受疫情的影響,以及辦公軟件頻發(fā)的安全事件,十年前提出的“零信任”安全理念在2020年再度成為社會(huì)焦點(diǎn),但如何將“零信任”這種能兼顧辦公協(xié)同、效率、安全和體驗(yàn)的理念根植在企業(yè)安全建設(shè)中,卻始終無(wú)法達(dá)成共識(shí)。
端午節(jié)前夕的一場(chǎng)線上發(fā)布會(huì)嘗試給出答案。中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟秘書(shū)長(zhǎng)雷曉斌以及中國(guó)移動(dòng)設(shè)計(jì)院、騰訊、深圳網(wǎng)安、天融信、任子行等多家機(jī)構(gòu)相關(guān)負(fù)責(zé)人和技術(shù)專家在「零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組成立暨騰訊零信任安全管理系統(tǒng)iOA 5.0版本發(fā)布會(huì)」上,圍繞零信任產(chǎn)業(yè)標(biāo)準(zhǔn)、落地實(shí)踐、應(yīng)用趨勢(shì)等展開(kāi)探討,為零信任從概念走向?qū)崙?zhàn)提供參考樣本。
零信任落地要關(guān)注哪些問(wèn)題?
在新基建和疫情的雙重刺激下,企業(yè)數(shù)字化進(jìn)程進(jìn)一步提速,這也意味著零信任的落地過(guò)程中需要考慮更多新場(chǎng)景、新技術(shù)與新要求。
例如面對(duì)逐漸“飛入尋常百姓家”的5G技術(shù),中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院有限公司5G+創(chuàng)新業(yè)務(wù)所副所長(zhǎng)杜雪濤認(rèn)為,5G網(wǎng)絡(luò)安全架構(gòu)下,整個(gè)安全防護(hù)的重點(diǎn)是安全邊界的防護(hù)。在安全邊界變得越來(lái)越模糊的情況下,進(jìn)一步驅(qū)動(dòng)了零信任架構(gòu)的引入。但是,在這兩個(gè)技術(shù)融合的過(guò)程中,需要解決什么是身份、如何提升超級(jí)時(shí)延的決策能力、如何保護(hù)敏感數(shù)據(jù)等三大挑戰(zhàn)。
天融信科技集團(tuán)技術(shù)總監(jiān)劉治平則從目前網(wǎng)絡(luò)安全的發(fā)展趨勢(shì)剖析了零信任的發(fā)展抓手——網(wǎng)絡(luò)安全方面呈現(xiàn)出國(guó)產(chǎn)化、行業(yè)化、服務(wù)化、智能化四大趨勢(shì),在零信任的應(yīng)用上,天融信將在四種趨勢(shì)的推動(dòng)下持續(xù)落地零信任理念,幫助用戶完成在零信任產(chǎn)學(xué)研用生態(tài)鏈中“用”的建設(shè)。
如何做好安全合規(guī)同樣是零信任的關(guān)鍵任務(wù)。深圳市網(wǎng)安計(jì)算機(jī)安全檢測(cè)技術(shù)有限公司技術(shù)總監(jiān)洪躍騰認(rèn)為,零信任的這種安全理念代表了新一代的安全思路,其在落地過(guò)程中,與等級(jí)保護(hù)測(cè)評(píng)中要求的邊界防護(hù)、身份認(rèn)證、訪問(wèn)控制、個(gè)人信息安全保護(hù)等方面關(guān)系密切。例如在邊界防護(hù)中,要保證這種跨越邊界的訪問(wèn)和數(shù)據(jù)流,通過(guò)邊界設(shè)備提供的接口進(jìn)行通信。在這種基于零信任的系統(tǒng)中,數(shù)據(jù)流通只有安全認(rèn)證和合法授權(quán)后才可以接入目標(biāo)資源和系統(tǒng)。
在聚焦到企業(yè)如何從現(xiàn)有的安全架構(gòu)向零信任理念遷移的場(chǎng)景中,任子行網(wǎng)絡(luò)技術(shù)股份有限公司技術(shù)總監(jiān)王先高結(jié)合自身實(shí)踐經(jīng)驗(yàn),提出了三點(diǎn)思考:落地的成本是否是低于傳統(tǒng)VPN的解決方案?業(yè)務(wù)的切割能否做到平滑的過(guò)渡?用戶的習(xí)慣是否可以體驗(yàn)更好?基于此,王先高建議采用最小化的應(yīng)用先落地進(jìn)行體驗(yàn),卸載掉傳統(tǒng)VPN歷史包袱,采用小步快跑的思路去迭代零信任方案的部署。
國(guó)內(nèi)首個(gè)“零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組”的成立將帶來(lái)什么改變?
發(fā)布上,騰訊聯(lián)合共16家發(fā)起單位,在中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟標(biāo)準(zhǔn)專委會(huì)下建立了“零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組”,致力于為成員單位提供技術(shù)交流、專家指導(dǎo)、市場(chǎng)開(kāi)拓、產(chǎn)品測(cè)評(píng)、人才培養(yǎng)等平臺(tái),并助力各行業(yè)用戶基于標(biāo)準(zhǔn)化的方式重構(gòu)網(wǎng)絡(luò)與安全應(yīng)用,建立真正有效的網(wǎng)絡(luò)安全架構(gòu)。
中國(guó)產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展聯(lián)盟秘書(shū)長(zhǎng)雷曉斌在發(fā)布會(huì)上表示,與傳統(tǒng)的安全防護(hù)機(jī)制相比,零信任安全的新理念更有優(yōu)勢(shì),也催生了行業(yè)內(nèi)越來(lái)越多零信任概念安全產(chǎn)品的涌現(xiàn)。如何能真正有效地推進(jìn)零信任網(wǎng)安全的落地,各類產(chǎn)品和解決方案到底要達(dá)到哪些核心的安全技術(shù)要求,這是必須通過(guò)標(biāo)準(zhǔn)去探索和規(guī)范的;零信任產(chǎn)業(yè)發(fā)展也需要具有先進(jìn)性、前瞻性的標(biāo)準(zhǔn)去牽引,才能真正成為網(wǎng)絡(luò)安全發(fā)展的驅(qū)動(dòng)力。
騰訊安全總經(jīng)理王宇表示,作為零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組的發(fā)起單位,騰訊將秉持合作共贏理念,開(kāi)放自身在零信任領(lǐng)域的能力和資源積累,與“零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組”合作伙伴共建產(chǎn)業(yè)標(biāo)準(zhǔn)生態(tài),推動(dòng)行業(yè)標(biāo)準(zhǔn)研制、測(cè)試評(píng)價(jià)、市場(chǎng)活動(dòng)與成果轉(zhuǎn)化,為客戶提供高質(zhì)量的零信任產(chǎn)品和服務(wù),促進(jìn)零信任產(chǎn)業(yè)規(guī)?;l(fā)展。
毫無(wú)疑問(wèn),零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組的成立為零信任真正融入企業(yè)、走進(jìn)場(chǎng)景提供了框架式的規(guī)范。在騰訊安全管理部標(biāo)準(zhǔn)中心副總監(jiān)黃超看來(lái),零信任目前已經(jīng)展現(xiàn)出了良好落地實(shí)踐效果,包括遠(yuǎn)程安全辦公場(chǎng)景、混合云安全運(yùn)維管理場(chǎng)景以及服務(wù)端之間安全訪問(wèn)場(chǎng)景。但同時(shí),黃超也提出,從技術(shù)維度上看,零信任在真正落地時(shí),需要適配更多的終端和通信協(xié)議;通過(guò)一些技術(shù)手段去打造智能化、自動(dòng)化的目標(biāo);通過(guò)零信任來(lái)實(shí)現(xiàn)細(xì)粒度的、動(dòng)態(tài)的安全和訪問(wèn)控制;平衡用戶體驗(yàn)、用戶實(shí)際使用之間的矛盾;以及零信任這種新的理念和架構(gòu),如何和已有安全產(chǎn)品和服務(wù)兼容和集成,都需要產(chǎn)業(yè)上下游攜手探索和優(yōu)化。
零信任的“騰訊實(shí)踐”如何煉成?
