標(biāo)準(zhǔn)化,是為了在一定的范圍內(nèi)獲得最佳秩序,經(jīng)協(xié)商一致制定并由公認(rèn)機(jī)構(gòu)批準(zhǔn),共同使用和重復(fù)使用的一種規(guī)范性文件。這是三大國際標(biāo)準(zhǔn)組織ISO、IEC、ITU共同給標(biāo)準(zhǔn)下的定義。在任何領(lǐng)域,某項技術(shù)想要具備行業(yè)乃至世界影響力,“標(biāo)準(zhǔn)化”是必不可少條件。
日前,網(wǎng)絡(luò)安全行業(yè)最為火爆的零信任理念迎來了由騰訊牽頭的全球首個國際標(biāo)準(zhǔn)——《服務(wù)訪問過程持續(xù)保護(hù)指南》。這意味著零信任理念及相關(guān)技術(shù)在全球范圍內(nèi)首次建立了統(tǒng)一的話語體系和實(shí)踐規(guī)范,將推動全球零信任產(chǎn)業(yè)邁向更加開放和健全的生態(tài)協(xié)作模式,進(jìn)一步夯實(shí)全球數(shù)字經(jīng)濟(jì)發(fā)展的安全底座。
十年探索實(shí)踐 零信任已成公認(rèn)未來發(fā)展方向
零信任的概念起源于十年前,F(xiàn)orrester分析師約翰·金德維格指出了“默認(rèn)信任是安全的致命弱點(diǎn)”這一事實(shí),并提出了不再以一個清晰的邊界來劃分信任或不信任的設(shè)備;不再有信任或不信任的網(wǎng)絡(luò);不再有信任或不信任的用戶的核心理念。
而零信任真正開始被廣泛認(rèn)知,來自于谷歌的BeyondCorp項目。彼時,隨著云技術(shù)越來越普及,大量員工在外網(wǎng)辦公,大量手機(jī)、PAD等新設(shè)備出現(xiàn),外協(xié)、臨時員工的加入,使得邊界變得沒有意義。谷歌破除內(nèi)外網(wǎng)概念,通過與設(shè)備為中心的認(rèn)證、授權(quán)工作流,實(shí)現(xiàn)員工任何地點(diǎn)對資源的訪問,谷歌的做法也成為了眾多企業(yè)開展零信任實(shí)踐的參考。
時至今日,傳統(tǒng)網(wǎng)絡(luò)邊界已經(jīng)消失殆盡,零信任理念也被更多行業(yè)、組織認(rèn)為是解決新時代網(wǎng)絡(luò)安全問題的“萬全之策”。尤其是經(jīng)過2020年疫情的催化,讓零信任需求進(jìn)一步爆發(fā)。
騰訊企業(yè) IT 安全架構(gòu)師蔡東赟表示:“從安全趨勢上看,內(nèi)網(wǎng)安全基于邊界的安全已經(jīng)不是那么牢不可破,數(shù)字化辦公發(fā)展導(dǎo)致沒有邊界內(nèi)網(wǎng)。核心的爆發(fā)點(diǎn)還是來自于疫情帶來的物理隔斷,大家遠(yuǎn)程辦公,這是最基本的適用場景,人們已經(jīng)不得不使用零信任架構(gòu)。”
據(jù)知名咨詢機(jī)構(gòu)Gartner曾預(yù)測,到2023年,60%企業(yè)會逐步淘汰虛擬專用網(wǎng)(VPN)方式,采用零信任網(wǎng)絡(luò)訪問來進(jìn)行的遠(yuǎn)程方案,從政府組織到商業(yè)實(shí)體,零信任架構(gòu)在全球范圍內(nèi)迅速擴(kuò)張。
目前美國政府已經(jīng)正式開啟零信任戰(zhàn)略。2021年5月,美國總統(tǒng)簽署了行政命令,強(qiáng)制要求政府部門全面邁向零信任架構(gòu)。在隨后的《2022財年預(yù)算案》中,美國國防部要求撥款6.15億美元用于與零信任網(wǎng)絡(luò)安全架構(gòu)相關(guān)的工作。
在資本市場,海外已有多家零信任SaaS公司上市。其中的龍頭企業(yè)Okta,股價在過去四年間翻了十倍,市值從2017年上市首日的21億美元,達(dá)到如今的390億美元。
