國內(nèi)外零信任:我們不一樣
責(zé)編:gltian |2021-05-07 17:02:51前言
零信任的出現(xiàn)將網(wǎng)絡(luò)防御范圍從廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到單個或小組資源,同時它也代表新一代的網(wǎng)絡(luò)安全防護(hù)理念,打破默認(rèn)的“信任”,秉持“持續(xù)驗證,永不信任”原則,即默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng),基于身份認(rèn)證和授權(quán),重新構(gòu)建訪問控制的信任基礎(chǔ),確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信。本文旨在通過零信任技術(shù)在國內(nèi)外的發(fā)展路線,幫助您對零信任這一安全理念有更為全面的了解。
備受關(guān)注的零信任國內(nèi)外的技術(shù)路線有何異同?
我們都知道“零信任”這一理念最早是在美國提出的,為什么最早會在美國?這與美國蓬勃發(fā)展的云計算、大數(shù)據(jù)技術(shù)是息息相關(guān)的。
隨著零信任技術(shù)體系的完善,加上不斷增長的云應(yīng)用/WEB應(yīng)用,企業(yè)對于這種動態(tài)認(rèn)證和最小化權(quán)限管理事中轉(zhuǎn)事前的安全防御理念更為接受。
Google這種互聯(lián)網(wǎng)巨頭的零信任的實(shí)踐證明,更堅定了資本和廠商的投入,如今美國最大安全公司不是防火墻類傳統(tǒng)公司,而是零信任公司。
反觀國內(nèi),移動互聯(lián)網(wǎng)業(yè)務(wù)蓬勃發(fā)展,線上支付業(yè)務(wù)的發(fā)展伴隨著移動業(yè)務(wù)的發(fā)展一起向前,線上支付的安全性是阿里巴巴、騰訊這些互聯(lián)網(wǎng)巨頭首要考慮的問題,零信任這一安全理念,也是最早在國內(nèi)互聯(lián)網(wǎng)移動支付領(lǐng)域得到實(shí)踐和實(shí)用。
隨著零信任理念在國內(nèi)的傳播,這一安全理念也逐步得到更多企事業(yè)的認(rèn)可。
如移動辦公模式在疫情期間得到廣泛應(yīng)用,單一VPN接入保障在這期間出現(xiàn)了不少的安全事件,如何提高遠(yuǎn)程辦公、遠(yuǎn)程接入以及業(yè)務(wù)應(yīng)用的安全性,讓更多企事業(yè)客戶選擇了零信任安全理念,一時間零信任安全廠商如雨后春筍般涌現(xiàn)。
本文旨在通過零信任技術(shù)在國內(nèi)外的發(fā)展路線,幫助您對零信任這一安全理念有更為全面的了解。
01國外零信任SaaS技術(shù)路線
美國零信任SaaS化發(fā)展迅猛,已經(jīng)實(shí)施零信任SaaS超過30%,還有44%客戶正準(zhǔn)備實(shí)施。
零信任SaaS假設(shè)所有人不可信,先驗證身份再授權(quán)訪問資源;以身份為中心,經(jīng)過“預(yù)驗證”“預(yù)授權(quán)”才能獲得訪問系統(tǒng)的單次通道;最小權(quán)限原則,每次賦予用戶所能完成工作的最小訪問權(quán)限;動態(tài)訪問控制,所有訪問通道都是單次的,動態(tài)訪問控制策略。
根據(jù)Forrester報告,零信任SaaS系統(tǒng)商要對零信任有深刻的認(rèn)識、較強(qiáng)的微隔離能力、廣泛的集成和API能力、識別并監(jiān)控任何可能帶來風(fēng)險的身份的能力(不僅是IAM)。
如零信任巨頭OKTA采用SaaS訂閱模式,零信任SaaS深入企業(yè)業(yè)務(wù)流程和人員,收入續(xù)費(fèi)率在120%。零信任SaaS要求企業(yè)掌握微隔離、數(shù)據(jù)安全等技術(shù),領(lǐng)軍公司通常對網(wǎng)絡(luò)管理、防火墻、云安全有深刻理解。
隨著零信任市場的火熱發(fā)展,在美國有更多公司加入到零信任商業(yè)活動中來,我們把美國的零信任商業(yè)公司分為三類:
一是自用轉(zhuǎn)外銷型。代表企業(yè)如:Google、Akamai、Microsoft等;
二是收購建能型。代表企業(yè)如:Cisco、Symantec、Palo Alto Network、Unisys、Proofpoint等;
三是技術(shù)初創(chuàng)型。代表企業(yè)如:Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。
在美國未來市場,很多機(jī)構(gòu)都給予了很高的期望,根據(jù)Cybersecurity Insider的調(diào)查,15%的受訪IT團(tuán)隊已經(jīng)實(shí)施零信任SaaS,44%表示準(zhǔn)備部署。
根據(jù)Gartner估計,到2022年,面向生態(tài)系統(tǒng)合作伙伴開放的80%新數(shù)字業(yè)務(wù)應(yīng)用程序?qū)⑼ㄟ^零信任網(wǎng)絡(luò)(ZTNA)進(jìn)行訪問。到2023年,60%的企業(yè)將淘汰大部分遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò),轉(zhuǎn)而使用零信任SaaS。
02國內(nèi)互聯(lián)網(wǎng)廠商技術(shù)實(shí)踐
隨著國內(nèi)互聯(lián)網(wǎng)的快速發(fā)展,互聯(lián)網(wǎng)企業(yè)的信息化程度、移動化程度的不斷提高,企業(yè)“內(nèi)部業(yè)務(wù)系統(tǒng)”逐步成為組織的核心資產(chǎn),隨時隨地處理企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)變得越來越普遍。
但是分布在全國/全球的多個分支子公司或辦事處不一定有專線到集團(tuán)內(nèi)網(wǎng),經(jīng)常通過公網(wǎng)VPN連接,存在安全性不足和訪問效率低等問題。同時,并購公司、合作公司的網(wǎng)絡(luò)安全管理機(jī)制與集團(tuán)公司很難保持一致,其訪問集團(tuán)內(nèi)網(wǎng)資源時,存在人員身份校驗和設(shè)備安全可信等問題。
基于此需求,騰訊從2015年開始自主設(shè)計、研發(fā)并在內(nèi)部實(shí)踐落地了一套零信任安全管理系統(tǒng)-騰訊ioA,實(shí)現(xiàn)了身份安全可信、設(shè)備安全可信、應(yīng)用進(jìn)程可信、鏈路保護(hù)與加速優(yōu)化等多種功能,能夠滿足無邊界辦公/運(yùn)維、混合云業(yè)務(wù)、分支安全接入、應(yīng)用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務(wù)集中管控、全球鏈路加速訪問等六大場景的動態(tài)訪問控制需求,為企業(yè)達(dá)到無邊界的最小權(quán)限安全訪問控制,實(shí)現(xiàn)安全管理升級提供一站式的零信任安全方案。
阿里云推出辦公零信任解決方案,類似谷歌的BeyondCorp簡化版本。通過Agent終端管控,SPG(Service Provide Gateway)應(yīng)用接入和IDaaS身份認(rèn)證齊頭并進(jìn),可以提供靈活的組合方案從而滿足企業(yè)的要求。
該方案可概括為“可信”、“動態(tài)”兩個關(guān)鍵字,包含兩個核心的模塊和組件。第一個模塊是遠(yuǎn)程終端安全管理,是對遠(yuǎn)程終端進(jìn)行可信的認(rèn)證以及身份的管理,能實(shí)時而非靜態(tài)的判斷路網(wǎng)設(shè)備的安全性。第二個模塊是云端的動態(tài)決策管控,一方面對所有用戶身份進(jìn)行統(tǒng)一的高強(qiáng)度安全認(rèn)證,另一方面,系統(tǒng)可結(jié)合各種安全因子來動態(tài)分配用戶權(quán)限。
03國內(nèi)安全廠商的技術(shù)路線
