回顧2020年,,若要挑選2020年 安全行業(yè)熱詞,,相信“零信任安全”一定是首選之一。
鋪天蓋地的零信任信息充斥著我們的網(wǎng)絡(luò)和生活,,國(guó)內(nèi)各大安全廠商也都摩拳擦掌加入了“零信任安全”這一領(lǐng)域,紛紛推出了“零信任安全產(chǎn)品及解決方案”,?!傲阈湃伟踩币慌诙t,成為網(wǎng)絡(luò)安全的“新生力量”,,在2019年RSA大會(huì)上,,零信任廠商還僅有39家,而在2020年RSA大會(huì)上竟然多達(dá)91家,,僅僅一年時(shí)間,,零信任行業(yè)的發(fā)展速度就增加了133%??芍^是發(fā)展快如閃電,。
與此同時(shí),零信任市場(chǎng)也特別活躍,。OKTA一家做IAM的零信任廠商從估值10億美金,,3年翻了近30倍,目前市值達(dá)到298億美金,。另一做SDP的零信任廠商,,Zscaler從估值20億美金,2年翻了近10倍,目前市值突破190億美金,。
無(wú)論是從市場(chǎng)規(guī)模,,還是市場(chǎng)需求角度,都把零信任安全推向了風(fēng)口浪尖,,一夜之間“零信任”成了新的安全架構(gòu)的代名詞,,那到底什么是零信任?零信任是怎么出現(xiàn)的,?零信任能給我們的網(wǎng)絡(luò)安全帶來(lái)什么,?如果你也有這些疑問,那么下面就有小編帶你一起來(lái)分析一下吧,。
首先我們先說一下零信任是怎么出現(xiàn)的,?
1. 零信任的起源
隨著信息技術(shù)的快速發(fā)展,云計(jì)算,、大數(shù)據(jù),、物聯(lián)網(wǎng)、移動(dòng)互聯(lián),、人工智能等新興技術(shù)的發(fā)展,,為我們信息化及現(xiàn)代化建設(shè)帶來(lái)了新的生產(chǎn)力,但同時(shí)也給信息安全帶來(lái)了新挑戰(zhàn),。
一方面,,云計(jì)算、移動(dòng)互聯(lián)導(dǎo)致的企業(yè)邊界瓦解,,難以繼續(xù)基于邊界構(gòu)筑企業(yè)的安全防線,;另一方面,外部攻擊和內(nèi)部威脅愈演愈烈,,以APT攻擊為代表的高級(jí)持續(xù)攻擊仍然能找到各種漏洞突破企業(yè)的邊界,,同時(shí),內(nèi)部業(yè)務(wù)的非授權(quán)訪問,、雇員犯錯(cuò),、有意的數(shù)據(jù)竊取等內(nèi)部威脅層出不窮;另外,,國(guó)家和行業(yè)層面對(duì)企業(yè)安全的監(jiān)管力度逐步加強(qiáng),,也對(duì)企業(yè)安全提出了更高的要求。只有充分的認(rèn)識(shí)到這些新IT時(shí)代的安全挑戰(zhàn),,才能更好地進(jìn)行應(yīng)對(duì)。
目前企業(yè)遇到的問題主要?dú)w結(jié)為以下四類:
1.網(wǎng)絡(luò)邊界模糊
傳統(tǒng)的安全架構(gòu)基于邊界思維,,假定企業(yè)存在一個(gè)“內(nèi)網(wǎng)”,,存在一個(gè)邊界,對(duì)內(nèi)外網(wǎng)進(jìn)行隔離,假定內(nèi)網(wǎng)是安全的,、外網(wǎng)是不安全的,,基于如上假設(shè),企業(yè)在邊界處部署防火墻,、WAF,、入侵檢測(cè)等設(shè)備進(jìn)行防御,并期望借此打造企業(yè)的安全護(hù)城河,。隨著移動(dòng)辦公,、云計(jì)算等技術(shù)的廣泛采用,企業(yè)的邊界已經(jīng)模糊甚至瓦解,。
2.外部攻擊頻繁
隨著大數(shù)據(jù)技術(shù)的發(fā)展,,數(shù)據(jù)也趨于集中,意味著價(jià)值的集中,,自然也成為攻擊者的首要攻擊目標(biāo),。尤其是以APT為代表的高級(jí)持續(xù)攻擊層出不窮。大型組織甚至國(guó)家發(fā)起的大規(guī)模網(wǎng)絡(luò)攻擊事件中,,攻擊者可以利用大量的漏洞“武器”,,對(duì)重要目標(biāo)進(jìn)行攻擊,這類攻擊往往防不勝防,,切不可掉以輕心,。
3.內(nèi)部威脅加劇
傳統(tǒng)的安全體系是建立內(nèi)外網(wǎng)邊界上,假定內(nèi)網(wǎng)用戶,、設(shè)備,、流量都是可信的,內(nèi)網(wǎng)缺乏足夠的安全訪問控制,,一旦被滲透,,數(shù)據(jù)極易泄露和竊取。另外,,內(nèi)網(wǎng)非授權(quán)訪問也是造成數(shù)據(jù)泄露的一個(gè)原因,。