在推動(dòng)零信任標(biāo)準(zhǔn)建立的過(guò)程中,騰訊還收獲了更多零信任的實(shí)踐成果。騰訊安全高級(jí)產(chǎn)品經(jīng)理王丹在發(fā)布會(huì)上,首次介紹了騰訊基于領(lǐng)先技術(shù)和最佳安全實(shí)踐打造的騰訊iOA(5.0版本)。騰訊iOA打破了傳統(tǒng)基于區(qū)域的授信控制方式,采用基于可信身份(Trusted identity)、可信設(shè)備(Trusted device)、可信應(yīng)用(Trusted application)和可信鏈路(Trusted link)的“4T原則”授予訪問(wèn)權(quán)限,并強(qiáng)制所有訪問(wèn)都必須經(jīng)過(guò)認(rèn)證、授權(quán)和加密,真正實(shí)踐了“零信任”設(shè)計(jì)理念,保障無(wú)論員工位于何處、何時(shí)使用何設(shè)備都可安全訪問(wèn)企業(yè)資源。基于自研技術(shù)成果和內(nèi)部安全實(shí)踐檢驗(yàn),全新升級(jí)的騰訊iOA,成功打造了員工位于何處(Anywhere)、何時(shí)(Anytime)使用何設(shè)備(Any device)都可安全地訪問(wèn)授權(quán)資源以處理任何業(yè)務(wù)(Any work)的4A新型辦公方式。
“騰訊從2015年開(kāi)始研發(fā)基于零信任的iOA版本,把整個(gè)辦公路徑分解為人、設(shè)備、運(yùn)用、資源等核心元素。在這個(gè)過(guò)程中,騰訊內(nèi)部提供了很好的戰(zhàn)場(chǎng),有大量的應(yīng)用場(chǎng)景和用戶。”騰訊企業(yè)IT安全研發(fā)負(fù)責(zé)人蒙俊伸表示,經(jīng)過(guò)10多年實(shí)踐的積累跟研究,騰訊建立起了一套安全、穩(wěn)定、高效的一個(gè)零信任工作環(huán)境。目前,騰訊iOA服務(wù)了內(nèi)網(wǎng)近10萬(wàn)終端,覆蓋Windows、MAC、linux三大辦公平臺(tái)。
騰訊iOA在安全上的表現(xiàn),蒙俊伸還分享了一個(gè)案例——騰訊iOA在終端環(huán)境上通過(guò)可信身份、可信設(shè)備和可信應(yīng)用保障整體辦公環(huán)境的安全。其中在可信應(yīng)用上,可以實(shí)現(xiàn)對(duì)每個(gè)應(yīng)用及API的校驗(yàn)。正是依托于這種深度分析能力,在18年某安全運(yùn)維工具被攻擊時(shí),騰訊比行業(yè)提前兩周發(fā)現(xiàn)并及時(shí)阻止了風(fēng)險(xiǎn)。
騰訊游戲也基于零信任的理念,摸索出了支撐海量游戲服務(wù)集群的經(jīng)驗(yàn)。據(jù)騰訊IEG 技術(shù)運(yùn)營(yíng)部基礎(chǔ)安全產(chǎn)品負(fù)責(zé)人龍凡介紹,針對(duì)騰訊游戲面臨的多云跨云服務(wù)器訪問(wèn)管理等需求,零信任的落地有兩個(gè)核心點(diǎn),第一是以身份為基礎(chǔ)的可信接入;第二是在具備持續(xù)風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上動(dòng)態(tài)訪問(wèn)控制能力。騰訊TEG在實(shí)踐過(guò)程中的特色還在于,以iOA校驗(yàn)過(guò)的身份為基礎(chǔ),結(jié)合在服務(wù)器訪問(wèn)過(guò)程當(dāng)中的風(fēng)險(xiǎn)評(píng)估再次發(fā)起身份挑戰(zhàn),旨在實(shí)現(xiàn)從服務(wù)器端到用戶終端的聯(lián)動(dòng),實(shí)現(xiàn)基于身份的安全訪問(wèn)控制。
伴隨著越來(lái)越多針對(duì)零信任的趨勢(shì)洞察、標(biāo)準(zhǔn)制定和實(shí)踐落地,零信任這一前沿理念將加速融入企業(yè)IT架構(gòu),成為企業(yè)安全體系的“標(biāo)準(zhǔn)配置”。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )