被吹爆的 「零信任」安全,企业如何落地?
近年来,随着远程办公、业务协同、分支互联等业务需求快速发展,企业原有的网络边界逐渐泛化,导致基于边界的传统安全架构不再可靠,零信任市场迎来了风口。
“零信任”作为近年来网络安全领域又一爆火的概念,既不是产品也不是一种技术,而是一种“持续验证,永不信任”的安全理念。却吸引了腾讯、阿里、华为等大厂,深信服、奇安信、绿盟科技等安全厂商纷纷布局。
零信任的三大核心技术是软件定义边界(SDP)、身份权限管理(IAM)、微隔离(MSG),对于在网络安全领域早有积累的厂商来说技术并非难事,落地问题才是关键。国内市场落地场景难找准、现有安全体系改造难、持续管理难、实施效果和价值评估难、用户使用习惯改变难等瓶颈,是零信任厂商需要突破的问题。
今年5月,腾讯iOA零信任解决方案已经突破了100万终端的部署,是国内首个突破百万终端的零信任产品。那么腾讯为什么能抓住如此多的用户?雷峰网 (公众号:雷峰网) 与 腾讯零信任产品总经理杨育斌和高灯科技副总裁兼安全负责人莫晓盛 展开了深入交流。
瞄准需求
“零信任”这一理念最早是在美国提出的,2011年谷歌内部开始实施零信任,整整花了6年时间才在企业网实现了零信任落地。
由于国内外不同的市场环境,“零信任”在美国发展迅速,根据Cybersecurity Insider的调查,15%的受访IT团队已经实施零信任SaaS,44%表示准备部署。但是在国内,这一概念接受程度并不高,交付模式也是以解决方案为主。因此落地还需要结合国内的特殊环境和场景。
就中美在零信任架构体系应用之间的差异性,杨育斌认为,目前就技术底层逻辑以及技术应用点来讲,已经没有太大的差距;唯一的区别是使用场景,区别于美国的云服务模式,中国的实际应用情况可能更复杂,因为传统行业的服务、业务资源,都是放在企业自身的网络里面,所以需要打破网络边界做一些应用安全的保障。在落地过程中也需要去做很多的思考和变通。但是从某种程度上讲,我们的技术应用要走在美国的前面,比如,身份认证在中国反而更接地气。
杨育斌表示:“ 零信任区别于传统的预设访问黑白名单,零信任就是永不信任。简单来说就是,持续验证,最小化授权,解决从访问人的身份、终端、连接的全链路的安全。”
近两年由于疫情的助推,以及企业的信息化程度、移动化程度不断提高,随时随地处理企业内部业务系统变得越来越普遍。人员身份校验和设备安全可信等需求也变得更加迫切。
杨育斌从三个方面总结了用户对于“零信任”的需求:
首先,传统的安全架构是层层设防,不断的堆设备,只适合聚集类的固定场所的办公场景。而零信任解决方案对所有访问采取“从不信任,持续验证”,适应了当下远程办公和混合办公的需求。
其次,随着企业业务边界的拓展,许多客户的业务已经往云上迁移,在多云的环境下,对于业务的协作、运维以及安全的管理的诉求,使得零信任可以更好的应用。
最后,在当前各种物联网场景,进行通信交换加解密时,零信任可以更好的契合该场景。
据介绍,目前互联网企业业务系统不复杂,能够更加快速的应用起来,接受程度更高,更容易改造落地;而医疗行业、运营商以及大学等也在近两年落地非常迅速。除此之外,还有一些头部的央国企、金融机构还有政府目前也慢慢应用“零信任”替代传统的解决方案。
腾讯为疫情期间远程办公的企业,提供基于云的零信任接入访问,在部署周期上可以达到小时级、天级就可以完成接入部署,实现远程办公应用。
杨育斌告诉雷峰网,“零信任在落地过程中,要根据不同行业的情况和应用场景,去做相应的调整,复杂度不同相应部署时间也会不同。”比如政府、金融企业或者大型企业有数据合规审计、数据合规安全策略的要求,整个解决方案就需要从头到尾进行全面的设计和分期建设,落地过程会持续几个月甚至一年。
随着基于零信任的需求场景不断扩大,未来零信任将会有更多的场景进行实践,零信任落地难也将成为过去式。
零信任落地的关键
在企业安全建设的过程中,大多数企业不会选择单一厂商解决整个办公网的安全问题,同时大多数客户当前网络中已经购买并部署了多家厂商的安全产品,那么在建设零信任平台如何节约建设成本,以及多厂商产品之间如何集成对接是当前和未来的关键挑战。
高灯科技是腾讯iOA零信任解决方案第一百万终端客户,成立于2017年,是一家以发票数字化为基础,为企业和监管提供财税合规及交易合规管理平台的财税科技公司。
谈及决定部署iOA零信任解决方案的原因,莫晓盛表示:“一个是外因,疫情影响远程办公需求猛增;另一个是内需,经过五年的发展,高灯科技已经从最初的几十人扩张到了目前将近千人的规模,面对多个分公司和办公地点的安全管理问题,传统的“基于边界的安全模型”就力不从心了。而零信任,可以在一个动态变化的环境中进行合理的访问控制,最终提升整体的安全性,降低风险,简化整体的运营操作,增加业务的敏捷性。”
过去企业的安全问题通常不会被放在首位,现在不管是基于合规的需求还是自身发展的需求,安全成为必不可少的一项。因此如何平衡业务发展和安全建设成本的问题成为每个企业必须思考的问题。
对此,莫晓盛认为:“我们其实不是为了安全去做安全,安全是业务的一个属性,伴随着业务一起成长,公司业务营收的持续性必须要通过安全来作为保障的。因此公司也愿意在IT的安全上增加整体的投入和成本。”虽然现在建设零信任iOA付出一定成本,但同时能够释放出原先冗余的IT安全工程师的资源,也就是通过自动化代替了人工的方式,更重要的是达到了比传统方案更佳的安全效果。从长远来看,其实这部分成本是缩减的。
据了解,腾讯iOA是一个集一整套防病毒、管控、VPN接入、DLP(数据防泄漏)等多套系统综合性的一个平台。表面上看起来是以一个终端的形态存在,但实际上后台非常丰富而且饱满,相比传统的VPN部署方式为企业带来更高的能效比,高灯科技的信息安全专家王凯说。
零信任落地的另一个关键问题是,解决多厂商产品异构问题,因此还需要国家、厂商、客户一起推动建立标准规范。目前,腾讯零信任标准工作组制定的接口标准,已实现了同18个行业安全厂商的对接,接口标准化促进了企业安全办公体系的融合,也进一步优化了办公体验。
2021年7月腾讯牵头起草中国第一部《零信任系统技术规范》,填补了国内零信任领域的技术标准空白,同时也入选了中国电子工业标准化技术协会团体标准。2021年11月牵头的全球首个零信任国际标准——《服务访问过程持续保护指南》,由ITU-T国际标准正式通过发布,推动了全球零信任标准化应用。这个标准也是国内企业在国际的一级组织,国际电信组织拿到的一个关于零信任的标准,也是唯一的一个标准。
杨育斌称:“未来更重要的是建立零信任标准,促进行业和生态的健康发展。推动标准化,推动行业共识,零信任才能真正实现百花齐放。”
雷峰网原创文章,未经授权禁止转载。详情见。