作為近年來(lái)的網(wǎng)絡(luò)安全熱詞,零信任這一網(wǎng)絡(luò)安全的理念受到越來(lái)越多的關(guān)注,國(guó)內(nèi)外圍繞零信任展開(kāi)大量的研究和實(shí)踐。但是關(guān)于零信任理念與網(wǎng)絡(luò)安全技術(shù),不少人還沒(méi)有充分的認(rèn)知,如果簡(jiǎn)單認(rèn)為零信任是對(duì)昨天技術(shù)的繼承與延續(xù),那是不正確的。零信任究竟是什么,零信任與網(wǎng)絡(luò)安全技術(shù)有什么關(guān)系,感興趣的請(qǐng)接著往下看:
零信任是什么?
零信任作為一種安全管理哲學(xué),近年來(lái)漸漸有了一統(tǒng)江山之勢(shì),作為在零信任領(lǐng)域頗有研究的專業(yè)人士,薔薇靈動(dòng)創(chuàng)始人嚴(yán)雷用新的視角,給大家闡述零信任這一話題。
在薔薇靈動(dòng)嚴(yán)雷看來(lái),首先,零信任是一種方法論。零信任定義了一種安全管理的新的視角。零信任不是產(chǎn)品或者技術(shù)。客戶無(wú)法買到一個(gè)叫零信任的產(chǎn)品,只能買到可以實(shí)現(xiàn)零信任的某種要求的產(chǎn)品。
其次,零信任是一個(gè)過(guò)程,或者說(shuō)零信任是一個(gè)方向。零信任不是一個(gè)靜態(tài)的標(biāo)準(zhǔn)或狀態(tài)。零信任的建設(shè)應(yīng)該是一個(gè)持續(xù)的、逐漸深入,優(yōu)化的過(guò)程, 零信任的建設(shè)也是一個(gè)在安全與業(yè)務(wù)之間平衡的過(guò)程。
最后,零信任是個(gè)廣泛適用的方法論。零信任可以應(yīng)用于整個(gè)計(jì)算架構(gòu)的各個(gè)方面,在每一個(gè)細(xì)分的環(huán)境,具體維度上都可以利用零信任的方式來(lái)做管理,而不是像谷歌那樣將之應(yīng)用于辦公網(wǎng),面向員工的身份進(jìn)行管理。
圖一:零信任的應(yīng)用場(chǎng)景
從圖中可以看到,零信任可以作用于人、零信任可以作用于設(shè)備、零信任可以作用于網(wǎng)絡(luò)、零信任也可以作用于工作負(fù)載等所有有數(shù)據(jù)流動(dòng)的主體上。事實(shí)上,相較于辦公網(wǎng)而言,數(shù)據(jù)中心是更容易實(shí)現(xiàn)零信任的場(chǎng)景,也是有著更多核心業(yè)務(wù)和關(guān)鍵數(shù)據(jù)的地方,因此可以成為我們開(kāi)展零信任建設(shè)的起點(diǎn)。
零信任提出之前,網(wǎng)絡(luò)安全技術(shù)的現(xiàn)狀與困局
目前公認(rèn)的零信任技術(shù)包括SDP,微隔離和IAM。這三個(gè)技術(shù)分別發(fā)展了過(guò)去的VPN技術(shù),防火墻技術(shù)和4A技術(shù)。但是,我們必須認(rèn)識(shí)到一件事情,這些零信任技術(shù)并不是過(guò)去很多年里網(wǎng)絡(luò)安全技術(shù)發(fā)展的主流,事實(shí)上VPN,防火墻,4A都是傳統(tǒng)技術(shù),而零信任技術(shù)從控制與識(shí)別能力自身來(lái)說(shuō)也并沒(méi)有比這些傳統(tǒng)技術(shù)有什么變化,零信任更多是以軟件定義安全的形式,零信任把過(guò)去的數(shù)據(jù)平面和控制平面給分開(kāi)了,從而達(dá)成更靈活更大規(guī)模的管理能力。在零信任之前,真正在安全技術(shù)創(chuàng)新領(lǐng)域里唱主角的是特征識(shí)別、攻防對(duì)抗、APT分析、態(tài)勢(shì)感知、大數(shù)據(jù)、AI、沙箱蜜罐等等這些有著更純正“安全”味道的東西。那么問(wèn)題來(lái)了,零信任與這些技術(shù)之間究竟是個(gè)什么關(guān)系?一直以來(lái),人們印象中的真正意義上的網(wǎng)絡(luò)安全技術(shù)都圍繞著兩件事展開(kāi),一件是修補(bǔ)自己的漏洞,一件是發(fā)現(xiàn)別人的攻擊。然我們總有挖不完的漏洞,同時(shí)攻擊者的反偵察能力也在同步進(jìn)化,在這場(chǎng)貓鼠游戲中,防御者總是處于落后的一方,而且從理論上看不到勝出的可能。這種悲觀情緒一度籠罩著整個(gè)網(wǎng)絡(luò)安全產(chǎn)業(yè)界,這也就呼喚我們對(duì)整個(gè)網(wǎng)安防御思路做出根本性的變革。
零信任:不是一種攻防對(duì)抗技術(shù)
在這樣的背景下,零信任技術(shù)歷史性地成為了安全行業(yè)的新希望。零信任技術(shù)絕不是又一種攻防對(duì)抗技術(shù),相反零信任不再熱衷于發(fā)現(xiàn)壞人是誰(shuí),零信任也不再把時(shí)間花在永無(wú)休止的挖漏洞上,零信任是直接否定了所有人,系統(tǒng)和業(yè)務(wù)流量。