4.監(jiān)管力度加大
當(dāng)前國(guó)家對(duì)數(shù)據(jù)信息安全越來(lái)越重視,安全戰(zhàn)略上升到國(guó)家戰(zhàn)略,,先后出臺(tái)了《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《國(guó)家電子政務(wù)標(biāo)準(zhǔn)化指南》等相關(guān)政策標(biāo)準(zhǔn),。為滿足國(guó)家對(duì)于企業(yè)信息數(shù)據(jù)安全建設(shè)要求,,企業(yè)需要以業(yè)務(wù)需求為導(dǎo)向,規(guī)范建設(shè)企業(yè)數(shù)據(jù)信息安全保障體系,,形成科學(xué)實(shí)用的規(guī)范化安全管理能力,、體系化安全技術(shù)防護(hù)能力,、綜合化安全監(jiān)管運(yùn)維能力,以滿足相關(guān)部門對(duì)于企業(yè)信息安全的監(jiān)管要求,。
鑒于以上原因,,為了應(yīng)對(duì)新IT時(shí)代的網(wǎng)絡(luò)安全挑戰(zhàn),零信任安全營(yíng)運(yùn)而生,!
我們知道零信任是怎么出現(xiàn)的之后,,接下來(lái),我們來(lái)聊一下,,零信任的發(fā)展歷程,。
2. 零信任發(fā)展歷程
零信任的概念最早源自2004年成立的耶利哥論壇,其成立的使命是為了定義無(wú)邊界趨勢(shì)下的網(wǎng)絡(luò)安全問題并尋求解決方案,。
2010年Forrester的分析師約翰·金德維格首次提出了零信任安全的概念,,其核心思想是企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物,應(yīng)在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證,。
2014年,,谷歌發(fā)表了6篇Beyond Corp系列論文,介紹了谷歌如何將零信進(jìn)行落地的實(shí)踐,。同一年,,國(guó)際云安全聯(lián)盟發(fā)布了SDP標(biāo)準(zhǔn)規(guī)范1.0。
2017年Gartner在安全與風(fēng)險(xiǎn)管理峰會(huì)上發(fā)布CARTA模型(持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估)并提出零信任是實(shí)現(xiàn)CARTA宏圖的初始步驟,。
2018年,,F(xiàn)orrester提出零信任架構(gòu),將能力從微隔離擴(kuò)展到可視化,、分析,、自動(dòng)編排等維度。
2019年,,Gartner發(fā)布零信任網(wǎng)絡(luò)ZTNA,,融合SDP安全模型,同年,,NIST發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)》草案,。
直到2020年美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院NIST發(fā)布《零信任架構(gòu)標(biāo)準(zhǔn)》正式版,歷經(jīng)十年發(fā)展,,零信任安全理念在國(guó)外逐漸被廣泛認(rèn)知,,在國(guó)內(nèi)也開始出現(xiàn)了萌芽。
3. 零信任的流派
正所謂天下大勢(shì)分久必合合久必分,,零信任的概念從初次提出,,到現(xiàn)在已經(jīng)有10多年了,隨著它的發(fā)展,,也分出了不少流派,,其中最出名的有八個(gè)流派,,當(dāng)然有的地方也分成五個(gè)流派。這主要是看按照什么維度去劃分,,就比如google,它自身就分為兩個(gè)流派,一個(gè)是BeyondCorp,,一個(gè)是BeyondProd,,就像華山派分為氣宗和劍宗一樣,隨都隸屬于華山派,,但各自又有各自的不同的修煉技巧,。小編主要按照零信任的功能性維度將零信任先按照八大流派來(lái)劃分。(這里只簡(jiǎn)單的說一下流派,,后續(xù)有時(shí)間,,小編會(huì)專門寫一篇關(guān)于這八大流“血雨腥風(fēng)”的故事)
流派一:Forrester 最早提出零信任一詞的咨詢機(jī)構(gòu)。其中兩個(gè)代表人物約翰·金德維格,;查斯·坎寧安 各提出了3個(gè)觀點(diǎn),。
流派二;google BeyondCorp,,BeyondCorp是中國(guó)做零信任網(wǎng)絡(luò)安全機(jī)構(gòu)最為熟悉的邊界安全安全模型,,也是零信任在中國(guó)真正的起源。
