《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 【零信任】當(dāng)50余家公司聞風(fēng)而動,,「零信任安全」會是下一個價值洼地嗎?

【零信任】當(dāng)50余家公司聞風(fēng)而動,,「零信任安全」會是下一個價值洼地嗎,?

2021-04-21
來源:36kr
關(guān)鍵詞: 零信任安全

  若要挑選2020年安全行業(yè)熱詞,,相信“零信任安全”一定是首選之一,。

  這一名詞乍聽之下不易理解,,不過顧名思義,,零信任指的是一種“從不信任,、永遠(yuǎn)驗證”的安全理念,。也就是說,當(dāng)過去以內(nèi)外網(wǎng)分隔為主的安全體系隨著員工辦公習(xí)慣,、數(shù)據(jù)流通方式改變等原因漸漸過時,,能靈活、實(shí)時判定訪問請求的安全理念當(dāng)然更契合如今現(xiàn)狀,。

  對“零信任安全理念”來說,,2017年是一個明顯的分水嶺,當(dāng)年Google基于零信任安全的BeyondCorp項目取得成功,,驗證了零信任安全在大型網(wǎng)絡(luò)場景下的可行性,,業(yè)界也開始跟進(jìn)零信任實(shí)踐。

  而特殊如2020年,,由于疫情的爆發(fā),,遠(yuǎn)程辦公中的安全問題得到重視,零信任安全理念也迎來新的分水嶺,。在企業(yè)端,,目前市面上至少有50家公司聲稱在開展零信任業(yè)務(wù);投資圈也聞風(fēng)而動,,今年至少有8家和零信任理念掛鉤的企業(yè)獲得融資,。

v2_d6cd4c8626df4e87a96cf43ad89bf38e_img_000.png

  今年獲得融資的零信任相關(guān)廠商(據(jù)36氪不完全統(tǒng)計,部分?jǐn)?shù)據(jù)來自天眼查)

      零信任理念被加速認(rèn)知已是不爭事實(shí),,或許是時候?qū)@一領(lǐng)域進(jìn)行深度剖析,。在本文中,我們將重點(diǎn)討論以下話題:

  零信任的概念,、價值,;

  從技術(shù)角度拆分的市場參與者,;

  行業(yè)當(dāng)前的機(jī)遇與風(fēng)險;

  參與者的競合關(guān)系,。

  相信通過對零信任的梳理,,未來安全世界的一角也會得以揭示。

  一,。 當(dāng)我們談?wù)摿阈湃?,我們在談些什么?/p>

  1. 前世今生

  即使今年才開始大熱,但零信任其實(shí)并不是新鮮詞匯,。

  零信任理念,,雛形最早源于2004年成立的耶哥論壇(Jericho Forum),其成立的目的是尋求網(wǎng)絡(luò)無邊界化趨勢下的全新安全架構(gòu)及解決方案,。

  到2010年,咨詢公司 Forrester 的分析師約翰·金德維格將這一理念進(jìn)行了更細(xì)化的拆分——金德維格認(rèn)為,,零信任本質(zhì)是以身份為基石的動態(tài)訪問控制,,即以身份為基礎(chǔ),通過動態(tài)訪問控制技術(shù),,以細(xì)粒度的應(yīng)用,、接口、數(shù)據(jù)為核心保護(hù)對象,,遵循最小權(quán)限原則,,構(gòu)筑端到端的身份邊界。

  在產(chǎn)業(yè)端,,隨著谷歌等公司在零信任上的進(jìn)展,,2019-2020年,NIST在5個月內(nèi)連續(xù)發(fā)布兩版《零信任架構(gòu)》標(biāo)準(zhǔn)草案,,意味著零信任正向標(biāo)準(zhǔn)化進(jìn)展,。

v2_a8144de8fb6f4826bbbb1a995ad870dd_img_jpeg.jpg

  零信任概念演進(jìn)歷程圖 來源:中國信通院

  從出現(xiàn)到追捧,零信任已走過十余年時間,。那么,,為什么是現(xiàn)在?

