(shí)現(xiàn)在“零信任”網(wǎng)絡(luò)訪問(wèn)的縱深和業(yè)務(wù)的橫向布局。

可以看到,“零信任”已到來(lái)風(fēng)口期,成為炙手可熱的網(wǎng)絡(luò)安全熱詞。但“零信任”概念誕生已有10年,為什么是現(xiàn)在得以爆發(fā)?

具體而言,零信任安全架構(gòu)之所以能夠在近年來(lái)快速崛起,有三大優(yōu)勢(shì)不可忽視。

首先,是極限思想。零信任安全“不相信任何人/事/物”,不管其是什么級(jí)別、所處何種網(wǎng)絡(luò)。零信任的企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)默認(rèn)關(guān)閉所有端口,拒絕內(nèi)外部一切訪問(wèn),只對(duì)合法客戶端的IP定向動(dòng)態(tài)開(kāi)放端口,由此就可以直接避免任何非法的掃描和攻擊。

其次,是連續(xù)思想。零信任對(duì)外部的訪問(wèn),不是一次性驗(yàn)證的,而是持續(xù)性驗(yàn)證的,而且還會(huì)根據(jù)驗(yàn)證、監(jiān)控的結(jié)果,對(duì)訪問(wèn)進(jìn)行信任評(píng)估和權(quán)限調(diào)整。這種“連續(xù)性的響應(yīng)”,可以全程保證訪問(wèn)都在管控之下。

再次,是最小化思想。最小化思想或者說(shuō)最小化原則,在保證訪問(wèn)“夠用”的同時(shí),也極大地縮小了被攻擊的攻擊面;在此基礎(chǔ)上加之微隔離的手段,就可以最大程度地避免攻擊的范圍,以及阻斷攻擊的傳染性。

這種“思想”層面的領(lǐng)先型,或許才是零信任安全架構(gòu)終將顛覆傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的最堅(jiān)實(shí)底座。

零信任如何落地?

“零信任”讓網(wǎng)絡(luò)安全、網(wǎng)絡(luò)交付乃至整個(gè)IT行業(yè),都有了新的興奮點(diǎn)。一場(chǎng)由“零信任”安全引發(fā)的網(wǎng)絡(luò)安全領(lǐng)域的劇變,即將來(lái)臨。

然而,形勢(shì)大好之下尚有一個(gè)不可否認(rèn)的事實(shí):就國(guó)內(nèi)而言,“零信任”的應(yīng)用之路尚處于導(dǎo)入期。

因其搭建涉及到對(duì)企業(yè)現(xiàn)有網(wǎng)絡(luò)體系進(jìn)行大幅改造等因素的影響,加之千變?nèi)f化的業(yè)務(wù)場(chǎng)景需求,決定了“零信任”的大規(guī)模落地實(shí)踐無(wú)法在短期內(nèi)一蹴而就。

如何破解建設(shè)瓶頸,深入“零信任”安全實(shí)踐,成為擺在數(shù)字化企業(yè)面前的共同之問(wèn)。

雖然在網(wǎng)絡(luò)系統(tǒng)構(gòu)建之初,將“零信任”作為系統(tǒng)的原生“基因”,是行業(yè)普遍認(rèn)為最理想的構(gòu)建之法,但“零信任”網(wǎng)絡(luò)安全框架的搭建并沒(méi)有唯一方法和標(biāo)準(zhǔn)?!傲阈湃巍卑踩珜?shí)踐并不意味著“推翻”,而是基于身份細(xì)顆粒度訪問(wèn)控制體系的整合疊加。

然而,這一“整合疊加”并非簡(jiǎn)單的“補(bǔ)丁”模式,甚至可能觸及企業(yè)原有網(wǎng)絡(luò)安全體系的根基,大量人力和成本投入真實(shí)可見(jiàn)。

因此,企業(yè)領(lǐng)導(dǎo)人的支持在此過(guò)程中就顯得尤為關(guān)鍵。對(duì)企業(yè)現(xiàn)有網(wǎng)絡(luò)安全需求進(jìn)行全盤(pán)分析,既是明晰零信任構(gòu)建之路、制定策略的關(guān)鍵,也是能夠成功說(shuō)服領(lǐng)導(dǎo)人的有效之法。

當(dāng)然,企業(yè)員工作為零信任安全框架的具體實(shí)施者,其能否實(shí)現(xiàn)思維方式的更新也是零信任安全體系能夠發(fā)揮應(yīng)有效能所不容忽視的因素。

因此,圍繞“零信任”安全資深專家的專業(yè)培訓(xùn)和教育,成為企業(yè)零信任落地實(shí)踐中不可或缺的重要部分,也是保持企業(yè)零信任安全架構(gòu)以長(zhǎng)期優(yōu)化機(jī)制,保有動(dòng)態(tài)化、靈活化特征優(yōu)勢(shì)的關(guān)鍵所在。

此外,在零信任產(chǎn)業(yè)市場(chǎng)碎片化、生態(tài)分散化的大趨勢(shì)下,零信任的發(fā)展亟需行業(yè)生態(tài)來(lái)規(guī)范引導(dǎo)。只有聯(lián)合更多行業(yè)生態(tài)形成合力,攜手生態(tài)伙伴在相應(yīng)的場(chǎng)景、環(huán)節(jié)建立相應(yīng)的安全體系,才能真正實(shí)現(xiàn)網(wǎng)絡(luò)安全體系的轉(zhuǎn)變。

在此過(guò)程中,安全企業(yè)作為零信任安全方案和產(chǎn)品的提供者,其推動(dòng)之力顯然是零信任安全落地實(shí)踐的重要引擎。安全企業(yè)通過(guò)不斷深化對(duì)技術(shù)路徑和方案的探索研究,才能讓更多的企業(yè)更為精準(zhǔn)地找到最適合自身業(yè)務(wù)場(chǎng)景的“零信任秘方”。

總的來(lái)說(shuō),“條條大路通羅馬”,企業(yè)要做的就是結(jié)合自身傳統(tǒng)安全體系、身份、賬號(hào)、權(quán)限控制以及審計(jì)管理的現(xiàn)狀,找到最適合自身業(yè)務(wù)系統(tǒng)的最優(yōu)路徑。同時(shí),也要聯(lián)合多方力量,共同探索“零信任”最佳實(shí)踐之路。

值得注意的是,安全行業(yè)一向以合規(guī)要求和業(yè)務(wù)需求為雙重驅(qū)動(dòng)力。企業(yè)對(duì)“零信任”的業(yè)務(wù)需求已逐漸凸顯,若加上嚴(yán)格而有效的合規(guī)要求,即使改革成本大,“零信任”都會(huì)加速落地。

進(jìn)入2021,從“零信任”開(kāi)始的新網(wǎng)絡(luò)安全體系,或許真的將落地了。

極客網(wǎng)企業(yè)會(huì)員

免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。

2021-04-12
風(fēng)口之下,零信任的未來(lái)清晰了嗎?
風(fēng)口之下,零信任的未來(lái)清晰了嗎?

長(zhǎng)按掃碼 閱讀全文