流派三,;Google BeyondProd,,相當(dāng)于BeyondCorp的升級(jí)版,解決了BeyondCorp無(wú)法處理微服務(wù)的問題,。
流派四,;微軟 Microsoft 365 零信任實(shí)踐,是基于Azure AD來(lái)實(shí)現(xiàn)的,。
流派五,; Gartner CARTA,Gartner的CARTA(持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估)模型將零信任和攻擊防護(hù)相結(jié)合,,形成了持續(xù)的風(fēng)險(xiǎn)和信任評(píng)估,。
流派六;Gartner ZTNA,,在其發(fā)布的《零信任網(wǎng)絡(luò)訪問市場(chǎng)指南》行業(yè)報(bào)告中,,定義了零信任網(wǎng)絡(luò),也稱為軟件定義邊界,。
流派七,;CSA SDP,國(guó)際云安全聯(lián)盟于2013年成立SDP(軟件定義邊界)工作組,。
流派八,; NIST美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院,。2019年,2020年先后發(fā)布兩版《零信任架構(gòu)標(biāo)準(zhǔn)》草案,,直到2020年8月推出《零信任架構(gòu)標(biāo)準(zhǔn)》正式版 ,。
說了這么多與零信任相關(guān)的知識(shí),那么到底什么是零信任呢,?零信任是如何定義是什么,?
4. 零信任定義
其實(shí)零信任到目前為止,并未有過明確的定義,,都是各大機(jī)構(gòu)根據(jù)自己的理念進(jìn)行的歸納總結(jié),,如果按照權(quán)威性來(lái)說,小編比較傾向于NIST的定義,。NIST在最近發(fā)表的《零信任架構(gòu)標(biāo)準(zhǔn)》(正式版)中指出,,零信任是一種以資源保護(hù)為核心的網(wǎng)絡(luò)安全范式,其前提是信任從來(lái)不是隱式授予的,,而是必須進(jìn)行持續(xù)評(píng)估,。零信任體系架構(gòu)是一種端到端的企業(yè)資源和數(shù)據(jù)安全方法,包括身份(人和非人的實(shí)體),、憑證,、訪問管理、操作,、端點(diǎn),、宿主環(huán)境和互聯(lián)基礎(chǔ)設(shè)施。零信任(Zero trust,,ZT)提供了一系列概念和思想,,旨在面對(duì)被視為受損的網(wǎng)絡(luò)時(shí),減少在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確的,、權(quán)限最小的按請(qǐng)求訪問決策時(shí)的不確定性,。零信任架構(gòu)(ZTA)是一種企業(yè)網(wǎng)絡(luò)安全規(guī)劃,它利用零信任概念,,并囊括其組件關(guān)系,、工作流規(guī)劃與訪問策略。
雖然NIST給了相對(duì)官方的定義,,但是理解起來(lái)還是有些困難,,尤其是翻譯過來(lái)的譯文,更是生澀難懂,,就好像文人墨客寫的東西,,明明可以很清楚的直敘平鋪,但他們寫的東西就是讓人一眼看不出來(lái),。
其是用大白話來(lái)說,,就是零信任并不是一種產(chǎn)品或技術(shù),,而是一種安全理念,其中心思想是企業(yè)不應(yīng)自動(dòng)信任內(nèi)部或外部的任何人/事/物,,應(yīng)在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人/事/物進(jìn)行驗(yàn)證,。簡(jiǎn)言之,零信任的策略就是不相信任何人,。
除此之外在《零信任網(wǎng)絡(luò):在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》一書中,,作者埃文?吉爾曼和道格,?巴斯將零信任的定義建立在以下5個(gè)基本假設(shè)之上。
網(wǎng)絡(luò)無(wú)時(shí)無(wú)刻不處于危險(xiǎn)的環(huán)境中
網(wǎng)絡(luò)中自始至終存在外部或內(nèi)部威脅,。
網(wǎng)絡(luò)位置不足以決定網(wǎng)絡(luò)的可信程度,。
所有的設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)當(dāng)經(jīng)過認(rèn)證和授權(quán),。
安全策略必須是動(dòng)態(tài)的,,并基于盡可能多的數(shù)據(jù)源計(jì)算而來(lái)
從以上這5個(gè)假設(shè)中,也能清楚的理解零信任核心思想就是不相信任何人/事/物,。
5. 零信任三大技術(shù)實(shí)踐
NIST(美國(guó)國(guó)家標(biāo)準(zhǔn)委員會(huì))在2019年發(fā)布的《零信任架構(gòu)ZTA》白皮書中,,總結(jié)出實(shí)現(xiàn)零信任架構(gòu)的三大核心技術(shù)“SIM”,“S”,,即SDP(軟件定義邊界),;“I”,即IAM(身份與訪問管理),;“M”,,即MSG(微隔離)。
SDP:軟件定義邊界:是基于身份的訪問控制以及完備的權(quán)限認(rèn)證機(jī)制,。為企業(yè)應(yīng)用和服務(wù)提供隱身保護(hù),,有效保護(hù)企業(yè)的數(shù)據(jù)安全。
IAM:增強(qiáng)身份管理 :是通過圍繞身份,、權(quán)限,、環(huán)境、活動(dòng)等關(guān)鍵數(shù)據(jù)進(jìn)行管理與治理的方式,。確保正確的身份,、在正確的訪問環(huán)境下,基于正當(dāng)?shù)睦碛稍L問正確的資源,。
MSG微隔離:使用策略驅(qū)動(dòng)防火墻技術(shù)或者網(wǎng)絡(luò)加密技術(shù)來(lái)隔離數(shù)據(jù)中心,、公共云laas和容器,在邏輯上劃分不同的安全分段,,用于組織攻擊者進(jìn)入網(wǎng)絡(luò)內(nèi)部后的東西向移動(dòng)訪問,。
除此以外還有一些輔助技術(shù)如密碼技術(shù),、MFA多因素認(rèn)證、NAC網(wǎng)絡(luò)準(zhǔn)入,、下一代沙箱,、用戶行為分析(UEBA)等技術(shù),也是實(shí)現(xiàn)零信任理念的關(guān)鍵技術(shù),,通常都是通過IAM/SDP/MSG三大技術(shù)融合其他技術(shù)來(lái)實(shí)現(xiàn)零信任理念,,當(dāng)然這三大技術(shù)實(shí)踐可以單一實(shí)現(xiàn),也可以組合實(shí)現(xiàn),,目前基于這三大技術(shù)實(shí)現(xiàn)的產(chǎn)品還是比較多的,,比如Zscarler,就是典型的SDP架構(gòu),,OKTA,,就是IAM典型廠商。
介紹完三大技術(shù)實(shí)踐,,接下來(lái),,我們來(lái)看一下零信任產(chǎn)品發(fā)展情況。
6. 零信任現(xiàn)狀
首先在國(guó)際上,,零信任應(yīng)用越來(lái)越廣泛,,零信任產(chǎn)業(yè)已初具規(guī)模。美國(guó)軍方,、聯(lián)邦政府和標(biāo)準(zhǔn)化組織紛紛發(fā)表各自的白皮書,、評(píng)估報(bào)告和標(biāo)準(zhǔn)草案,闡述各自對(duì)零信任的認(rèn)識(shí)和規(guī)劃,。
根據(jù)Forrester在2020年二季度對(duì)于零信任產(chǎn)業(yè)的統(tǒng)計(jì)數(shù)據(jù),,按照零信任解決方案收入規(guī)模,市場(chǎng)的供應(yīng)商可分為三類,,其中零信任相關(guān)營(yíng)收超過1.9億美元的廠商已超過10家,。
除此之外,美國(guó)各機(jī)構(gòu)及政府也相繼也發(fā)布了一系列的論文,、白皮書及標(biāo)準(zhǔn),,進(jìn)一步推動(dòng)零信任行業(yè)的發(fā)展,值得注意的是,,美國(guó)國(guó)防部已明確將零信任實(shí)施列為最高優(yōu)先事項(xiàng),。無(wú)論是DIB(國(guó)防創(chuàng)新委員會(huì))提出的《零信任架構(gòu)(ZTA)建議》,還是2019年美國(guó)的《國(guó)防部數(shù)字現(xiàn)代化戰(zhàn)略》,,均對(duì)零信任實(shí)踐十分看重,。從這一點(diǎn)也可以反映出美國(guó)政府及軍隊(duì)對(duì)于零信任架構(gòu)的深刻認(rèn)知和重視。在近期舉行的“TechNet網(wǎng)絡(luò)研討會(huì)”上,DISA新成立的新興技術(shù)局局長(zhǎng)SteveWallace表示,,通過向零信任架構(gòu)的過渡,,將為國(guó)防部作戰(zhàn)人員帶來(lái)更多安全性、靈活性,、更高效的設(shè)備使用,、更快的數(shù)據(jù)訪問。Wallace預(yù)計(jì),,國(guó)防部零信任初始參考架構(gòu)將在2020年末發(fā)布,,然后DISA將征求業(yè)界和政府的意見和建議,然后在幾個(gè)月后發(fā)布完整的文檔,。
與此同時(shí),,英國(guó)國(guó)家網(wǎng)絡(luò)安全中心發(fā)布《零信任基本原則》草案,為政企機(jī)構(gòu)遷移或?qū)嵤┝阈湃尉W(wǎng)絡(luò)架構(gòu)提供參考指導(dǎo),。
以上介紹的是零信任在國(guó)外的情況,,下面我們來(lái)看一下國(guó)內(nèi)零信任現(xiàn)狀。
國(guó)內(nèi)安全界追隨零信任技術(shù)發(fā)展,,積極開展關(guān)鍵技術(shù)研究和產(chǎn)品研制,并結(jié)合國(guó)內(nèi)實(shí)際應(yīng)用場(chǎng)景進(jìn)行落地實(shí)踐,,同時(shí)推進(jìn)零信任標(biāo)準(zhǔn)化進(jìn)程,。
2019.9 工信部公開發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》中,將“零信任安全”列入“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”,。
2019.7 騰訊牽頭國(guó)內(nèi)首個(gè)立項(xiàng)的零信任安全技術(shù)行業(yè)標(biāo)準(zhǔn),。《零信任安全技術(shù)-參考框架》,。
2020.5 奇安信牽頭國(guó)內(nèi)首個(gè)立項(xiàng)的零信任國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)零信任 參考體系架構(gòu)》,。
在零信任產(chǎn)業(yè)方面,目前國(guó)內(nèi)零信任技術(shù)主要集中在兩種形態(tài),,一種是基于零信任整體解決方案的形態(tài),,像阿里云、奇安信,、騰訊,、深信服、天融信等,。
另外一種是按照三大技術(shù)實(shí)踐來(lái)研發(fā)的產(chǎn)品形態(tài),。如 IAM 有竹云、九州云騰,、派拉軟件等,;SDP有云深互聯(lián)、數(shù)蓬科技、聯(lián)軟,、易安聯(lián)等,。MSG微隔離:主要有薔薇靈動(dòng)等。
圖-零信任三大實(shí)踐企業(yè)名錄
接下來(lái)我們來(lái)說一下零信任的發(fā)展形勢(shì)及市場(chǎng)規(guī)模,。
零信任的發(fā)展趨勢(shì)可謂是非??深A(yù)期,根據(jù) Gartner 預(yù)測(cè),,2022 年將有 80%面向生態(tài)合作伙伴的新數(shù)字業(yè)務(wù)應(yīng)用采用零信任網(wǎng)絡(luò)訪問,。2023 年將有 60%的企業(yè) 遠(yuǎn)程訪問 將VPN 向零信任網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型。
圖-預(yù)計(jì)2023年將有60%的企業(yè)從遠(yuǎn)程訪問VPN向零信任網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型 資料來(lái)源:Gartner
美國(guó)第二大市場(chǎng)研究咨詢公司MarketsandMarkets 預(yù)測(cè),,2024年,,全球零信任安全市場(chǎng)規(guī)模預(yù)計(jì)將達(dá)386億美元,國(guó)內(nèi)零信任市場(chǎng)規(guī)模有望達(dá)到百億,。
圖-預(yù)計(jì)2024年全球零信任安全市場(chǎng)規(guī)模將達(dá)386億美元 資料來(lái)源:MarketsandMarkets
我們這次要分享的內(nèi)容就是這些,,像零信任三大技術(shù)實(shí)踐,零信任8大流派,,零信任應(yīng)用場(chǎng)景,、國(guó)外零信任標(biāo)準(zhǔn)規(guī)范,以及目前國(guó)內(nèi)各廠商的零信任產(chǎn)品都沒有展開來(lái)講,,其實(shí)這其中的每一項(xiàng)內(nèi)容都可以單獨(dú)拿來(lái)分享,,以后如果有時(shí)間,小編會(huì)再豐富一些內(nèi)容的,。