《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 零信任:網(wǎng)絡(luò)安全的新“邊界”

零信任:網(wǎng)絡(luò)安全的新“邊界”

2021-01-01
來源:21世紀(jì)經(jīng)濟(jì)報(bào)道

在近日發(fā)布的《產(chǎn)業(yè)互聯(lián)網(wǎng)安全十大趨勢(shì)(2021)》中,“零信任架構(gòu)邁入落地應(yīng)用推廣期”被列為未來十大趨勢(shì)之一,。該報(bào)告指出,,伴隨著網(wǎng)絡(luò)防護(hù)從傳統(tǒng)邊界安全理念向零信任理念演進(jìn),零信任將成為數(shù)字安全時(shí)代的主流架構(gòu),。

  所謂“零信任”,,其實(shí)是Forrester分析師在2010年便提出的一種安全概念,,它的核心思想是默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng),需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ),。

  簡(jiǎn)單來說,,“零信任”的策略就是不相信任何人。現(xiàn)有傳統(tǒng)的訪問驗(yàn)證模型只需知道IP地址或者主機(jī)信息等即可,,但在“零信任”模型中,,需要更加明確的信息才可以,不知道用戶身份或者不清楚授權(quán)途徑的請(qǐng)求一律拒絕,。

  雖然零信任安全已經(jīng)提出許久,,但實(shí)際上直到這兩年,它才在國內(nèi)網(wǎng)絡(luò)安全領(lǐng)域興起,。2019年,,在工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》中,零信任安全首次被列入網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù),;中國信息通信研究院發(fā)布的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書(2019年)》,,也首次將零信任安全技術(shù)和5G、云安全等并列為我國網(wǎng)絡(luò)安全重點(diǎn)細(xì)分領(lǐng)域技術(shù),。

  圍繞“零信任安全”話題,,21世紀(jì)經(jīng)濟(jì)報(bào)道記者采訪了多位業(yè)內(nèi)專家,他們均表示,,零信任安全強(qiáng)調(diào)的永不信任和始終驗(yàn)證,,是一個(gè)具有顛覆性的安全理念,它已經(jīng)成為網(wǎng)絡(luò)安全領(lǐng)域非常確定的一個(gè)趨勢(shì)性方向,,未來,,也會(huì)有越來越多的企業(yè)逐步采用零信任安全架構(gòu)。

  云時(shí)代的安全架構(gòu)

  2020年6月,,在中國產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟標(biāo)準(zhǔn)專委會(huì)指導(dǎo)下,,騰訊聯(lián)合國家互聯(lián)網(wǎng)應(yīng)急中心、中國移動(dòng)通信集團(tuán)設(shè)計(jì)院,、公安部第三研究所等16家機(jī)構(gòu)和企業(yè),,共同成立了國內(nèi)首個(gè)“零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組”,以推動(dòng)零信任產(chǎn)業(yè)需求挖掘,、技術(shù)研發(fā),、技術(shù)標(biāo)準(zhǔn)研制以及推廣應(yīng)用等工作。

  騰訊安全總經(jīng)理程文杰向21世紀(jì)經(jīng)濟(jì)報(bào)道表示,,騰訊最早在2016年就將零信任安全引入到騰訊的企業(yè)內(nèi)網(wǎng),,騰訊自研的零信任安全管理系統(tǒng)iOA目前已經(jīng)過騰訊超6萬名員工、10萬個(gè)服務(wù)桌面終端的實(shí)踐驗(yàn)證,。

  在程文杰看來,,零信任安全這兩年被熱捧,,是因?yàn)殡S著企業(yè)上云,傳統(tǒng)的網(wǎng)絡(luò)邊界正在逐漸消失,,尤其是突如其來的疫情,,更是讓幾乎所有企業(yè)都不得不進(jìn)行遠(yuǎn)程辦公,所以過去,,很多企業(yè)可能還對(duì)零信任安全有所顧慮,,但當(dāng)風(fēng)險(xiǎn)逐漸擴(kuò)大時(shí),他們也開始選擇接受零信任安全架構(gòu),。