  這和近年來企業(yè)的業(yè)務(wù),、IT基礎(chǔ)設(shè)施變化相關(guān),。過去,傳統(tǒng)的安全防護(hù)基于邊界,,企業(yè)安全防護(hù)模式是構(gòu)建一個內(nèi)網(wǎng),,通過物理隔離或VPN等設(shè)施保證“內(nèi)部安全區(qū)”。

  今時情況不同往日:

  首先,,IT邊界被打破,。云計算,、邊緣計算等技術(shù)普及,加之大數(shù)據(jù)與AI的廣泛應(yīng)用,,讓數(shù)據(jù)流動與計算環(huán)境都發(fā)生了顯著變化,,IT邊界變得越來越模糊。

  并且,,當(dāng)前企業(yè)上下游伙伴和內(nèi)部員工增多,,用戶訪問請求更加復(fù)雜,成企業(yè)對用戶過分授權(quán)的情況也更普遍,。

  疫情推波助瀾,,當(dāng)多地協(xié)同辦公、遠(yuǎn)程辦公成為新常態(tài),,過去的辦公習(xí)慣也被打破,。

  而物理隔離無疑站在遠(yuǎn)程辦公的對立面,構(gòu)建并部署 VPN 的基本前提就是存在企業(yè)邊界,。顯然,,內(nèi)外隔離的安全思路是不靈活的,也無法適應(yīng)新的需求,。

  零信任由此起勢,。其主要思想——默認(rèn)企業(yè)內(nèi)、外部的任何人,、事均不可信,,對任何試圖接入網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)資源的人、事,、物進(jìn)行持續(xù)驗證,,打破了邊界化的網(wǎng)絡(luò)防御思路,是一種更適應(yīng)新需求的理念,。

  站在市場維度,,或許很難把零信任這類以理念為基礎(chǔ)的事物劃歸為某個具體賽道,這是因為零信任的興起不能簡單看做某種技術(shù),、產(chǎn)品的擴(kuò)展,,而是對固有安全思路改變。

  Gartner在《零信任網(wǎng)絡(luò)訪問市場指南》做出的假設(shè)也側(cè)面印證了這一觀察——其預(yù)測到2022年,,80%向生態(tài)合作伙伴開放的新數(shù)字業(yè)務(wù)應(yīng)用將通過零信任網(wǎng)絡(luò)訪問接入,;到2023年,將有60%的企業(yè)淘汰大部分VPN,,而使用零信任訪問,。

v2_36365ccf2a78478c9485eef084959824_img_000.png

  零信任和傳統(tǒng)安全架構(gòu)的區(qū)別 來源:綠盟科技、開源證券研究所

       2.  實(shí)質(zhì):實(shí)時,、動態(tài)地判斷訪問請求

  和所有的理念型故事一樣,,零信任不能僅停留在表面,,其落地往往遵循著思想、框架,、技術(shù),、產(chǎn)品、商業(yè)化幾個層面,。

  “對任何試圖接入網(wǎng)絡(luò)和訪問網(wǎng)絡(luò)資源的人,、事、物進(jìn)行持續(xù)驗證”,,這件事需要通過策略判定,。

  從NIST給出的最新零信任架構(gòu)(參照下圖)可以看出,零信任架構(gòu)的核心組件包括策略引擎,、策略管理器和策略執(zhí)行點(diǎn),。

  簡單來說,策略引擎作為一個大腦,,對訪問請求做出“是否賦予權(quán)限”的決策,,管理器依賴于引擎的決定,通過和執(zhí)行點(diǎn)的互動,,向后者下達(dá)指令。

v2_067f05701da84c6fac44e944170f0aec_img_000.png

  NIST零信任架構(gòu)核心組件示意圖 來源:CSA大中華區(qū)

      當(dāng)前業(yè)界對零信任的實(shí)踐還在過程中,,所以也出現(xiàn)了一些細(xì)節(jié)不同的零信任框架,。比如在中國信通院和奇安信發(fā)布的《網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列報告——零信任技術(shù)(2020版)》中,零信任架構(gòu)的基本框架歸納如下圖:

v2_5c9de94aec92433c820b9c01d37fa02a_img_000.png

  零信任架構(gòu)總體框架圖 來源:《網(wǎng)絡(luò)安全先進(jìn)技術(shù)與應(yīng)用發(fā)展系列報告——零信任技術(shù)(Zero Trust)》