零信任,簡(jiǎn)單,粗暴,有效。攻擊者總是在想盡辦法的躲避防御者,他們本質(zhì)上就是目標(biāo)矛盾的雙方,他們掌握的技術(shù)就是為了與對(duì)方對(duì)抗而生的,他們不可能形成一個(gè)穩(wěn)定的和諧關(guān)系。而防御者與業(yè)務(wù)訪問(wèn)者卻是天生的同盟軍,他們完全可以緊密配合,充分協(xié)作。在零信任的體系里,取代攻防對(duì)抗技術(shù)的是身份識(shí)別技術(shù)與訪問(wèn)控制技術(shù),而在多因子識(shí)別技術(shù)的幫助下,在密碼技術(shù)的加持下,理論上,身份是可以唯一確認(rèn)的,也就是說(shuō),只要建立起完整準(zhǔn)確細(xì)致的身份管理與訪問(wèn)授權(quán)體系,只要我們充分地理解我們自身業(yè)務(wù)的構(gòu)成,我們?cè)诶碚撋暇蛯碛幸粋€(gè)絕對(duì)安全的零信任網(wǎng)絡(luò)。雖然零信任網(wǎng)絡(luò)同樣是非常復(fù)雜艱巨的系統(tǒng)工程,但至少?gòu)睦碚撋现v,我們已經(jīng)將主動(dòng)權(quán)重新拿回到自己的手上,零信任狀態(tài)下,防御者不再被攻擊者前者鼻子走,他可以通過(guò)對(duì)業(yè)務(wù)系統(tǒng)最細(xì)粒度最精細(xì)的白名單訪問(wèn)控制體系,做到我的地盤我做主,從而第一次在零信任狀態(tài)下,將網(wǎng)絡(luò)安全的主動(dòng)權(quán)握在了自己手上。
所以,零信任技術(shù)是對(duì)瀕臨破產(chǎn)的攻防對(duì)抗路線的一次絕地反擊,零信任沒(méi)有繼承也沒(méi)有發(fā)展,零信任是一次顛覆,零信任是一次安全防御思路的徹底變革。
零信任安全市場(chǎng)的發(fā)展與規(guī)模
根據(jù)MarketsandMarkets的最新數(shù)據(jù)表明,全球零信任安全市場(chǎng)規(guī)模預(yù)計(jì)將從2020年的196億美元增長(zhǎng)到2026年的516億美元,從2020年到2026年的復(fù)合年增長(zhǎng)率(CAGR)為17.4%。
零信任本質(zhì)上是一種以身份為基石,革新安全架構(gòu)的新一代安全解決方案,零信任以業(yè)務(wù)安全訪問(wèn)為保障,這種持續(xù)信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制的機(jī)制讓企業(yè)安全架構(gòu)更加安全,零信任提升了安全能力,零信任降低了運(yùn)維成本,因此零信任成為重構(gòu)安全防御體系的新趨勢(shì)。
作為中國(guó)網(wǎng)絡(luò)安全行業(yè)的技術(shù)創(chuàng)新領(lǐng)導(dǎo)廠商,薔薇靈動(dòng)一直以來(lái)都是“零信任”理念和“微隔離”技術(shù)的倡導(dǎo)者和領(lǐng)軍者,始終以推動(dòng)中國(guó)云安全技術(shù)發(fā)展為己任。
薔薇靈動(dòng)CEO嚴(yán)雷曾表示,現(xiàn)在業(yè)界公認(rèn)的實(shí)現(xiàn)零信任的落地技術(shù)有三個(gè):微隔離(MSG)、SDP、IAM,而當(dāng)今做零信任,都是分五步,微隔離是五步,SDP也是五步,每個(gè)公司都是五步,不是五步就不正宗了。
建立零信任網(wǎng)絡(luò),數(shù)據(jù)中心內(nèi)部安全建設(shè)是至關(guān)重要的一環(huán),微隔離技術(shù)的作用就在于此。部署微隔離主要分為定義、分析、設(shè)計(jì)、防護(hù)和持續(xù)監(jiān)控五個(gè)步驟。本質(zhì)上就是一個(gè)對(duì)特定業(yè)務(wù)系統(tǒng)進(jìn)行全面業(yè)務(wù)分析,并基于業(yè)務(wù)設(shè)計(jì)出一個(gè)適合本企業(yè)環(huán)境和要求的零信任網(wǎng)絡(luò)架構(gòu),并基于此實(shí)現(xiàn)全面的白名單訪問(wèn)控制的過(guò)程。
圖二:零信任體系搭建之五步微隔離部署方法論
雖然現(xiàn)在零信任已經(jīng)進(jìn)入到快速發(fā)展期,但是在普及零信任的過(guò)程中仍然面臨著搭建體系成本較高,對(duì)舊版本安全體系的融合銜接,以及生態(tài)分散化等挑戰(zhàn),因此,如何凝聚行業(yè)共識(shí)、發(fā)揮協(xié)同也是促進(jìn)零信任發(fā)展的關(guān)鍵點(diǎn)。
在巨大的市場(chǎng)下,垂直行業(yè)場(chǎng)景下對(duì)不同零信任解決方案的需求,必將引領(lǐng)新一波安全架構(gòu)革新,包括騰訊、薔薇靈動(dòng)在內(nèi)的業(yè)界廠商,將在2021年下半場(chǎng)帶來(lái)什么驚喜,我們且行且看。
備注(點(diǎn)擊可復(fù)制):
