2010年,ForresterResearch分析师JohnKindervag提出了著名的零信任概念,随后这一创新的安全概念风靡全球,并被被认为是行业颠覆者创新的理念必将引领下一代网络信息安全行业。但命运有时就是这么不如人意。零信任技术火了十几年,吹了十几年,但直到今天,在国内仍处于“叫好不叫座”的尴尬境地。真正花真金白银大规模实施零信任技术的公司真的不多。那么,究竟是什么问题,导致了类似“人买我推荐,真买我不买”的零信任火爆?对于甲方企业而言,零信任全面落地的核心动力是什么,零信任技术未来的发展路径是什么?安全是风险与收益的平衡在回答上述问题之前,我们需要讨论一下“企业安全的本质是什么”?目前,HW正在如火如荼地进行中。攻防双方调动现有资源进行攻防演练,或渗透目标系统夺权;或守住安全底线,追查攻击者路径。他们的目的很明确:打败对方,赢得对抗。这不是企业安全的本质。赢只是结果,企业安全的本质应该是让企业更好的发展。从企业战略的角度看,安全的本质其实是风险与收益的平衡,是一种将不可控风险转化为可控成本的手段。网络攻击的风险随着互联网的发展而演变。早期的网络攻击主要是木马和病毒,目的是成功感染目标用户的电脑,更注重个人的技能展示。对企业的危害主要集中在“电脑中毒”,干扰企业的业务和运营。更小。因此,当时的企业信息安全岗位大多由IT运维兼任,安全防护体系主要由防火墙、杀毒软件、入侵检测这旧三件套组成。此时网络攻击造成的成本还比较小,传统边境安全系统的目的是隔离病毒。随着互联网的进一步发展,企业业务陆续上线,网络攻击愈发普遍,各种钻空子的行为层出不穷,网络威胁开始给企业带来持续的业务中断和直接经济损失.更重要的是,这部分成本随着技术的发展和数字化转型不断增加,有的甚至成为决定企业生死存亡的核心因素之一。此时,网络攻击不再以“感染电脑”为目标,逐利性越来越明显:利用DDoS威胁勒索企业,或加密企业设备和数据进行勒索,或窃取数据直接倒卖上暗网。.....轻则业务中断,重则带来巨大的经济损失。为控制和降低网络威胁带来的巨大成本,企业不断加大信息安全投入,设立信息安全部门,采购大量各类安全设备,升级传统边防系统,重组企业信息安全构建更适合业务发展的新型保障体系。与此同时,网络安全法制体系逐步完善,对违反安全合规行为的处罚越来越严厉,甚至可以决定生死。典型的法定代表人有《网络安全法》《数据安全法》《网络安全审查办法》等。为了降低这部分成本,企业信息安全也在朝着“符合合规”的方向建设,避免因踩踏安全红线而造成巨大损失。“性价比”成为零信任落地的关键因素从“企业安全本质”可以看出,网络风险和合规风险是企业安全发展的核心驱动力。新理念、新技术、新产品的出现,是为了更好地降低这两大风险带来的成本,或者是优化安全运营,让业务更顺畅;或强化安全技术更精准扼杀风险等。我国网络安全行业具有很强的合规属性,企业违规造成的损失直接而严重。轻则被监管部门约谈,重则被监管部门下架重罚,对企业经营极为不利。影响。因此,在资源有限的情况下,企业通常会优先满足合规需求。从现有的网络安全法律体系和合规规则来看,零信任技术在满足合规要求方面帮助不大。因此,企业实施零信任技术的核心驱动力只能是网络攻击的威胁。对于企业来说,一旦零信任技术全面落地实施,安全架构必须全面调整,需要投入大量的人力物力进行建设。如上所述,网络安全的本质是一种成本控制手段。因此,企业在安全方面的投入永远不会超过各种网络威胁所造成损失的总和(可以简单理解为:风险造成的损失X概率)。此外,企业在安全方面的投入还必须纵向考虑,即与目前的安全体系相比,投入大量资源的效果是否有明显提升,对业务发展是否产生了显着影响?这时候,企业的领导层需要考虑一个非常关键的问题:投资合算吗?首先,虽然我国面临的网络攻击形势十分严峻,但仍无法与国外频繁爆发、勒索赎金上百万美元、大规模数据窃取等严重程度相比。这也是为什么零信任技术的实施在国外比较普遍,而中国还是抱着试一试的态度,更倾向于逐步加强安全体系。其次,我国缺乏真正意义上全面推行零信任的标杆企业,无法为行业提供参考,让很多企业难以下定决心。