  雖然各類框架有細(xì)節(jié)差異,,但其實(shí)不論是哪種框架,,都在論證實(shí)時、動態(tài)地對訪問請求進(jìn)行判斷,,以契合“從不信任,、永遠(yuǎn)驗證”的理念。

  二,。 參與者:從技術(shù)視角劃分

  有意思的是,,如果今年詢問一家安全公司是否正開展“零信任”業(yè)務(wù),可能會收獲模棱兩可的回答:我們是否在做零信任,,取決于如何定義它,。

  這有些無厘頭的反應(yīng)似乎又不無道理。

  零信任是一種理念,。理論上講,,只要在一些場景實(shí)現(xiàn)“從不信任、永遠(yuǎn)驗證”的目的,,誰都能說自己在做零信任,,這正是現(xiàn)在零信任廠商繁多、技術(shù)路線不同的原因之一,。

  在具體數(shù)據(jù)上,,專業(yè)人士指出當(dāng)前號稱開展零信任業(yè)務(wù)的公司在50家以上。我們決定選取一些明確提供零信任安全產(chǎn)品/解決方案的公司略作展示(排名不分先后),。

微信截圖_20210421191114.png

  部分參與者概覽(經(jīng)36氪整理)

  零信任的參與者背景不一,,無論是剛成立不到一年的早期安全公司,還是成立數(shù)年的大型上市企業(yè),,亦或不斷延伸觸角的公有云廠商,,均已置身零信任浪潮。為避免“霧里看花”,,從技術(shù)分類入手或是進(jìn)一步理解零信任的思路,。

  如今相對普遍的共識是,零信任的主流技術(shù)分為三種:即SIM,,S為SDP(Software Defined Perimeter, 軟件定義邊界),、I為IAM(Identity and Access Management,身份識別與訪問管理系統(tǒng)),,M為MSG(Micro-Segmentation,,微隔離),上圖中也可看到三種技術(shù)不斷交疊出現(xiàn),。不過需要提前強(qiáng)調(diào)的是,,目前也有企業(yè)希望通過其他思路達(dá)成“零信任”目的,以下技術(shù)路線并不代表全部,。

  1. 身份識別與訪問管理(IAM)

  身份識別與訪問管理(IAM)是網(wǎng)絡(luò)安全領(lǐng)域中的一個細(xì)分方向,。從效果上來看,IAM產(chǎn)品可以定義和管理用戶的角色和訪問權(quán)限,,即決定了誰可以訪問,,如何進(jìn)行訪問,訪問后可以執(zhí)行哪些操作等,。

  根據(jù)Gartner的定義,,IAM的核心主題圍繞以下幾個方向展開:

  認(rèn)證 ,指的是通過確認(rèn)實(shí)體(包含人與設(shè)備等)的身份,,建立信任,,這其中的概念包括多因素認(rèn)證等。

  訪問控制,,確定實(shí)體通過認(rèn)證之后,,匹配怎樣的權(quán)限,訪問怎樣的系統(tǒng),。

  身份治理,,對實(shí)體在整個生命周期內(nèi)(如員工入職、轉(zhuǎn)正,、調(diào)崗,、離職等身份變更過程)進(jìn)行身份管理,匹配正確的權(quán)限,。

  特權(quán)身份管理,,指的是對管理員等權(quán)限較高的賬戶等進(jìn)行進(jìn)一步管理。

  在零信任廣泛普及之前,,IAM已經(jīng)是一個獨(dú)立賽道,。不過如今零信任理念中的IAM指的是增強(qiáng)型IAM。過去的IAM認(rèn)證體系較為僵化,,只要有統(tǒng)一的權(quán)限管理即可,但增強(qiáng)型IAM強(qiáng)調(diào)持續(xù)的自適應(yīng)認(rèn)證,,即在整個訪問請求的周期內(nèi)進(jìn)行持續(xù)智能驗證,。

