零信任产业标准工作组发布国内首个基于产业实践的零信任白皮书
8月20日,由中国产业 互联网 发展联盟指导,汇聚腾讯等20余家零信任产学研用权威机构的零信任产业标准工作组举行线上发布会,正式对外发布国内首个基于攻防实践总结的零信任安全白皮书——《零信任实战白皮书》(以下简称《白皮书》)。
作为国内率先提出将零信任产业化与标准化相结合发展的专业组织,零信任产业标准工作组《白皮书》以国内产业界的工程实践和依托零信任架构的真实攻防经验为基础,全面且详细地介绍了零信任理念、实现架构、行业案例和应用探索等方面的内容,为企业安全管理者、技术研发和运维等人员提供参考。中国产业互联网发展联盟秘书长雷晓斌表示,零信任产业标准工作组集结业界优势机构,基于实战经验和研究积累研制和推出本白皮书,希望能为零信任产业发展带来新动能。
区别于传统边界 安全 ,零信任 提供 持续动态防护
在产业数字化升级与业务上云的趋势下,企业网络环境发生重大变化,传统基于边界的网络安全架构已经无法适应安全防护需求,零信任这一网络安全的新理念受到了更多的关注。《白皮书》指出,在零信任架构下,传统的安全防护边界被打破,每一次对资源的请求,都要经过信任关系的校验和建立。纯内网安全管理的增强需求、企业办公网络建设规划管理的环境变化,是企业网络防护从传统边界安全理念到零信任理念演变的原因。
区别于边界安全观念,零信任安全架构模型下,区分恶意和非恶意的请求,来自人、终端、资源三者关系是否正确和可信,“从不信任、持续校验”(Never Trust,Always Verify)理念使其安全可信度更高、动态防护能力更强,还有全链路加密,分析能力增强、访问集中管控、资产管理方便、支持远程办公等多重优点。
《白皮书》介绍的零信任实现方案主要包括两种:用户对资源访问模式和服务之间调用场景实现。在用户对资源访问模式下的零信任实现方案,涉及的核心元素主要包括用户、终端、资源和链路;对于服务之间调用的零信任实现方式,则主要参考 Gartner相关报告,包括云原生控制、基于第三方防火墙、基于代理模式、混合模式四种工作负载之间隔离的实现方式。对于办公安全、数据中心内部访问、大数据、物联网、多云安全访问和混合云服务器运维、私有机房对外访问入口的安全防护等重点场景,白皮书进行了详细介绍并提供了相关落地指引方案参考。
基于产业 界工程 实践, 助力“ 零信任 ” 应用 落地
《白皮书》指出,伴随5G网络、大数据中心、工业互联网等新基建的加速推进,零信任结合国内实际应用场景的落地发展也将走上快车道。总结业内实践,在不断丰富我国零信任理念和架构的同时,制定出一套完整的零信任技术和测试标准,为行业发展扫清障碍,成为下一步亟待解决的问题。
为了助力企业在网络安全防护中落地“零信任”,《白皮书》总结了工作组重点单位的零信任应用实践场景和案例,促进产业界各方交流,指导相关产品研发和应用实践。腾讯作为全球综合性互联网企业,规模大、业务种类多、职场分布多、协作厂商多,需要一种灵活的安全解决方案,保护访问企业内部资源的安全。通过自研零信任产品——腾讯iOA,腾讯在企业内部实现了身份安全可信、设备安全可信、应用进程可信、持续访问控制、链路保护与加速优化等零信任安全能力。疫情期间,全公司 6 万员工,10万级终端使用零信任网络通道,完美支持办公、运维、研发、测试、客服、设计等全尺寸办公场景的同时,实现了办公效率和员工使用体验双双提升。
除腾讯外,《白皮书》还详细介绍了完美世界、蔷薇灵动、天融信、绿盟、任子行、谷歌等企业在 互联网金融 、政府单位、央企集团、 游戏 等行业领域的应用案例。感兴趣的朋友可以关注“腾讯安全” 微信 公众号,回复“实战白皮书”下载全文,了解更多详细内容。