  國信證券2020年發(fā)布的一份研究報(bào)告也指出,,云和移動(dòng)互聯(lián)網(wǎng)的興起,讓傳統(tǒng)邊界防御逐漸瓦解,。這是因?yàn)閭鹘y(tǒng)的安全哲學(xué)以邊界隔離為核心理念,,通過防火墻、IPS 等設(shè)備,,廣筑“圍墻”保護(hù)內(nèi)網(wǎng),默認(rèn)內(nèi)部是安全可信任的,。

  而云應(yīng)用的興起,,讓原企業(yè)“圍墻內(nèi)”的部分應(yīng)用被搬到云上,同時(shí),,隨著移動(dòng)辦公的普及,,原先在企業(yè)內(nèi)部辦公的員工也逐步走到“圍墻外”。邊界安全被打破后,,黑客可以通過多種手段滲透到企業(yè)內(nèi)部的設(shè)備,,所以通過在邊界“筑墻”的方式,已經(jīng)越來越無力,,“無邊界”時(shí)代迫切需要新的保護(hù)方法,。

  在接受21世紀(jì)經(jīng)濟(jì)報(bào)道的采訪時(shí),360云安全研究院副院長(zhǎng)魏小強(qiáng)用一個(gè)形象的比喻解釋了零信任安全與傳統(tǒng)安全的區(qū)別,,他說,,以前做的安全防御體系,是有邊界的,,防火墻就像一個(gè)城堡的護(hù)城河,,每個(gè)外面的人想進(jìn)入城堡,都要通過城門的檢查,,但進(jìn)入以后,,就會(huì)被默認(rèn)是可信任的,可以在城堡內(nèi)隨意走動(dòng),。

  “這套體系在過去可行,,但現(xiàn)在,,企業(yè)員工的辦公場(chǎng)地可能是機(jī)場(chǎng)、網(wǎng)吧等任何地方,,情況就變得十分復(fù)雜,。”魏小強(qiáng)表示,,而在零信任安全框架下,,不管是城堡外的人還是城堡里的人,都不被信任,,他們的訪問需求也都需要進(jìn)行驗(yàn)證,。

  根據(jù)Cybersecurity Insiders和Zscaler發(fā)布的《2019零信任安全市場(chǎng)普及行業(yè)報(bào)告》,對(duì)于當(dāng)前最大的應(yīng)用程序安全挑戰(zhàn),,62%的受訪者表示是確保對(duì)分布在數(shù)據(jù)中心和云環(huán)境中的私有應(yīng)用程序的訪問安全,。

  而這也是零信任重點(diǎn)解決的問題。報(bào)告也說明,,目前78%的IT安全團(tuán)隊(duì)希望在未來實(shí)現(xiàn)零信任網(wǎng)絡(luò)訪問,,其中15%的企業(yè)已經(jīng)實(shí)施了零信任。

  以身份為基石

  實(shí)際上,,在過去十年中,,零信任安全的理念也在不斷演進(jìn)。網(wǎng)宿科技副總裁呂士表向21世紀(jì)經(jīng)濟(jì)報(bào)道表示,,這個(gè)概念提出之初,,主要專注于通過微隔離對(duì)網(wǎng)絡(luò)進(jìn)行細(xì)粒度的訪問控制,以便限制攻擊者的橫向移動(dòng),,后來則逐漸形成以身份為中心的架構(gòu)體系,。

  據(jù)呂士表介紹,零信任安全主要三個(gè)安全特性:首先是“網(wǎng)絡(luò)隱身,,默認(rèn)拒絕”,,企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)默認(rèn)關(guān)閉所有端口,拒絕內(nèi)外部一切訪問,,只對(duì)合法客戶端的IP定向動(dòng)態(tài)開放端口,,可直接避免任何非法掃描及攻擊。

  其次是“持續(xù)驗(yàn)證,,按需授權(quán)”,。零信任安全會(huì)持續(xù)對(duì)合法接入用戶的訪問行為進(jìn)行驗(yàn)證,動(dòng)態(tài),、按需調(diào)整用戶的訪問權(quán)限,。