  總而言之,,以身份為基礎(chǔ),,實(shí)時,、動態(tài)地對訪問請求進(jìn)行判斷,,是實(shí)現(xiàn)零信任的手段。目前IAM相關(guān)公司有「派拉軟件」,、「竹云科技」,、「芯盾時代」等,。

  2. 軟件定義邊界(SDP)

  軟件定義邊界(SDP)是被云安全聯(lián)盟采納并推崇的一種方案,。這種方案還有一個更為形象的別名——“黑云”。

  之所以被稱為黑云,,和其預(yù)期達(dá)到的效果有關(guān),。SDP可以為企業(yè)建立虛擬邊界,利用基于身份的訪問控制和權(quán)限認(rèn)證機(jī)制,,讓企業(yè)應(yīng)用和服務(wù)“隱身”,。當(dāng)黑客試圖進(jìn)行攻擊時,會發(fā)現(xiàn)看不到目標(biāo)而無法攻擊,,只有獲得權(quán)限的業(yè)務(wù)人員可以正常訪問,。

  根據(jù)云安全聯(lián)盟的定義,SDP的主要組件包括發(fā)起主機(jī)(客戶端),,接受主機(jī)(服務(wù)端)和SDP控制器,,客戶端和服務(wù)端都會連接到這些控制器,。二者間的連接通過SDP控制器與安全控制信道的交互來管理。

v2_9a08358dfe14446e9d7d399cd9c3860c_img_000.png

  資料來源:CSA大中華區(qū)

  當(dāng)前,,國內(nèi)有多家公司主打SDP,以曾入選Gartner零信任安全產(chǎn)品全球代表廠商的「云深互聯(lián)」為例,,其SDP包含三個組件——深云SDP客戶端,、安全大腦、隱盾網(wǎng)關(guān),。

  深云SDP客戶端:在深云SDP中,,深云SDP客戶端用來做各種的身份驗證,包括硬件身份,,軟件身份,,生物身份等。

  深云SDP安全大腦:深云SDP安全大腦是一個管理控制臺,,對所有的深云SDP客戶端進(jìn)行管理,,制定安全策略。深云SDP安全大腦還可以與企業(yè)已有的身份管理系統(tǒng)對接,。

  深云隱盾網(wǎng)關(guān):所有對業(yè)務(wù)系統(tǒng)的訪問都要經(jīng)過 SDP網(wǎng)關(guān)的驗證和過濾,,實(shí)現(xiàn)業(yè)務(wù)系統(tǒng)的“網(wǎng)絡(luò)隱身”效果。

v2_edd73e9adbba437f87ed7c487df1ed1c_img_000.png

  深云SDP示意圖

  在「云深互聯(lián)」之外,,國內(nèi)的相關(guān)公司還有「易安聯(lián)」,、「安幾網(wǎng)安」等。其中,,「易安聯(lián)」在今年宣布完成B輪融資,。

  3. 微隔離(MSG)

  微隔離,又稱軟件定義隔離,、微分段,,最早由 Gartner提出。

  微隔離主要解決數(shù)據(jù)中心的東西向(內(nèi)部服務(wù)器彼此互相訪問)流量之間的安全問題,,當(dāng)前主要應(yīng)用于數(shù)據(jù)中心,該技術(shù)的面向群體并非用戶,。

  用形象語言表述,,微隔離類似疫情時期的口罩,每個人帶上口罩后,,互相隔離以防止病毒傳播,。

  微隔離技術(shù)把服務(wù)器之間做了隔離,一個服務(wù)器訪問另一個服務(wù)器的資源之前,首先要認(rèn)證身份,。認(rèn)證通過后,,網(wǎng)關(guān)才會放行業(yè)務(wù)系統(tǒng)去獲取數(shù)據(jù)資源,否則會被網(wǎng)關(guān)攔截,。從效果看,,在實(shí)現(xiàn)微隔離之前,攻擊者會攻擊到所有的服務(wù)器,,而實(shí)現(xiàn)微隔離后攻擊范圍將大大減少,。

