《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 【零信任】淺析國內(nèi)外零信任技術(shù)路線異同

【零信任】淺析國內(nèi)外零信任技術(shù)路線異同

2021-04-21
來源:網(wǎng)御星云
關(guān)鍵詞: 零信任

  零信任的出現(xiàn)將網(wǎng)絡(luò)防御范圍從廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到單個(gè)或小組資源,,同時(shí)它也代表新一代的網(wǎng)絡(luò)安全防護(hù)理念,打破默認(rèn)的“信任”,,秉持“持續(xù)驗(yàn)證,,永不信任”原則,,即默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng),,基于身份認(rèn)證和授權(quán),,重新構(gòu)建訪問控制的信任基礎(chǔ),確保身份可信,、設(shè)備可信,、應(yīng)用可信和鏈路可信。本文旨在通過零信任技術(shù)在國內(nèi)外的發(fā)展路線,,幫助您對(duì)零信任這一安全理念有更為全面的了解,。

  備受關(guān)注的零信任

  國內(nèi)外的技術(shù)路線有何異同?

  一起來看本篇深度解讀~

  我們都知道“零信任”這一理念最早是在美國提出的,,為什么最早會(huì)在美國,?這與美國蓬勃發(fā)展的云計(jì)算、大數(shù)據(jù)技術(shù)是息息相關(guān)的,。

  隨著零信任技術(shù)體系的完善,加上不斷增長的云應(yīng)用/WEB應(yīng)用,,企業(yè)對(duì)于這種動(dòng)態(tài)認(rèn)證和最小化權(quán)限管理事中轉(zhuǎn)事前的安全防御理念更為接受,。

  Google這種互聯(lián)網(wǎng)巨頭的零信任的實(shí)踐證明,更堅(jiān)定了資本和廠商的投入,,如今美國最大安全公司不是防火墻類傳統(tǒng)公司,,而是零信任公司,。

  反觀國內(nèi),移動(dòng)互聯(lián)網(wǎng)業(yè)務(wù)蓬勃發(fā)展,,線上支付業(yè)務(wù)的發(fā)展伴隨著移動(dòng)業(yè)務(wù)的發(fā)展一起向前,,線上支付的安全性是阿里巴巴、騰訊等互聯(lián)網(wǎng)巨頭首要考慮的問題,,零信任這一安全理念,,也是最早在國內(nèi)互聯(lián)網(wǎng)移動(dòng)支付領(lǐng)域得到實(shí)踐和實(shí)用。

  隨著零信任理念在國內(nèi)的傳播,,這一安全理念也逐步得到更多企事業(yè)的認(rèn)可,。

  如移動(dòng)辦公模式在疫情期間得到廣泛應(yīng)用,單一VPN接入保障在這期間出現(xiàn)了不少的安全事件,,如何提高遠(yuǎn)程辦公,、遠(yuǎn)程接入以及業(yè)務(wù)應(yīng)用的安全性,讓更多企事業(yè)客戶選擇了零信任安全理念,,一時(shí)間零信任安全廠商如雨后春筍般涌現(xiàn),。

  本文旨在通過零信任技術(shù)在國內(nèi)外的發(fā)展路線,幫助您對(duì)零信任這一安全理念有更為全面的了解,。

  國外零信任SaaS技術(shù)路線

  美國零信任SaaS化發(fā)展迅猛,,已經(jīng)實(shí)施零信任SaaS超過30%,還有44%客戶正準(zhǔn)備實(shí)施,。

  零信任SaaS假設(shè)所有人不可信,,先驗(yàn)證身份再授權(quán)訪問資源;以身份為中心,,經(jīng)過“預(yù)驗(yàn)證”“預(yù)授權(quán)”才能獲得訪問系統(tǒng)的單次通道,;最小權(quán)限原則,每次賦予用戶所能完成工作的最小訪問權(quán)限,;動(dòng)態(tài)訪問控制,,所有訪問通道都是單次的,動(dòng)態(tài)訪問控制策略,。

  根據(jù)Forrester報(bào)告,,零信任SaaS系統(tǒng)商要對(duì)零信任有深刻的認(rèn)識(shí)、較強(qiáng)的微隔離能力,、廣泛的集成和API能力,、識(shí)別并監(jiān)控任何可能帶來風(fēng)險(xiǎn)的身份的能力(不僅是IAM)。

  如零信任巨頭OKTA采用SaaS訂閱模式,,零信任SaaS深入企業(yè)業(yè)務(wù)流程和人員,,收入續(xù)費(fèi)率在120%。零信任SaaS要求企業(yè)掌握微隔離、數(shù)據(jù)安全等技術(shù),,領(lǐng)軍公司通常對(duì)網(wǎng)絡(luò)管理,、防火墻、云安全有深刻理解,。

  隨著零信任市場(chǎng)的火熱發(fā)展,,在美國有更多公司加入到零信任商業(yè)活動(dòng)中來,我們把美國的零信任商業(yè)公司分為三類:

  一是自用轉(zhuǎn)外銷型,。代表企業(yè)如:Google,、Akamai、Microsoft等,;

  二是收購建能型,。代表企業(yè)如:Cisco、Symantec,、Palo Alto Network,、Unisys、Proofpoint等,;

  三是技術(shù)初創(chuàng)型,。代表企業(yè)如:Zscaler、Okta,、Cloudflare,、Illumio、Cyxtera等,。

  在美國未來市場(chǎng),,很多機(jī)構(gòu)都給予了很高的期望,根據(jù)Cybersecurity Insider的調(diào)查,,15%的受訪IT團(tuán)隊(duì)已經(jīng)實(shí)施零信任SaaS,,44%表示準(zhǔn)備部署。

  根據(jù)Gartner估計(jì),,到2022年,,面向生態(tài)系統(tǒng)合作伙伴開放的80%新數(shù)字業(yè)務(wù)應(yīng)用程序?qū)⑼ㄟ^零信任網(wǎng)絡(luò)(ZTNA)進(jìn)行訪問。到2023年,,60%的企業(yè)將淘汰大部分遠(yuǎn)程訪問虛擬專用網(wǎng)絡(luò),,轉(zhuǎn)而使用零信任SaaS。

  國內(nèi)互聯(lián)網(wǎng)廠商技術(shù)實(shí)踐

  隨著國內(nèi)互聯(lián)網(wǎng)的快速發(fā)展,,互聯(lián)網(wǎng)企業(yè)的信息化程度,、移動(dòng)化程度的不斷提高,企業(yè)“內(nèi)部業(yè)務(wù)系統(tǒng)”逐步成為組織的核心資產(chǎn),,隨時(shí)隨地處理企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)變得越來越普遍,。

  但是分布在全國/全球的多個(gè)分支子公司或辦事處不一定有專線到集團(tuán)內(nèi)網(wǎng),經(jīng)常通過公網(wǎng)VPN連接,,存在安全性不足和訪問效率低等問題,。同時(shí),并購公司,、合作公司的網(wǎng)絡(luò)安全管理機(jī)制與集團(tuán)公司很難保持一致,,其訪問集團(tuán)內(nèi)網(wǎng)資源時(shí),存在人員身份校驗(yàn)和設(shè)備安全可信等問題,。

  基于此需求,,騰訊從2015年開始自主設(shè)計(jì)、研發(fā)并在內(nèi)部實(shí)踐落地了一套零信任安全管理系統(tǒng)-騰訊ioA,,實(shí)現(xiàn)了身份安全可信,、設(shè)備安全可信、應(yīng)用進(jìn)程可信,、鏈路保護(hù)與加速優(yōu)化等多種功能,,能夠滿足無邊界辦公/運(yùn)維、混合云業(yè)務(wù),、分支安全接入,、應(yīng)用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務(wù)集中管控,、全球鏈路加速訪問等六大場(chǎng)景的動(dòng)態(tài)訪問控制需求,,為企業(yè)達(dá)到無邊界的最小權(quán)限安全訪問控制,實(shí)現(xiàn)安全管理升級(jí)提供一站式的零信任安全方案,。

  阿里云推出辦公零信任解決方案,,類似谷歌的BeyondCorp簡(jiǎn)化版本。通過Agent終端管控,,SPG(Service Provide Gateway)應(yīng)用接入和IDaaS身份認(rèn)證齊頭并進(jìn),,可以提供靈活的組合方案從而滿足企業(yè)的要求。

  該方案可概括為“可信”,、“動(dòng)態(tài)”兩個(gè)關(guān)鍵字,,包含兩個(gè)核心的模塊和組件。第一個(gè)模塊是遠(yuǎn)程終端安全管理,,是對(duì)遠(yuǎn)程終端進(jìn)行可信的認(rèn)證以及身份的管理,,能實(shí)時(shí)而非靜態(tài)的判斷路網(wǎng)設(shè)備的安全性。第二個(gè)模塊是云端的動(dòng)態(tài)決策管控,,一方面對(duì)所有用戶身份進(jìn)行統(tǒng)一的高強(qiáng)度安全認(rèn)證,,另一方面,系統(tǒng)可結(jié)合各種安全因子來動(dòng)態(tài)分配用戶權(quán)限,。