  最后是“微隔離,最小化訪問授權(quán)”。零信任安全遵循最小授權(quán)及應(yīng)用微隔離原則,,有效縮小橫向攻擊的攻擊面,,最大程度避免攻擊傳染。

  對(duì)此,,魏小強(qiáng)也表示,,零信任安全實(shí)際上是把安全從網(wǎng)絡(luò)上移開,不再依賴網(wǎng)絡(luò),,而是以身份為中心來架構(gòu),。其進(jìn)一步指出,“任何安全都不是完美無缺的,,漏洞也永遠(yuǎn)不會(huì)被完全消除,,但零信任遵循的最小授權(quán)原則,限定了最小的訪問權(quán)限,,所以即便零信任安全防御體系被攻破,,它造成的損失也會(huì)最小化,而不是像傳統(tǒng)安全網(wǎng)絡(luò)一旦被突破,,可能會(huì)被一窩端,。”

  當(dāng)然,,如魏小強(qiáng)所言,,零信任安全并非完美,它也存在一些弊端,。“比如零信任安全的認(rèn)證和授權(quán)是分開的,,而認(rèn)證是一個(gè)決策過程,,如果決策過程被攻擊,那整個(gè)體系也會(huì)崩塌,?!蔽盒?qiáng)說。

  在程文杰看來,,零信任安全的弊端則包括成本的上升,,以及安全架構(gòu)的重構(gòu)會(huì)對(duì)用戶的一些使用習(xí)慣帶來沖擊等?!氨热绗F(xiàn)在一些金融類APP,,每次打開都要驗(yàn)證指紋,這個(gè)大家都比較習(xí)慣,,但若所有的APP都要嚴(yán)格驗(yàn)證,,肯定會(huì)極大的影響用戶的接受度。因此也建議企業(yè)在導(dǎo)入零信任安全時(shí)務(wù)必要遵循最佳實(shí)踐,,對(duì)用戶的每一次訪問和行為進(jìn)行全面評(píng)估和更智能的判定,,在降低安全風(fēng)險(xiǎn)的同時(shí)盡可能避免影響用戶的訪問體驗(yàn),。”

  但整體來說,,零信任安全帶來的利要大于弊,。程文杰稱,從騰訊目前自身的安全實(shí)踐和客戶反饋來看,,零信任安全可以極大提高企業(yè)在數(shù)字化轉(zhuǎn)型過程中的抗安全風(fēng)險(xiǎn)能力,,安全事件的數(shù)量也出現(xiàn)指數(shù)級(jí)下降。

  呂士表向記者表示,,企業(yè)IT架構(gòu)正在從“有邊界”向“無邊界”轉(zhuǎn)變,。基于廣泛覆蓋的零信任安全網(wǎng)絡(luò)更能夠滿足隨時(shí)隨地的安全訪問需求,,并且從組網(wǎng)的方式取代了傳統(tǒng)VPN,,簡(jiǎn)化了企業(yè)IT部署,更適應(yīng)未來辦公方式多樣化帶來的企業(yè)安全訪問需求,。

  從全球范圍來看,,互聯(lián)網(wǎng)公司目前對(duì)零信任安全是最積極的引入者,除了上文提到的騰訊案例,,Google也針對(duì)內(nèi)部應(yīng)用安全訪問實(shí)施了BeyondCorp架構(gòu),,它可以實(shí)現(xiàn)員工隨時(shí)隨地訪問公司應(yīng)用且不再需要 VPN。

  不過需要指出的是,,雖然零信任安全是網(wǎng)絡(luò)安全的未來發(fā)展趨勢(shì),,但它更像是一個(gè)終極目標(biāo)?!艾F(xiàn)在要讓所有企業(yè)都摒棄傳統(tǒng)安全架構(gòu)替換成零信任安全體系也不現(xiàn)實(shí),,包括在同一個(gè)企業(yè)內(nèi),不同的業(yè)務(wù)對(duì)零信任安全的適應(yīng)程度也會(huì)不同,,所以在未來很長(zhǎng)一段時(shí)間內(nèi),,零信任安全和傳統(tǒng)安全會(huì)是一直并存的狀態(tài)?!蔽盒?qiáng)說,。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]