  這種技術(shù)的難點(diǎn)在于計算量和自動化——數(shù)據(jù)中心往往包括海量節(jié)點(diǎn),頻繁變化帶來的工作量不可預(yù)估,,傳統(tǒng)的人工配置模式已無法滿足管理需求,,自動適應(yīng)業(yè)務(wù)變化的策略計算引擎是微隔離成功的關(guān)鍵。

  當(dāng)前國外已出現(xiàn)較成熟的微隔離廠商,,即美國公司Illumio,。這家公司成立于2013年,在2019年已完成E輪融資,,是全球13家安全行業(yè)獨(dú)角獸公司之一,。客戶包括Salesforce,、摩根士丹利,、法國巴黎銀行和Oracle NetSuite等。

  國內(nèi)微隔離的典型廠商是「薔薇靈動」,。公司創(chuàng)始人嚴(yán)雷曾透露,,「薔薇靈動」于2017年開始商業(yè)化探索,2019年營收達(dá)到千萬級別,。在融資進(jìn)展上,,天眼查數(shù)據(jù)顯示其在今年先后完成兩輪融資。

  4.SIM相輔相成

  NIST認(rèn)為,,一個完整的零信任架構(gòu)需要三者結(jié)合,,這或許是由于三種技術(shù)各自的擅長之處不一,可以“組團(tuán)”發(fā)揮所長,。

  其中,,對身份的判斷是零信任的基石,。這也是今年在創(chuàng)投市場中,,以身份為主要業(yè)務(wù)的公司,即IAM廠商頗受追捧的原因之一——「派拉軟件」于今年9月宣布完成C輪近3億元融資,,同月宣布的還有「芯盾時代」完成數(shù)億元C+輪融資的消息,,10月初,「竹云科技」也宣布完成3億元C輪戰(zhàn)略增資。

  SDP解決南北向流量(通過網(wǎng)關(guān)進(jìn)入數(shù)據(jù)中心的流量)的安全問題,,那么微隔離則主要解決數(shù)據(jù)中心的東西向(內(nèi)部服務(wù)器彼此互相訪問)流量之間的安全問題,。由于三種技術(shù)的差別,當(dāng)前市場中主打IAM,、SDP和微隔離業(yè)務(wù)的廠商并不完全重合,,各家或會以既有的技術(shù)、產(chǎn)品優(yōu)勢為基礎(chǔ),,向前延展形成較完備的零信任方案,。

  比如,天融信在介紹其SDP架構(gòu)時曾指出,,為了強(qiáng)化用戶認(rèn)證與權(quán)限管理部分,,可提供增強(qiáng)組件IAM實(shí)現(xiàn)更細(xì)致的身份管控功能(如下圖),這也說明了各種技術(shù)路線的互相延展的可能,。

v2_432c92db17d149d6958773897bf2e691_img_000.png

  天融信SDP技術(shù)架構(gòu)包括客戶端,、控制器、網(wǎng)關(guān)架構(gòu)圖 來源:CSA大中華區(qū)

這不是孤例,,在日前CSA大中華區(qū)發(fā)布的《2020中國零信任全景圖》中,,同樣可以看到多家廠商分別出現(xiàn)在不同技術(shù)分類中。

  為何廠商能在短時間內(nèi)滲透多個技術(shù)路線,?主要原因是相關(guān)廠商早前已有所積累,,尤其是IAM和SDP,它們在中國并非橫空出世的新技術(shù),??傮w而言,零信任最難跨過的門檻也許并不在技術(shù),,而在于工程化落地,。

  三。 機(jī)會與陷阱

  目前由于零信任在國內(nèi)風(fēng)頭剛起,,打造完整,、易用的解決方案還在進(jìn)程中。這一理念要經(jīng)受商業(yè)化考驗,,對客戶的話語權(quán)非常重要,,這和零信任的目標(biāo)以及實(shí)施中的改造成本均有關(guān)聯(lián)。

