科技云报道原创。
随着产业数字化升级和企业“上云”的不断推进,零信任作为一种新安全理念,成为全球网络安全的关键技术和大趋势。
据MarketsandMarkets预测,零信任安全市场规模将从2019年的156亿美元增长到2024年的386亿美元,2019-2024年的复合年均增长率为19.9%。
在国内,从零信任政策及标准逐步落地,到互联网科技巨头厂商积极布局,市场的火热已显而易见。有业内人士预测,零信任现在还处于膨胀期,在未来的2-5年会成为一种主流方案。
风口之下,零信任的未来清晰了吗?
什么是零信任?
作为2010年就被Forrester定义的安全模型,“零信任”正在成为不断变化的现代工作场所的安全战略指南。
正如美国国家标准与技术研究院(NIST)所总结的那样,零信任是一套“将防御系统从静态的基于网络的周边转向关注用户、资产和资源不断发展的网络安全范式”。
简单地说,“零信任”意味着“什么都不相信, 验证一切”。它要求任何用户(公司内部或外部)在获准访问系统、应用和数据之前必须经过身份验证和授权。
值得注意的是,“零信任”是一种理念,而不是一种技术。没有单一的产品或解决方案能够使企业独自实现“零信任”。
目前来看,由美国国家标准委员会NIST于2019年对外公布的“SIM”(SDP、IAM和MSG),已成为行业公认的实现零信任的三大技术路径。
- 软件定义边界(SDP)
在SDP中,客户端首先进行多因素认证,认证设备的可靠性等。通过后,才进入用户登录阶段。这两步均是客户端与IT管理员进行交互,不涉及对具体服务的访问。当认证通过后,客户端才能够与可访问的服务建立连接。
- 身份识别与访问管理(IAM)
IAM具有单点登录、认证管理、基于策略的集中式授权以及审计、动态授权等功能。它决定了谁可以访问,如何进行访问,访问后可以执行哪些操作等。
和传统的IAM相比,除了对用户身份的统一管理、认证和授权之外,现代化IAM还需要实现基于大数据和AI技术的风险动态感知与智能分析,对于用户访问的行为数据、用户的特征和权限数据,以及环境上下文数据进行分析,通过风险模型自动生成认证和授权策略
- 微隔离(MSG)
微隔离是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。
零信任风口期到来
数字化转型的加速和云计算的不断普及,都推动了“零信任”理念的快速落地。
“零信任”应用场景不仅仅是远程办公,SaaS营运安全、大数据中心、云安全平台等都是典型的应用场景。
任何企业网络都可以基于“零信任”原则进行设计,大多数组织的企业基础架构已经具备了“零信任”的某些要素,或者正在通过实施信息安全、弹性策略和最佳实践来实现“零信任”。
目前,“零信任”市场参与者较多,主要有四大类参与者:
- 云巨头:谷歌、微软,以及国内的腾讯云、阿里云等巨头企业,率先在企业内部实践“零信任”并推出完整解决方案;
- 身份安全公司:Duo、OKTA、Centrify、Ping Identity 推出“以身份为中心的“零信任”方案”;
- 综合安全厂商:思科、Akamai、Symantec、F5 ,以及国内亚信安全、启明星辰、深信服、奇安信等,都推出了偏重于网络实施方式的“零信任”方案;
- 初创安全公司:Vidder、Cryptzone、Zsclar、Illumio,以及国内的芯盾时代等初创公司。
另外,收购兼并成为目前“零信任”市场的主旋律。如思科、派拓、赛门铁克、Unisys、Proofpoint这样的巨头玩家,多以收购的方式实现在“零信任”网络访问的纵深和业务的横向布局。
可以看到,“零信任”已到来风口期,成为炙手可热的网络安全热词。但“零信任”概念诞生已有10年,为什么是现在得以爆发?