  國內(nèi)安全廠商的技術(shù)路線

  國內(nèi)零信任技術(shù)的炒作從2015年開始逐步在各個(gè)行業(yè)市場(chǎng)展開,,由于零信任安全技術(shù)從國外的云廠商以及咨詢機(jī)構(gòu)逐步傳遞進(jìn)來,國內(nèi)安全廠家都從各自公司的產(chǎn)品優(yōu)勢(shì)出發(fā),優(yōu)先宣傳解決方案,,2019年開始逐步有可參考的案例出現(xiàn),。

  同時(shí),國內(nèi)的信息安全市場(chǎng)有別于國外歐美市場(chǎng),,目前國內(nèi)網(wǎng)絡(luò)安全市場(chǎng)需求主要集中于政府部委級(jí)和大的,?業(yè)(如?融,、運(yùn)營商,、能源等),這些客戶目前私有云或混合云已經(jīng)建成,,頭部客戶基于自身業(yè)務(wù)出發(fā),,對(duì)零信任這一先進(jìn)安全理念更為接受。

  國外成功商業(yè)模式的誘導(dǎo)和國內(nèi)頭部客戶的切實(shí)需求,,共同驅(qū)動(dòng)著國內(nèi)資本和安全廠商在零信任這一領(lǐng)域加大投入,,目前國內(nèi)廠商技術(shù)路線主要由零信任SDP技術(shù)路線、零信任IAM技術(shù)路線,、BeyondCorp技術(shù)路線三種類型組成,。

  零信任SDP技術(shù)路線

  云安全聯(lián)盟在2014年發(fā)布了《SDP標(biāo)準(zhǔn)規(guī)范V1.0》英文版,中文版于2019年發(fā)布,。Gartner將SDP定義為零信任的最佳實(shí)踐,,加上SDP標(biāo)準(zhǔn)的發(fā)布,讓國內(nèi)更多廠商在SDP方案上有了更明確的方向,,每家廠商根據(jù)自已技術(shù)積累的不同,,在SDP方案上形成了不同的特色。

  集團(tuán)作為網(wǎng)絡(luò)安全行業(yè)龍頭企業(yè),,以其多年的踏實(shí)耕耘,、積極穩(wěn)健的安全生態(tài)布局,在業(yè)內(nèi)形成了較為完整的產(chǎn)品鏈,,為其SDP的發(fā)展打下了堅(jiān)實(shí)的基礎(chǔ),。

  集團(tuán)的eTrust SDP安全理念是以身份為中心,構(gòu)建網(wǎng)絡(luò)隱身,、可信接入,、動(dòng)態(tài)訪控、簡(jiǎn)易運(yùn)維的零信任安全架構(gòu),。其eTrust客戶端,、eTrust網(wǎng)關(guān)、eTrust控制器,、ASCG等組件,,幫助用戶實(shí)現(xiàn)網(wǎng)絡(luò)隱身,、持續(xù)可信接入、動(dòng)態(tài)訪問控制,、最小權(quán)限管理等零信任安全能力,,為用戶遠(yuǎn)程接入、應(yīng)用訪問,、數(shù)據(jù)保護(hù)提供一體化的零信任安全方案,。

  零信任IAM技術(shù)路線

  IAM(Identity and Access Management 身份與訪問管理)是網(wǎng)絡(luò)安全領(lǐng)域中的一個(gè)細(xì)分方向。

  從效果上來看,,IAM產(chǎn)品可以定義和管理用戶的角色和訪問權(quán)限,即決定了誰可以訪問,,如何進(jìn)行訪問,,訪問后可以執(zhí)行哪些操作等。

  IAM解決方案也包含了4A特性:賬號(hào),、認(rèn)證,、授權(quán)、審計(jì),。這些特性,,在零信任安全中都具備且為關(guān)鍵特性,這個(gè)特點(diǎn)也導(dǎo)致IAM廠家進(jìn)行零信任安全架構(gòu)遷移的成本更低,,效率更明顯,。

  IAM細(xì)分市場(chǎng),主要解決用戶的應(yīng)用訪問和權(quán)限控制問題,,因此該類零信任技術(shù)方案更側(cè)重于用戶的應(yīng)用側(cè)和數(shù)據(jù)側(cè)訪問,,對(duì)于網(wǎng)絡(luò)接入和遠(yuǎn)程訪問場(chǎng)景下的技術(shù)覆蓋度不高。

  集團(tuán)憑借在電信運(yùn)營商行業(yè)十多年的IAM最佳實(shí)踐,,為用戶提供經(jīng)得起考驗(yàn)的高可靠性電信級(jí)IAM產(chǎn)品,。其IAM需具備以下能力:

