前言零信任的出现,将网络防御的范围从广泛的网络边界转移到个人或群体资源,也代表了新一代的网络安全防护概念,打破默认的“信任”,秉承“持续验证,永不信任”的原则,即默认不信任网络内外的任何人、设备或系统。基于身份认证和授权,重建访问控制的信任基础,确保身份、设备、可信和链路可信。本文旨在通过国内外零信任技术的发展历程,帮助大家对零信任的安全理念有一个更全面的认识。国内外备受关注的零信任技术路线有哪些异同?众所周知,“零信任”的概念最早是在美国提出的。为什么首先在美国推出?密切相关。随着零信任技术体系的完善和云应用/WEB应用的不断增多,企业越来越接受这种动态认证和最小权限管理的安全防御理念。谷歌这样的互联网巨头的零信任实践,证明了它加强了资本和厂商的投入。今天,美国最大的安全公司已经不是传统的防火墙公司,而是一家零信任公司。相比之下,在中国,移动互联网业务蓬勃发展,在线支付业务的发展也随着移动业务的发展而向前推进。在线支付的安全性是阿里巴巴、腾讯等互联网巨头首要考虑的问题。零信任的安全理念,在国内互联网移动支付领域也是率先实践和实践的。随着零信任理念在中国的传播,这一安全理念逐渐被更多的企业和机构所认可。例如,移动办公模式在疫情期间得到广泛应用,单一虚拟专网接入保障期间发生多起安全事件。如何提高远程办公、远程访问、业务应用的安全性,让更多的企业客户选择零信任安全理念后,零信任安全厂商如雨后春笋般涌现。本文旨在通过国内外零信任技术的发展历程,帮助大家对零信任的安全理念有一个更全面的认识。1、国外零信任SaaS技术路线。零信任SaaS在美国发展迅速。超过30%的客户已经实施了零信任SaaS,44%的客户正在准备实施。零信任SaaS假设每个人都是不可信任的,先认证身份,再授权访问资源;以身份为中心,只有经过“预认证”和“预授权”才能获得访问系统的单一通道;最小权限原则,每次给用户所有的最小访问权限来完成工作;动态访问控制,所有访问通道都是单一的,动态的访问控制策略。根据Forrester报告,零信任SaaS系统供应商需要对零信任有深刻的理解、强大的微隔离能力、广泛的集成和API能力,以及识别和监控任何可能带来风险的身份的能力(不仅是IAM).例如,零信任巨头OKTA采用SaaS订阅模式。零信任SaaS深入企业业务流程和人员,营收续约率120%。零信任SaaS需要企业掌握微分段、数据安全等技术。领先的公司通常对网络管理、防火墙和云安全有深刻的理解。随着零信任市场的快速发展,越来越多的美国公司加入到零信任业务活动中。我们把美国的零信任业务公司分为三类:一类是自用出口。代表企业如:谷歌、Akamai、微软等;二是收购健能。代表公司如:Cisco、Symantec、PaloAltoNetwork、Unisys、Proofpoint等;第三是科技初创企业。代表公司如:Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。在美国未来市场,很多机构都寄予厚望。根据Cyber??securityInsider的调查,接受采访的IT团队中有15%已经实施了零信任SaaS,44%表示他们已准备好部署。据Gartner估计,到2022年,80%向生态系统合作伙伴开放的新数字业务应用程序将通过零信任网络(ZTNA)访问。到2023年,60%的企业将淘汰大部分远程访问VPN,转而使用零信任SaaS。2、国内互联网厂商的技术实践随着国内互联网的快速发展,互联网企业的信息化、移动化程度不断提高,企业“内部业务系统”逐渐成为组织的核心资产。能够随时随地处理企业内部业务系统的变化变得越来越普遍。然而,分布在全国/全球的多个分公司、子公司或办事处可能没有专线接入集团内网,往往通过公网虚拟专用网连接,存在安全性不足、访问效率低等问题。