《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 【零信任】風口之下,零信任的未來清晰了嗎,?

【零信任】風口之下,,零信任的未來清晰了嗎,?

2021-04-21
來源:騰訊網(wǎng)
關(guān)鍵詞: 零信任

  隨著產(chǎn)業(yè)數(shù)字化升級和企業(yè)“上云”的不斷推進,零信任作為一種新安全理念,成為全球網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)和大趨勢。

  據(jù)MarketsandMarkets預測,,零信任安全市場規(guī)模將從2019年的156億美元增長到2024年的386億美元,2019-2024年的復合年均增長率為19.9%,。

  在國內(nèi),,從零信任政策及標準逐步落地,,到互聯(lián)網(wǎng)科技巨頭廠商積極布局,市場的火熱已顯而易見,。有業(yè)內(nèi)人士預測,,零信任現(xiàn)在還處于膨脹期,在未來的2-5年會成為一種主流方案,。

  風口之下,,零信任的未來清晰了嗎?

  什么是零信任,?

  作為2010年就被Forrester定義的安全模型,,“零信任”正在成為不斷變化的現(xiàn)代工作場所的安全戰(zhàn)略指南。

  正如美國國家標準與技術(shù)研究院(NIST)所總結(jié)的那樣,,零信任是一套“將防御系統(tǒng)從靜態(tài)的基于網(wǎng)絡(luò)的周邊轉(zhuǎn)向關(guān)注用戶,、資產(chǎn)和資源不斷發(fā)展的網(wǎng)絡(luò)安全范式”。

  簡單地說,,“零信任”意味著“什么都不相信,驗證一切”,。它要求任何用戶(公司內(nèi)部或外部)在獲準訪問系統(tǒng),、應(yīng)用和數(shù)據(jù)之前必須經(jīng)過身份驗證和授權(quán)。

  值得注意的是,,“零信任”是一種理念,,而不是一種技術(shù)。沒有單一的產(chǎn)品或解決方案能夠使企業(yè)獨自實現(xiàn)“零信任”,。

  目前來看,,由美國國家標準委員會NIST于2019年對外公布的“SIM”(SDP、IAM和MSG),,已成為行業(yè)公認的實現(xiàn)零信任的三大技術(shù)路徑,。

  軟件定義邊界(SDP)

  在SDP中,客戶端首先進行多因素認證,,認證設(shè)備的可靠性等,。通過后,才進入用戶登錄階段,。這兩步均是客戶端與IT管理員進行交互,,不涉及對具體服務(wù)的訪問。當認證通過后,,客戶端才能夠與可訪問的服務(wù)建立連接,。

  身份識別與訪問管理(IAM)

  IAM具有單點登錄、認證管理,、基于策略的集中式授權(quán)以及審計,、動態(tài)授權(quán)等功能,。它決定了誰可以訪問,如何進行訪問,,訪問后可以執(zhí)行哪些操作等,。

  和傳統(tǒng)的IAM相比,除了對用戶身份的統(tǒng)一管理,、認證和授權(quán)之外,,現(xiàn)代化IAM還需要實現(xiàn)基于大數(shù)據(jù)和AI技術(shù)的風險動態(tài)感知與智能分析,對于用戶訪問的行為數(shù)據(jù),、用戶的特征和權(quán)限數(shù)據(jù),,以及環(huán)境上下文數(shù)據(jù)進行分析,通過風險模型自動生成認證和授權(quán)策略

  微隔離(MSG)

  微隔離是細粒度更小的網(wǎng)絡(luò)隔離技術(shù),,能夠應(yīng)對傳統(tǒng)環(huán)境,、虛擬化環(huán)境、混合云環(huán)境,、容器環(huán)境下對于東西向流量隔離的需求,,重點用于阻止攻擊者進入企業(yè)數(shù)據(jù)中心網(wǎng)絡(luò)內(nèi)部后的橫向平移。

  零信任風口期到來

  數(shù)字化轉(zhuǎn)型的加速和云計算的不斷普及,,都推動了“零信任”理念的快速落地,。

  “零信任”應(yīng)用場景不僅僅是遠程辦公,SaaS營運安全,、大數(shù)據(jù)中心,、云安全平臺等都是典型的應(yīng)用場景。

  任何企業(yè)網(wǎng)絡(luò)都可以基于“零信任”原則進行設(shè)計,,大多數(shù)組織的企業(yè)基礎(chǔ)架構(gòu)已經(jīng)具備了“零信任”的某些要素,,或者正在通過實施信息安全、彈性策略和最佳實踐來實現(xiàn)“零信任”,。

  目前,,“零信任”市場參與者較多,主要有四大類參與者:

  云巨頭:谷歌,、微軟,,以及國內(nèi)的騰訊云、阿里云等巨頭企業(yè),,率先在企業(yè)內(nèi)部實踐“零信任”并推出完整解決方案,;

  身份安全公司:Duo、OKTA,、Centrify,、Ping Identity 推出“以身份為中心的”零信任“方案”;

  綜合安全廠商:思科,、Akamai,、Symantec,、F5 ,以及國內(nèi)亞信安全,、啟明星辰,、深信服、奇安信等,,都推出了偏重于網(wǎng)絡(luò)實施方式的“零信任”方案,;

  初創(chuàng)安全公司:Vidder、Cryptzone,、Zsclar,、Illumio,以及國內(nèi)的芯盾時代等初創(chuàng)公司,。

  另外,,收購兼并成為目前“零信任”市場的主旋律。如思科,、派拓,、賽門鐵克、Unisys,、Proofpoint這樣的巨頭玩家,,多以收購的方式實現(xiàn)在“零信任”網(wǎng)絡(luò)訪問的縱深和業(yè)務(wù)的橫向布局。

  可以看到,,“零信任”已到來風口期,成為炙手可熱的網(wǎng)絡(luò)安全熱詞,。但“零信任”概念誕生已有10年,,為什么是現(xiàn)在得以爆發(fā)?

  具體而言,,零信任安全架構(gòu)之所以能夠在近年來快速崛起,,有三大優(yōu)勢不可忽視。

  首先,,是極限思想,。零信任安全“不相信任何人/事/物”,不管其是什么級別,、所處何種網(wǎng)絡(luò),。零信任的企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)默認關(guān)閉所有端口,拒絕內(nèi)外部一切訪問,,只對合法客戶端的IP定向動態(tài)開放端口,,由此就可以直接避免任何非法的掃描和攻擊。

  其次,,是連續(xù)思想,。零信任對外部的訪問,,不是一次性驗證的,而是持續(xù)性驗證的,,而且還會根據(jù)驗證,、監(jiān)控的結(jié)果,對訪問進行信任評估和權(quán)限調(diào)整,。這種“連續(xù)性的響應(yīng)”,,可以全程保證訪問都在管控之下。

  再次,,是最小化思想,。最小化思想或者說最小化原則,在保證訪問“夠用”的同時,,也極大地縮小了被攻擊的攻擊面,;在此基礎(chǔ)上加之微隔離的手段,就可以最大程度地避免攻擊的范圍,,以及阻斷攻擊的傳染性,。

  這種“思想”層面的領(lǐng)先型,或許才是零信任安全架構(gòu)終將顛覆傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的最堅實底座,。

  零信任如何落地,?

  “零信任”讓網(wǎng)絡(luò)安全、網(wǎng)絡(luò)交付乃至整個IT行業(yè),,都有了新的興奮點,。一場由“零信任”安全引發(fā)的網(wǎng)絡(luò)安全領(lǐng)域的劇變,即將來臨,。

  然而,,形勢大好之下尚有一個不可否認的事實:就國內(nèi)而言,“零信任”的應(yīng)用之路尚處于導入期,。

  因其搭建涉及到對企業(yè)現(xiàn)有網(wǎng)絡(luò)體系進行大幅改造等因素的影響,,加之千變?nèi)f化的業(yè)務(wù)場景需求,決定了“零信任”的大規(guī)模落地實踐無法在短期內(nèi)一蹴而就,。

  如何破解建設(shè)瓶頸,,深入“零信任”安全實踐,成為擺在數(shù)字化企業(yè)面前的共同之問,。

  雖然在網(wǎng)絡(luò)系統(tǒng)構(gòu)建之初,,將“零信任”作為系統(tǒng)的原生“基因”,是行業(yè)普遍認為最理想的構(gòu)建之法,,但“零信任”網(wǎng)絡(luò)安全框架的搭建并沒有唯一方法和標準,。“零信任”安全實踐并不意味著“推翻”,而是基于身份細顆粒度訪問控制體系的整合疊加,。

  然而,,這一“整合疊加”并非簡單的“補丁”模式,甚至可能觸及企業(yè)原有網(wǎng)絡(luò)安全體系的根基,,大量人力和成本投入真實可見,。

  因此,企業(yè)領(lǐng)導人的支持在此過程中就顯得尤為關(guān)鍵,。對企業(yè)現(xiàn)有網(wǎng)絡(luò)安全需求進行全盤分析,,既是明晰零信任構(gòu)建之路、制定策略的關(guān)鍵,,也是能夠成功說服領(lǐng)導人的有效之法,。

  當然,企業(yè)員工作為零信任安全框架的具體實施者,,其能否實現(xiàn)思維方式的更新也是零信任安全體系能夠發(fā)揮應(yīng)有效能所不容忽視的因素,。

  因此,圍繞“零信任”安全資深專家的專業(yè)培訓和教育,,成為企業(yè)零信任落地實踐中不可或缺的重要部分,,也是保持企業(yè)零信任安全架構(gòu)以長期優(yōu)化機制,保有動態(tài)化,、靈活化特征優(yōu)勢的關(guān)鍵所在,。

  此外,在零信任產(chǎn)業(yè)市場碎片化,、生態(tài)分散化的大趨勢下,,零信任的發(fā)展亟需行業(yè)生態(tài)來規(guī)范引導。只有聯(lián)合更多行業(yè)生態(tài)形成合力,,攜手生態(tài)伙伴在相應(yīng)的場景,、環(huán)節(jié)建立相應(yīng)的安全體系,才能真正實現(xiàn)網(wǎng)絡(luò)安全體系的轉(zhuǎn)變,。

  在此過程中,安全企業(yè)作為零信任安全方案和產(chǎn)品的提供者,,其推動之力顯然是零信任安全落地實踐的重要引擎,。

  安全企業(yè)通過不斷深化對技術(shù)路徑和方案的探索研究,才能讓更多的企業(yè)更為精準地找到最適合自身業(yè)務(wù)場景的“零信任秘方”,。

  總的來說,,“條條大路通羅馬”,企業(yè)要做的就是結(jié)合自身傳統(tǒng)安全體系,、身份,、賬號、權(quán)限控制以及審計管理的現(xiàn)狀,找到最適合自身業(yè)務(wù)系統(tǒng)的最優(yōu)路徑,。

  同時,,也要聯(lián)合多方力量,共同探索“零信任”最佳實踐之路,。

  值得注意的是,,安全行業(yè)一向以合規(guī)要求和業(yè)務(wù)需求為雙重驅(qū)動力。企業(yè)對“零信任”的業(yè)務(wù)需求已逐漸凸顯,,若加上嚴格而有效的合規(guī)要求,,即使改革成本大,“零信任”都會加速落地,。

  進入2021,,從“零信任”開始的新網(wǎng)絡(luò)安全體系,或許真的將落地了,。

 

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]