从以往网络安全行业的发展历程来看,一个标杆案例对于新技术的推广应用意义重大,大多数企业都不愿意成为第一个吃螃蟹的人。原因是第一个吃螃蟹的人结果未知,而继续依赖现有的安全系统已经有一个可以接受的结果。在这样的情况下,企业更倾向于继续观望,而不是成为被观察者。最后,大家看好零信任技术,但最终没有人去实践。此外,许多企业还缺乏实施零信任的技术基础。例如,动态授权和持续信任是零信任的核心之一。需要在统一权限管理的基础上建立持续的信任评估机制。信任评估涉及的因素数量决定了信任评估结果的准确性。信任评估模型需要根据不同的网络建立不同的评估模型,对准确性和精度要求较高。目前,持续信任缺乏统一的实现。零信任将安全体系视为一个整体,涉及到终端环境感知、IAM、EDR、UEBA等各种安全产品,在实施时需要集成这些产品和系统。然而,目前企业采购的安防设备往往分散在多个厂商的品牌中。几乎不可能实现完美融合,也很难实现零信任。部分零信任是一条路径。随着大、云、物、移动、智能、链等技术的快速发展,以及新冠疫情对全球的持续影响,零信任技术的落地迎来了新的发展机遇。在无法全面实施的情况下,部分零信任成为很多企业的选择。例如,作为零信任的核心之一,身份认证体系不断得到加强,成为实现零信任的部分尝试。随着企业数字化转型的加速,上云成为不可或缺的路径,云架构让企业面临更大的风险。一旦存储的数据被泄露或遭到攻击,将给企业造成难以估量的损失。据统计,80%的数据泄露都与账号密码被盗有关,身份认证已成为企业信息安全的重要关口。在这种情况下,传统的身份认证系统已经难以适应日新月异的网络发展,更难以保证访问者身份的安全。是企业的选择,为未来零信任的全面落地打下了坚实的基础。例如,疫情期间,某公司为加强在线办公的安全性,对原有的身份认证系统进行了升级。从账户管理的基础到身份管理的基础,通过多因素、实时、动态的认证,确保接入的身份与其所代表的身份一致。在落地的过程中,企业也充分考虑了自适应、可管理、可扩展授权策略的平衡。通过RBAC实现粗粒度授权,建立满足最小权限原则的权限基线。还可以使用ABAC模型,实现基于主体、客体、环境属性的角色动态映射,满足灵活的管理需求。同时,通过风险评估分析,过滤角色和权限,实现场景动态授权和风险感知。事实上,零信任的部分实施更适合中国企业的现状。越来越多的企业开始尝试在细节上引入零信任,完善现有的安全体系,包括授权管理、业务审计、信息安全运营监控预警体系、终端安全体系等诸多方面。这样做的好处是显而易见的。企业无需针对已建立的安全架构“大动干戈”,意味着不需要大规模的资源投入,更容易获得领导层的支持。同时,在实施过程中,企业可以进一步感知零信任对企业安全的提升,是否会对业务产生不利影响等。从某种意义上说,零信任要做的不是完全取代原有的安全体系,而是从微隔离或微隔离的角度,基于身份管理、权限控制、动态认证等技术,不断强化原有的安全体系。网络隐藏。安全系统存在缺陷。一方面,零信任系统可以整合原有的主机安全、EDR、态势感知等进行安全感知;可集成原有堡垒机、统一门户(含SSO)安全接入、VPN和安全网关(FW、UTM等)作为其安全动作执行能力等。另一方面,纵深防御系统可以使用零信任实现多级细粒度的权限控制;可以利用零信任的动态信任评估系统实现实时响应;可以利用零信任的身份管理实现多设备管理等。从这个角度来看,零信任的实现或许可以走一条先局部后全局的路径。这条路可能需要很长的时间,但却是一条可行的路,让企业有足够的时间和资源去不断探索零信任,评估零信任。零信任的实现是传统安全的升华。作为近几年最火的安全技术之一,业界对零信任有着极大的热情。然而,长期的鼓吹让零信任充满了越来越多的泡沫,“颠覆”原有安全体系的大招,让大部分企业只远观“零信任”,而没有看到真正的安全体系。.土地和实践。我们总是在抱怨传统的边界安全,认为零信任的出现会打破这些边界,但需要注意的是,零信任并不是没有边界,而是无处不在的边界,所以需要“持续验证”。从这个角度来看,零信任的出现不是颠覆,而是进步和升华。当传统边界被割裂时,新的边界在系统中逐渐形成,并会发挥更强大的作用。