具体而言,零信任安全架构之所以能够在近年来快速崛起,有三大优势不可忽视。
首先,是极限思想。零信任安全“不相信任何人/事/物”,不管其是什么级别、所处何种网络。零信任的企业业务应用系统默认关闭所有端口,拒绝内外部一切访问,只对合法客户端的IP定向动态开放端口,由此就可以直接避免任何非法的扫描和攻击。
其次,是连续思想。零信任对外部的访问,不是一次性验证的,而是持续性验证的,而且还会根据验证、监控的结果,对访问进行信任评估和权限调整。这种“连续性的响应”,可以全程保证访问都在管控之下。
再次,是最小化思想。最小化思想或者说最小化原则,在保证访问“够用”的同时,也极大地缩小了被攻击的攻击面;在此基础上加之微隔离的手段,就可以最大程度地避免攻击的范围,以及阻断攻击的传染性。
这种“思想”层面的领先型,或许才是零信任安全架构终将颠覆传统网络安全架构的最坚实底座。
零信任如何落地?
“零信任”让网络安全、网络交付乃至整个IT行业,都有了新的兴奋点。一场由“零信任”安全引发的网络安全领域的剧变,即将来临。
然而,形势大好之下尚有一个不可否认的事实:就国内而言,“零信任”的应用之路尚处于导入期。
因其搭建涉及到对企业现有网络体系进行大幅改造等因素的影响,加之千变万化的业务场景需求,决定了“零信任”的大规模落地实践无法在短期内一蹴而就。
如何破解建设瓶颈,深入“零信任”安全实践,成为摆在数字化企业面前的共同之问。
虽然在网络系统构建之初,将“零信任”作为系统的原生“基因”,是行业普遍认为最理想的构建之法,但“零信任”网络安全框架的搭建并没有唯一方法和标准。“零信任”安全实践并不意味着“推翻”,而是基于身份细颗粒度访问控制体系的整合叠加。
然而,这一“整合叠加”并非简单的“补丁”模式,甚至可能触及企业原有网络安全体系的根基,大量人力和成本投入真实可见。
因此,企业领导人的支持在此过程中就显得尤为关键。对企业现有网络安全需求进行全盘分析,既是明晰零信任构建之路、制定策略的关键,也是能够成功说服领导人的有效之法。
当然,企业员工作为零信任安全框架的具体实施者,其能否实现思维方式的更新也是零信任安全体系能够发挥应有效能所不容忽视的因素。
因此,围绕“零信任”安全资深专家的专业培训和教育,成为企业零信任落地实践中不可或缺的重要部分,也是保持企业零信任安全架构以长期优化机制,保有动态化、灵活化特征优势的关键所在。
此外,在零信任产业市场碎片化、生态分散化的大趋势下,零信任的发展亟需行业生态来规范引导。只有联合更多行业生态形成合力,携手生态伙伴在相应的场景、环节建立相应的安全体系,才能真正实现网络安全体系的转变。
在此过程中,安全企业作为零信任安全方案和产品的提供者,其推动之力显然是零信任安全落地实践的重要引擎。安全企业通过不断深化对技术路径和方案的探索研究,才能让更多的企业更为精准地找到最适合自身业务场景的“零信任秘方”。
总的来说,“条条大路通罗马”,企业要做的就是结合自身传统安全体系、身份、账号、权限控制以及审计管理的现状,找到最适合自身业务系统的最优路径。同时,也要联合多方力量,共同探索“零信任”最佳实践之路。
值得注意的是,安全行业一向以合规要求和业务需求为双重驱动力。企业对“零信任”的业务需求已逐渐凸显,若加上严格而有效的合规要求,即使改革成本大,“零信任”都会加速落地。
进入2021,从“零信任”开始的新网络安全体系,或许真的将落地了。
【关于科技云报道】
专注于原创的企业级内容行家——科技云报道。成立于2015年,是前沿企业级IT领域Top10媒体。获工信部权威认可,可信云、全球云计算大会官方指定传播媒体之一。深入原创报道云计算、大数据、人工智能、区块链等领域。