  1、支持多維度身份管理和屬性靈活擴(kuò)展

  支持為訪問主體創(chuàng)建全網(wǎng)唯一身份信息,,訪問主體可包括內(nèi)部及外部用戶,、第三方系統(tǒng)、設(shè)備等,,提供統(tǒng)一的身份全生命周期管理,,對(duì)身份的操作包括建立、修改,、凍結(jié),、刪除等內(nèi)容,用于滿足實(shí)際維護(hù)和操作過程中,,入職,、崗位變更,、離職等過程,并支持對(duì)身份屬性的自定義擴(kuò)展,,滿足身份不同階段的屬性要求,。

  2、支持多種身份認(rèn)證方式及認(rèn)證協(xié)議

  定義好主體身份后,,還需提供身份校驗(yàn)機(jī)制,,可支持多種身份認(rèn)證方式及認(rèn)證組合,如靜態(tài)密碼,、動(dòng)態(tài)口令,、生物識(shí)別、數(shù)字證書等,,提升主體身份使用的安全性,。IAM除了自身需要提供統(tǒng)一認(rèn)證之外,還可承擔(dān)認(rèn)證樞紐角色,,可根據(jù)實(shí)際需要將所有認(rèn)證請(qǐng)求轉(zhuǎn)發(fā)到外部認(rèn)證服務(wù)器進(jìn)行校驗(yàn),。

  IAM可通過對(duì)標(biāo)準(zhǔn)認(rèn)證協(xié)議的支持,如Radius,、Tacacs,、LDAP、CAS,、SAML,、OAuth2、OIDC等,,實(shí)現(xiàn)資源認(rèn)證統(tǒng)一接入和單點(diǎn)登錄,。

  3、支持細(xì)粒度訪問控制

  當(dāng)合法的身份進(jìn)行資源訪問時(shí),,支持對(duì)主體進(jìn)行實(shí)體級(jí)和角色級(jí)授權(quán),,實(shí)體級(jí)授權(quán)通過主體與客體(資源賬號(hào))的一對(duì)一、一對(duì)多綁定實(shí)現(xiàn),,定義主體可以訪問哪些客體,。角色級(jí)授權(quán)則是在實(shí)體級(jí)授權(quán)上增加主體訪問客體的細(xì)粒度權(quán)限控制,比如運(yùn)維命令策略,、數(shù)據(jù)庫運(yùn)維動(dòng)態(tài)脫敏,、應(yīng)用頁面訪問控制、頁面實(shí)時(shí)脫敏等,,確保訪問授權(quán)最小化,。

  權(quán)限控制是IAM的核心內(nèi)容,在零信任建設(shè)中,,由于引入了風(fēng)險(xiǎn)計(jì)算的概念,,通過對(duì)訪問主體持續(xù)的風(fēng)險(xiǎn)評(píng)估,,并根據(jù)評(píng)估結(jié)果實(shí)現(xiàn)細(xì)粒度的訪問和動(dòng)態(tài)授權(quán)控制,極大地提升了訪問操作過程中權(quán)限調(diào)整的及時(shí)性和訪問的安全性,。

  BeyondCorp技術(shù)路線

  谷歌的BeyongCorp是較早落地的零信任項(xiàng)目,。BeyondCorp實(shí)現(xiàn)的核心是引入或擴(kuò)展網(wǎng)絡(luò)組件,例如單點(diǎn)登錄,,訪問代理,,訪問控制引擎,用戶清單,,設(shè)備清單,,安全策略和信任庫。這些組件協(xié)同工作,,以維護(hù)三個(gè)指導(dǎo)原則:

  1)特定的網(wǎng)絡(luò)連接不得確定用戶可以訪問哪些服務(wù),;

  2)根據(jù)對(duì)用戶和設(shè)備的了解來授予對(duì)服務(wù)的訪問權(quán)限;

  3)所有對(duì)服務(wù)的訪問都必須經(jīng)過認(rèn)證,,授權(quán)和加密。

  通過對(duì)比國內(nèi)外零信任的技術(shù)路線,,我們可以看到國內(nèi)外零信任各有特色,、各呈風(fēng)采。

  當(dāng)前,,在產(chǎn)業(yè)數(shù)字化升級(jí)與業(yè)務(wù)上云的發(fā)展趨勢(shì)下,,傳統(tǒng)企業(yè)保護(hù)邊界逐漸被瓦解,以身份為中心的進(jìn)行訪問控制的零信任安全,,得到了越來越多行業(yè)客戶的認(rèn)可與肯定,,毋庸置疑零信任將成為網(wǎng)絡(luò)安全行業(yè)發(fā)展的未來趨勢(shì)。


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。