國內(nèi)零信任技術(shù)的炒作從2015年開始逐步在各個行業(yè)市場展開,由于零信任安全技術(shù)從國外的云廠商以及咨詢機(jī)構(gòu)逐步傳遞進(jìn)來,國內(nèi)安全廠家都從各自公司的產(chǎn)品優(yōu)勢出發(fā),優(yōu)先宣傳解決方案,2019年開始逐步有可參考的案例出現(xiàn)。
同時,國內(nèi)的信息安全市場有別于國外歐美市場,目前國內(nèi)網(wǎng)絡(luò)安全市場需求主要集中于政府部委級和大的行業(yè)(如金融、運(yùn)營商、能源等),這些客戶目前私有云或混合云已經(jīng)建成,頭部客戶基于自身業(yè)務(wù)出發(fā),對零信任這一先進(jìn)安全理念更為接受。
國外成功商業(yè)模式的誘導(dǎo)和國內(nèi)頭部客戶的切實(shí)需求,共同驅(qū)動著國內(nèi)資本和安全廠商在零信任這一領(lǐng)域加大投入,目前國內(nèi)廠商技術(shù)路線主要由零信任SDP技術(shù)路線、零信任IAM技術(shù)路線、BeyondCorp技術(shù)路線三種類型組成。
零信任SDP技術(shù)路線
云安全聯(lián)盟在2014年發(fā)布了《SDP標(biāo)準(zhǔn)規(guī)范V1.0》英文版,中文版于2019年發(fā)布。Gartner將SDP定義為零信任的最佳實(shí)踐,加上SDP標(biāo)準(zhǔn)的發(fā)布,讓國內(nèi)更多廠商在SDP方案上有了更明確的方向,每家廠商根據(jù)自已技術(shù)積累的不同,在SDP方案上形成了不同的特色。
零信任IAM技術(shù)路線
IAM(Identity and Access Management 身份與訪問管理)是網(wǎng)絡(luò)安全領(lǐng)域中的一個細(xì)分方向。
從效果上來看,IAM產(chǎn)品可以定義和管理用戶的角色和訪問權(quán)限,即決定了誰可以訪問,如何進(jìn)行訪問,訪問后可以執(zhí)行哪些操作等。
IAM解決方案也包含了4A特性:賬號、認(rèn)證、授權(quán)、審計。這些特性,在零信任安全中都具備且為關(guān)鍵特性,這個特點(diǎn)也導(dǎo)致IAM廠家進(jìn)行零信任安全架構(gòu)遷移的成本更低,效率更明顯。IAM細(xì)分市場,主要解決用戶的應(yīng)用訪問和權(quán)限控制問題,因此該類零信任技術(shù)方案更側(cè)重于用戶的應(yīng)用側(cè)和數(shù)據(jù)側(cè)訪問,對于網(wǎng)絡(luò)接入和遠(yuǎn)程訪問場景下的技術(shù)覆蓋度不高。
BeyondCorp技術(shù)路線
谷歌的BeyongCorp是較早落地的零信任項目。BeyondCorp實(shí)現(xiàn)的核心是引入或擴(kuò)展網(wǎng)絡(luò)組件,例如單點(diǎn)登錄,訪問代理,訪問控制引擎,用戶清單,設(shè)備清單,安全策略和信任庫。這些組件協(xié)同工作,以維護(hù)三個指導(dǎo)原則:
1)特定的網(wǎng)絡(luò)連接不得確定用戶可以訪問哪些服務(wù);
2)根據(jù)對用戶和設(shè)備的了解來授予對服務(wù)的訪問權(quán)限;
3)所有對服務(wù)的訪問都必須經(jīng)過認(rèn)證,授權(quán)和加密。
通過對比國內(nèi)外零信任的技術(shù)路線,我們可以看到國內(nèi)外零信任各有特色、各呈風(fēng)采。
當(dāng)前,在產(chǎn)業(yè)數(shù)字化升級與業(yè)務(wù)上云的發(fā)展趨勢下,傳統(tǒng)企業(yè)保護(hù)邊界逐漸被瓦解,以身份為中心的進(jìn)行訪問控制的零信任安全,得到了越來越多行業(yè)客戶的認(rèn)可與肯定,毋庸置疑零信任將成為網(wǎng)絡(luò)安全行業(yè)發(fā)展的未來趨勢。
來源:FreeBuf.COM
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