同时,并购公司、合作公司的网络安全管理机制也难以与集团公司保持一致。访问集团内网资源时,存在人员身份核验、设备安全可信等问题。基于这一需求,腾讯从2015年开始自主设计、研发并实现了零信任安全管理系统——腾讯ioA,实现可信身份安全、设备安全可信、应用进程可信、链路保护。加速优化等多项功能满足无边界办公/运维、混合云业务、安全分支机构接入、应用数据安全调用、统一身份与业务集中管控、全球链路加速接入六大场景动态接入管控需求,为企业提供一站式零信任安全解决方案,实现无边界最小权限安全访问控制,实现安全管理升级。阿里云推出办公零信任解决方案,类似于谷歌BeyondCorp的简化版。通过Agent终端控制,SPG(ServiceProvideGateway)应用接入和IDaaS身份认证齐头并进,可提供灵活组合的解决方案,满足企业需求。该方案可以概括为“可信”和“动态”两个关键词,包括两个核心模块和组件。第一个模块是远程终端安全管理,对远程终端进行可信认证和身份管理,实时判断路网设备的安全性,而不是静态判断。第二个模块是云的动态决策控制。一方面,对所有用户身份进行统一的高强度安全认证。另一方面,系统可以结合各种安全因素动态分配用户权限。3、国内安全厂商的技术路线2015年以来,国内零信任技术的炒作逐渐在各个行业和市场蔓延,随着零信任安全技术逐渐从国外云厂商和咨询机构传过来,国内安全厂商纷纷涌现。从各自的公司开始。从产品优势出发,优先宣传解决方案。2019年开始,参考案例会逐渐出现。同时,国内信息安全市场不同于国外欧美市场。目前,国内网络安全市场需求主要集中在政府部门和大行业(如金融、运营商、能源等)。这些客户目前拥有私有云或混合云。基于自身业务,顶级客户更接受零信任的先进安全理念。国外成功商业模式的归纳和国内顶级客户的实际需求,共同带动国内资本和安防厂商加大对零信任领域的投入。路线,BeyondCorp技术路线包括三种类型。(1)云安全联盟于2014年发布《SDP标准规范V1.0》英文版,2019年发布中文版。Gartner将SDP定义为零信任的最佳实践。加上SDP标准的发布,更多的国内厂商在SDP方案上有了更明确的方向。各厂商根据自身的技术积累形成SDP解决方案。不同的特点。(2)零信任IAM技术路线IAM(IdentityandAccessManagement)是网络安全领域的一个细分方向。在效果上,IAM产品可以定义和管理用户角色和访问权限,即决定谁可以访问,如何访问,访问后可以进行哪些操作。IAM解决方案还包括4A特性:账户、认证、授权和审计。这些特性在零信任安全中都是可用的,并且是关键特性。这一特性也为IAM厂商迁移零信任安全架构带来了更低的成本和更明显的效率。IAM细分市场主要解决用户应用访问和权限控制问题。因此,这类零信任技术方案更多侧重于用户应用端和数据端的访问,对于网络访问和远程访问场景的技术覆盖度不高。.(3)BeyondCorp技术路线Google的BeyondCorp是较早的零信任项目。BeyondCorp实施的核心是引入或扩展单点登录、访问代理、访问控制引擎、用户清单、设备清单、安全策略和信任库等网络组件。这些组件协同工作以维护三个指导原则:特定的网络连接不能确定用户可以访问哪些服务;根据对用户和设备的了解授予对服务的访问权限;所有对服务的访问都必须经过身份验证、授权和加密。通过对比国内外零信任的技术路线,我们可以看出国内外的零信任都有自己的特点和风格。目前,在产业数字化升级和业务云化的发展趋势下,传统的企业防护边界正在逐渐瓦解,以身份为中心的零信任安全访问控制得到越来越多行业客户的认可和肯定。怀疑零信任会成为未来网络安全行业发展的趋势。