在國內(nèi),眾多安全廠商也紛紛布局零信任。其中,騰訊自2016年起在內(nèi)部自主設(shè)計、落地零信任安全管理系統(tǒng)——騰訊iOA,在多年的實(shí)踐錘煉中,零信任安全管理方案實(shí)現(xiàn)了內(nèi)網(wǎng)零事故的戰(zhàn)績,尤其是在2020年初疫情期間,騰訊iOA系統(tǒng)安全支持騰訊內(nèi)部7萬名員工和10萬臺服務(wù)終端跨境、跨城辦公需求。
從理念到落地 統(tǒng)一標(biāo)準(zhǔn)規(guī)范是重中之重
“經(jīng)過十余年的技術(shù)發(fā)展以及疫情遠(yuǎn)程安全辦公應(yīng)用需求的催化,零信任已經(jīng)從概念走向了實(shí)施落地階段,接下來企業(yè)用戶最關(guān)注的其實(shí)是零信任如何落地的問題。” 零信任產(chǎn)業(yè)標(biāo)準(zhǔn)工作組首席標(biāo)準(zhǔn)專家劉海濤表示。對于大多數(shù)企業(yè)來說,零信任架構(gòu)的“落地”時機(jī)和方法依然存在諸多疑慮和爭議。
首先零信任并不是一種具體的技術(shù),而是一種理念,實(shí)現(xiàn)零信任有多種框架和路徑,同時在市場的熱推下,有許多安全產(chǎn)品都打著零信任的幌子進(jìn)行宣傳,這導(dǎo)致許多企業(yè)對零信任安全認(rèn)知比較割裂,且千差萬別。
騰訊安全團(tuán)隊在對外輸出零信任安全實(shí)踐時就遇到了這樣的問題。“大家認(rèn)為的零信任根本不是一碼事。有人覺得這就是IAM,有人覺得零信任是動態(tài)口令,有人說是數(shù)據(jù)沙盒,甚至有拿上網(wǎng)行為管理系統(tǒng)的技術(shù)指標(biāo)說要招標(biāo)零信任產(chǎn)品。”
另外,零信任的落地需要對現(xiàn)有的安全體系進(jìn)行改造,客戶從原有網(wǎng)絡(luò)架構(gòu)升級到零信任架構(gòu),完全重構(gòu)成本極高,且許多機(jī)構(gòu)的安全建設(shè)已有多年積累,在進(jìn)行零信任改造時,對于如何與企業(yè)現(xiàn)有安全架構(gòu)、安全產(chǎn)品/設(shè)備結(jié)合,充分利舊,具有強(qiáng)烈的訴求。
騰訊企業(yè)IT安全架構(gòu)師蔡東赟表示:“去適配每個客戶千差萬別的協(xié)議標(biāo)簽會非常麻煩。通過標(biāo)準(zhǔn)化以及生態(tài)協(xié)同的助力,推動接口聯(lián)動,將大大提升服務(wù)商和客戶之間的合作效率,避免走彎路,同時還能減少后來者進(jìn)入行業(yè)的難度,促進(jìn)產(chǎn)業(yè)持續(xù)繁榮。”
最后,從安全廠商的角度來說,零信任安全生態(tài)建設(shè),不可能由一個公司或者某幾個公司完全主導(dǎo),要發(fā)揮整個行業(yè)的力量。“行業(yè)需要統(tǒng)一的標(biāo)準(zhǔn)為各個廠商確定技術(shù)邊界,服務(wù)商各自發(fā)揮自己擅長的技術(shù)并進(jìn)行深入研究,促進(jìn)整個生態(tài)的發(fā)展。”上海派拉軟件研發(fā)總監(jiān)茆正華說道。
從“持續(xù)驗證”到“持續(xù)保護(hù)”不止換個詞那么簡單
從理念到落地,零信任的未來發(fā)展不完全是技術(shù)或產(chǎn)品層面的問題,它同時跟企業(yè)的經(jīng)營、規(guī)劃、長期發(fā)展的管理強(qiáng)相關(guān),并且是一個持續(xù)優(yōu)化的過程。技術(shù)與業(yè)務(wù)需求將雙輪驅(qū)動零信任產(chǎn)品的未來發(fā)展,制定匯聚產(chǎn)業(yè)共識的標(biāo)準(zhǔn)規(guī)范將能更好的促進(jìn)產(chǎn)業(yè)協(xié)同發(fā)展。
