您的位置:首页 >科技 >

十年成长,“零信任安全”现状如何?

2019-11-13 10:05:10来源:亿欧

2019年,网络安全愈发受重视。

9月份,工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见,《意见》指出到2025年,要培育形成一批年营收超过20亿的网络安全企业,形成若干具有国际竞争力的网络安全骨干企业,网络安全产业规模超过2000亿。除了提出对市场规模和网安企业的要求,该《意见》还将“零信任安全”列入网络安全需要重点突破的关键技术。

什么是零信任安全?

▍零信任安全并非无边界网络,而是指将边界收缩到端

在理解零信任安全的之前,首先要明确现阶段企业安全边界的变化。

近十年,云计算、AI、大数据等技术引发的革命悄然而至。它们改变了企业业务方式、程序开发方式,也让企业安全边界发生了变化。

按照传统安全思维,大多数企业组织及IT部门都是坚持“堡垒”“护城河”心态,利用防火墙、VPN等来隔离外部风险,专注于防止外部入侵者跨越企业安全边界。但是随着员工移动办公工具增多,以及业务上云、数据上云,网络边界模糊,内部员工、业务合作伙伴甚至供应商都可以访问企业数据,传统的安全边界不再存在。而零信任安全就是颠覆原有概念,认为内部用户比外部用户更不可信,未来减少数据泄露的主要方法就是对内部用户零信任。

零信任强调的是永不信任和始终验证,不信任任何人、事、物。Forrester的分析师约翰.金德维格(John Kindervag)最早曾在2010年提出“零信任”概念,他提到了三个原则:一是不应该区分网络位置,二是所有的访问控制都应该是最小权限且严格限制,三是所有的访问都应当被记录和跟踪。

在这之后,谷歌花了6年时间(2011年-2017年)迁移到BeyondCorp零信任环境,在企业网实现了零信任落地。

“2014年12月,谷歌发表多篇论文阐述自身零架构的实施情况和相关方式;2017年,谷歌beyondCorp全面落地,在这个时间点,思科、亚马逊、微软等业界巨头看到零信任在谷歌落地的案例后快速跟进;2018年开始,我国中央部委、国家机关和中大型企业也开始探索和实践零信任安全架构。”深信服科技股份有限公司移动安全产品研发总监郭炳梁说道。

以金融行业为例,在金融机构数字化转型时代,传统金融机构主要面对的问题,是安全跟不上甚至会制约业务的发展。当金融机构业务跨界、业务形态变化快速发展,新的业务也会带新的安全问题,基于边界的传统安全架构的应对是滞后的,单纯依靠传统安全架构无法适应业务的快速发展。譬如,业务上云后,虚拟机频繁、快速地创建和销毁,带来ACL也在快速变化,这就是传统安全架构难以适应的。

郭炳梁认为,“这并不代表不需要传统的边界防护,而是在传统边界的基础上进行互补。零信任的一种理解是无边界网络,但是我认为它并不是指去除边界,而是将边界收缩到端。”

▍零信任安全产品PK,看技术还是看理念?

在2019深信服创新大会上,深信服对外发布了深信服精益信任aTrust安全架构,该架构在零信任的基础上做了增强,通过信任和风险的反馈控制,实现“精确而足够”的信任。

在郭炳梁看来,零信任网络安全架构应该做到三点:

1、信任最小化。所有用户、设备和网络流量都应该被认证、授权和加密。

2、网络无特权化。不管是内网还是外网,始终都是充满威胁的,不应该依据网络位置去信任。

3、权限动态化。主张应该基于尽量多的数据源,比如用户、设备、环境、信息、行为等。

郭炳梁表示,安全控制中心和安全控制网管是深信服精益信任aTrunst平台架构中最重要是两部分,所有用户访问都统一通过安全接入网关检测,以及终端做判定,最后授予相应的权限。

在业务访问过程中,aTrunst平台架构将先访问资源再验证身份转变为先验证身份再访问资源。

“比如一个业务系统开放给5个部门里的20个人使用,传统的方式是这5个部门里的2000个人都可以访问该业务系统,没有用户名和密码。而统一身份认证组件提供了统一身份认证、身份管理和单点登陆sso能力,还能和aTrunst联动基于全生命周期进行管理,如果一个员工处于离职状态,他的安全策略就会进行相应调整,达到更高的安全系数,降低安全风险。”

郭炳梁指出,aTrunst平台架构主张“零信任不是一个巨无霸,也不应当是一个一蹴而就的东西,它应该和机构及企业各个业务发展阶段结合起来去匹配,按需提供”。

除了谷歌、微软、思科等国外巨头,腾讯、深信服、360企业安全、奇安信、山石网科等国内企业也纷纷开始研究零信任架构。在谈到深信服产品的差异化优势时,郭炳梁告诉亿欧,深信服的优势在于客户导向和足够灵活。

“零信任在国内都还处于发展的前期,要真正走向成熟还需要一段时期的打磨。前期,零信任的基础技术都相对成熟 ,所以从技术上看差异不大,主要是涉及领域有区别,例如终端安全、大数据安全等。此外,相较于传统安全架构,零信任安全架构的区别还与理念差异有关。

区别是深信服坚持客户导向和足够开放灵活。首先,客户导向是深信服的立身之本,深信服产品会紧跟客户的需求,不断深挖和改进;其次,精益信任在理念上主张并坚持开放灵活的方案架构,和传统安全架构是互补关系而非对立,坚持和多产品联动实现统一的安全体系,比如说我们会和各类安全产品基于模型化的安全标签进行对接,来实现统一安全。”