  1. 誰在規(guī)定最小權(quán)限

  各方在討論零信任時不斷強(qiáng)調(diào)的一點(diǎn)是,,零信任是一種理念,,而非具體的技術(shù)、產(chǎn)品,。理念雖聽起來有些“虛無”,,但也明確了目標(biāo)——就如金德維格所說,,零信任是以身份為基石的動態(tài)訪問控制,即以身份為基礎(chǔ),,通過動態(tài)訪問控制技術(shù),,以細(xì)粒度的應(yīng)用、接口,、數(shù)據(jù)為核心保護(hù)對象,,遵循最小權(quán)限原則,構(gòu)筑端到端的身份邊界,。

  再精簡一些,,或許可以理解為對訪問請求以最小權(quán)限原則進(jìn)行動態(tài)管理。身份的判定是用權(quán)限進(jìn)行動態(tài)管理的基礎(chǔ),,上文不管是IAM,、SDP亦或微隔離都提到了判斷策略或者引擎。但另一個核心——最小權(quán)限,,卻甚少被討論,。

  最小權(quán)限存在的意義是,對通過基礎(chǔ)安全審核的訪問請求進(jìn)行嚴(yán)格管理,。然而如何規(guī)定最小權(quán)限,,或許目前還沒有統(tǒng)一的標(biāo)準(zhǔn)。往下深究,,最小權(quán)限是一個動態(tài)概念,,需要針對不同客戶、不同場景進(jìn)行判斷,,所以其標(biāo)準(zhǔn)也很難界定,。

  也正由于標(biāo)準(zhǔn)不清晰,一位安全行業(yè)觀察者調(diào)侃零信任的現(xiàn)狀是,,“誰都能說自己在做(零信任),,但又或許誰都沒做”。

  舉個極端些的例子,,如果客戶的安全基礎(chǔ)設(shè)施僅停留在內(nèi)外網(wǎng)范疇,,對內(nèi)網(wǎng)內(nèi)的系統(tǒng)、數(shù)據(jù)并未進(jìn)行分類分級,,那么僅基于初步身份權(quán)限的分類,,已是現(xiàn)有條件下的最小權(quán)限。但如果客戶本身需要更細(xì)粒度的權(quán)限管控,,單純基于初步的身份管理,,并不符合最小權(quán)限原則。所以,,判斷最小權(quán)限的話語權(quán)歸結(jié)于客戶,。

  而廠商需要找出某類目標(biāo)客戶對零信任的通用性要求,降低工程化成本,。從這個角度,,有深度服務(wù)目標(biāo)客戶經(jīng)驗,并能切入較通用場景的廠商或更易開展零信任業(yè)務(wù),。

  根據(jù)《2020中國零信任全景圖》的統(tǒng)計,,目前國內(nèi)零信任的目標(biāo)客戶主要集中在政企、金融,、能源,、互聯(lián)網(wǎng)、運(yùn)營商,、教育,、醫(yī)療、電力,、交通,、公安、制造業(yè),、軍工,、民航、軍隊,、零售等行業(yè),。基中50%以上的零信任廠商都認(rèn)為政企,、金融,、能源、互聯(lián)網(wǎng),、運(yùn)營商,、教育、 醫(yī)療,、電力,、交通、公安,、制造業(yè)是他們的主要目標(biāo)行業(yè),。

v2_e0c4f2e19ded43779aa268186f56d269_img_000.png

  零信任目標(biāo)行業(yè)分布圖 來源:《2020中國零信任全景圖》

  可以看到,政企,、金融和能源占據(jù)了目標(biāo)客戶前三甲的席位,,此類客戶也是過往安全廠商的重點(diǎn)客戶,或許意味著客戶在選擇供應(yīng)商時會有所傾向,。

  2. 改造成本有多高

  關(guān)于這三種技術(shù)傾向,,NIST認(rèn)為,,零信任廠商在落地過程中可能會發(fā)現(xiàn)客戶已有所選擇,但這并不是說其他方案一定會失效,,而是認(rèn)為其他方案對該企業(yè)而言意味著已有流程的改變,,所以更難實(shí)施。

  更難實(shí)施體現(xiàn)在零信任的改造成本,。對客戶而言,,零信任的改造成本也和其自身的基礎(chǔ)設(shè)施情況相關(guān)。如果客戶內(nèi)部的系統(tǒng)非常繁多,,那么一個個接入其中會使得實(shí)施周期漫長,;如果客戶此前的安全能力薄弱,則需要彌補(bǔ)的模塊更多,;如果要做全面的零信任改造,,對企業(yè)現(xiàn)有流程也會造成些許影響。在此基礎(chǔ)上,,有觀點(diǎn)認(rèn)為如果一家廠商此前已經(jīng)將自己的安全產(chǎn)品滲透入足夠多的客戶中,,或會降低改造成本。

  如果舉例對比,,傳統(tǒng)的網(wǎng)絡(luò)安全模型就像用一個城墻把所有人保護(hù)在一起,。那零信任可能就像城門大開,但每個人都會配備一個士兵保護(hù),,這種點(diǎn)到點(diǎn)的防護(hù)策略會更加安全,,成本也更高。不過,,正和許多安全措施一樣,,改造是提高安全性的前提條件,如果改造成本較低,,也意味著安全性或不理想,。在很多場景下,安全是一個具備灰度的名詞,,需要根據(jù)客戶的業(yè)務(wù)性質(zhì),、要求綜合考量。

  36氪了解到,,當(dāng)前也有一些綜合實(shí)力較強(qiáng)的廠商希望從合規(guī)角度出發(fā),,把零信任的要求落實(shí)到規(guī)定中。

  眾所周知,,安全行業(yè)以合規(guī)要求和業(yè)務(wù)需求為雙重驅(qū)動力,。隨著內(nèi)外網(wǎng)絡(luò)邊界的消失,客戶對零信任的業(yè)務(wù)需求已逐漸凸顯,,若加上嚴(yán)格而有效的合規(guī)要求,,即使改造成本大,,零信任都會加速落地。從競爭角度,,這種以合規(guī)切入的視角至少在To G市場中稱得上降維打擊,。

  四。 “陣營外”的競合

  當(dāng)前,,也有許多本該成為客戶的公司在自行進(jìn)行零信任改造,。這類公司一般是大型互聯(lián)網(wǎng)公司(Google正是一個典型),,它們對業(yè)務(wù)安全性的需求較高,,同時IT資產(chǎn)、權(quán)限配置復(fù)雜,。在具備技術(shù)實(shí)力的基礎(chǔ)上自發(fā)進(jìn)行零信任落地,,對這類企業(yè)來說既省去和供應(yīng)商的磨合成本,在有余力的基礎(chǔ)上還可形成解決方案對外輸出,,這也是更大的想象力,。

  在向外界輸出的類型中,典例是阿里,、騰訊以及華為,。這是由于,零信任也屬于云安全中的一環(huán),,云廠商必然不能放過這一市場,,目前三家也都有相關(guān)解決方案提供。

  其中,,阿里云在今年9月發(fā)布遠(yuǎn)程辦公零信任解決方案,,阿里巴巴企業(yè)智能也已推出“聯(lián)唄”終端訪問控制系統(tǒng)。根據(jù)介紹,,在今年疫情期間,,阿里巴巴企業(yè)智能支撐了數(shù)十萬員工的遠(yuǎn)程安全入網(wǎng)及云辦公。目前“聯(lián)唄”已通過遠(yuǎn)程辦公零信任解決方案服務(wù)政務(wù),、教育,、醫(yī)療、新零售,、制造等多個行業(yè)客戶,,幫助客戶管理數(shù)十萬終端的安全準(zhǔn)入。

v2_20a4f720e7e14c608c9fe7bf0f908937_img_000.png

  云棲大會中發(fā)布的阿里云發(fā)布遠(yuǎn)程辦公零信任解決方案

騰訊在零信任上更是動作頻頻,。

  從在2019年7月發(fā)起《零信任安全技術(shù)參考框架》行業(yè)標(biāo)準(zhǔn)立項,,到今年5月底騰訊安全發(fā)布《零信任解決方案白皮書》,騰訊一直在輸出其對零信任的理解,。白皮書中提及,,騰訊基于ZTA架構(gòu)模型,,參考谷歌BeyondCorp實(shí)踐,結(jié)合自身經(jīng)驗形成了“騰訊零信任”的解決方案,,于2016年在公司內(nèi)部實(shí)踐,,目前已經(jīng)過6萬多員工的實(shí)踐驗證。

v2_e32dbb51fd9b411ea944c56f8727912c_img_000.png

  騰訊零信任方案架構(gòu)圖

  另外,,華為也在其官網(wǎng)上展示了HUAWEI HiSec零信任安全解決方案,。

v2_99df20a9d7844650a347b44126a42254_img_000.png

  華為零信任安全解決方案架構(gòu)圖

  保障租戶的資產(chǎn)安全是公有云廠商的職責(zé),過去這類廠商在云安全領(lǐng)域已取得一定進(jìn)展,。以騰訊為例,,其發(fā)布的2020年度第三季財報顯示,騰訊企業(yè)級安全業(yè)務(wù)前三季度收入同比增長133%,,零信任安全產(chǎn)品同比增長64%,。當(dāng)成績單擺在眼前,很多人的第一反應(yīng)是傳統(tǒng)安全領(lǐng)域中的零信任公司會遭受巨大沖擊,,但若仔細(xì)拆分公有云廠商的業(yè)務(wù)邏輯,,也會有些新發(fā)現(xiàn)。

  在華為的零信任案例中,,可以看到IAM廠商「竹云科技」是其可信代理控制服務(wù),、認(rèn)證服務(wù)、權(quán)限服務(wù)組件的供應(yīng)商,,并且在部署方案中被劃入必選選項,。這從側(cè)面反映了公有云廠商和安全廠商在零信任領(lǐng)域中的競合關(guān)系——公有云廠商無疑需要生態(tài)的力量補(bǔ)足能力,各種各樣的供應(yīng)商是生態(tài)中不可或缺的一環(huán),。

  誰能和公有云廠商合作,,考驗的是獨(dú)立廠商的價值。在技術(shù)上,,許多安全公司在自己領(lǐng)域中深耕已久,,比如IAM廠商「派拉軟件」和「竹云科技」分別成立于2008年和2009年,在身份領(lǐng)域中積累了深厚的產(chǎn)品,、解決方案經(jīng)驗,,它們自然是有價值的合作對象。另外從市場端,,公有云廠商更擅長做標(biāo)準(zhǔn)化業(yè)務(wù),,而中國的大B、大G客戶對個性化需求較高,,安全公司若可以抓住這類客戶,,既有利于提升競爭的“底氣”,也可以獲得較豐厚的收益,和公有云廠商合作或能成為一個可選項,。

  不過另外需要提及的是,,當(dāng)前不同客戶的業(yè)務(wù)性質(zhì)不同,對權(quán)限的要求也不同,,過多的場景會讓廠商難以交付,。不論是哪種類型的廠商,都需要找到盡量通用化的場景,,避免切入過于狹窄的領(lǐng)域,,同時也降低定制化帶來的風(fēng)險。

  結(jié)語

  長遠(yuǎn)來看,,零信任“從不信任,、持續(xù)驗證”的理念契合了去邊界化的安全狀況。

  Cybersecurity在2019年底的調(diào)查顯示,,現(xiàn)在網(wǎng)絡(luò)安全最大的挑戰(zhàn)是私有應(yīng)用程序的訪問端口十分分散,,以及內(nèi)部用戶權(quán)限過多,,這兩方面正是零信任理念可以解決的問題,。另一個有趣的現(xiàn)象是,調(diào)查對象中有78%的安全團(tuán)隊希望在未來實(shí)現(xiàn)零信任網(wǎng)絡(luò)訪問,,但幾乎一半的安全團(tuán)隊對他們使用當(dāng)前安全技術(shù)提供零信任的能力缺乏信心,。

  這個例子再次印證了零信任的火熱,但不可否認(rèn),,即使客戶已經(jīng)意識到以往安全思路的狹隘,,零信任作為一種新事物是否能獲得廣泛落地,還取決于市場和供應(yīng)商的成熟,。

  一切才剛剛開始,。

  ————————————————


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。