通常來說,標(biāo)準(zhǔn)往往需要具備權(quán)威、普適、科學(xué)、實(shí)用四個特性。首先,必須由行業(yè)認(rèn)可的權(quán)威機(jī)構(gòu)批準(zhǔn)發(fā)布;其次,制定要經(jīng)過利益相關(guān)方充分協(xié)商,并聽取各方意見;另外,標(biāo)準(zhǔn)來源于人類社會活動,其產(chǎn)生的基礎(chǔ)是科學(xué)研究和科技進(jìn)步的成果,是實(shí)踐經(jīng)驗的總結(jié);最后制定目的是為了解決現(xiàn)實(shí)問題或潛在問題,在一定的范圍內(nèi)獲得最佳秩序,實(shí)現(xiàn)最大效益。
此次由騰訊牽頭的全球首個零信任國際標(biāo)準(zhǔn)《服務(wù)訪問過程持續(xù)保護(hù)指南》,由國際三大標(biāo)準(zhǔn)機(jī)構(gòu)之一的ITU-T批準(zhǔn)發(fā)布,在前期標(biāo)準(zhǔn)立項以及二次答辯過程中,均經(jīng)受了眾多世界頂尖安全專家的審查,具備充分的權(quán)威性和普適性。
從科學(xué)性上來說,《服務(wù)訪問過程持續(xù)保護(hù)指南》源自于騰訊等多家中國企業(yè)落地零信任的最佳實(shí)踐經(jīng)驗及技術(shù)總結(jié)。就騰訊而言,其自2016年就開始在內(nèi)部展開零信任實(shí)踐,多年來實(shí)現(xiàn)了內(nèi)網(wǎng)安全零事故并成功經(jīng)受了疫情考驗,與此同時騰訊零信任解決方案已經(jīng)在政務(wù)、醫(yī)療、交通、金融等多個行業(yè)成功應(yīng)用,支持百萬終端設(shè)備的安全接入。
最后,從實(shí)用性上,首個零信任國際標(biāo)準(zhǔn)的建立,對零信任理念及相關(guān)技術(shù)在世界范圍內(nèi)的普及無疑具有重要的推動作用。而且,基于中國特色的零信任實(shí)踐總結(jié),此次標(biāo)準(zhǔn)發(fā)布還推動了零信任理念從“持續(xù)驗證”到“持續(xù)保護(hù)”內(nèi)涵的升級。
具體來看,標(biāo)準(zhǔn)提出的零信任安全理念核心部分,打破了傳統(tǒng)基于網(wǎng)絡(luò)區(qū)域位置的特權(quán)訪問保護(hù)方式,重在持續(xù)識別企業(yè)用戶在網(wǎng)絡(luò)訪問過程中受到的安全威脅,保持訪問行為的合理性,以不信任網(wǎng)絡(luò)內(nèi)外部任何人/設(shè)備/系統(tǒng),基于持續(xù)的身份認(rèn)證和安全評估對訪問進(jìn)行授權(quán)控制,實(shí)現(xiàn)對訪問主體、訪問鏈路、訪問客體(服務(wù))的整個訪問過程的多維度持續(xù)安全保護(hù)。
例如,在遠(yuǎn)程工作場景、訪問多云服務(wù)場景、服務(wù)器與服務(wù)器之間通信的三大典型應(yīng)用場景中,“持續(xù)保護(hù)”使得用戶不需要維護(hù)多個訪問接口,即可實(shí)現(xiàn)使用一個訪問控制策略來管理不同的云的資源,還能避免諸如分布式拒絕服務(wù)(DDoS)攻擊等各類型網(wǎng)絡(luò)攻擊。部署“持續(xù)保護(hù)”具有諸多優(yōu)勢,包括有助于做出更精確的授權(quán)決定,縮小服務(wù)器的攻擊面,兼顧更好的用戶體驗和更強(qiáng)的安全性等。
標(biāo)準(zhǔn)化的過程本身就意味著生態(tài)的建立,面對產(chǎn)業(yè)互聯(lián)網(wǎng)時代更加嚴(yán)峻的安全挑戰(zhàn),安全行業(yè)依然需要更加體系化的安全標(biāo)準(zhǔn),來促進(jìn)生態(tài)共建,加快構(gòu)筑新一代網(wǎng)絡(luò)安全體系。為產(chǎn)業(yè)數(shù)字化夯實(shí)安全基礎(chǔ),依然任重而道遠(yuǎn)。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請進(jìn)一步核實(shí),并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時,應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )