《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 零信任:訪問安全僅僅是一個(gè)不錯(cuò)的開局

零信任:訪問安全僅僅是一個(gè)不錯(cuò)的開局

2021-10-18
來源: 數(shù)說安全
關(guān)鍵詞: 零信任 訪問安全

  網(wǎng)安紀(jì)100年

  邊陲之地,兩軍交戰(zhàn),。

  一方主將力主零信任要義,,統(tǒng)籌全軍。一方主將為保守派,,將邊防城墻視為安全邊界。兩方對抗僵持不下,,忽有試圖坐擁漁翁之利的黑客小國試圖襲擊……

  黑客小國徐徐圖之:

  保守派陣營,,外嚴(yán)內(nèi)松。邊界防線重軍駐守,,部署狼煙,、警哨(防火墻、入侵檢測系統(tǒng))不等,,強(qiáng)攻容易引起告警,,且對抗不易,。然,若以利誘之,,策反小將為己(黑客小國)所用,,近源攻擊、內(nèi)鬼操作皆是大有可為,。亦或是繞過邊線潛入或釣魚以竊取兵將令牌(員工賬號信息),,頂替冒充,可步步深入,,直竊主將機(jī)密,。

  反觀零信任陣營,不清虛實(shí),??膳尚≈Ш诳完?duì)伍夜襲,或潛入間諜,,嘗試?yán)飸?yīng)外合,。然步入防線,觸發(fā)警報(bào),,間諜行動(dòng)受限,,四處訪問皆需經(jīng)身份盤問與校驗(yàn)。又以威逼與利誘,,試圖策反,,不想零信任已融于基礎(chǔ)設(shè)施之中,“最小權(quán)限授予,、基于身份訪問控制”已為軍令不可動(dòng)搖,,且終端校驗(yàn)處處可見??此票Ψ稚?,卻固若金湯。

  如此,,零信任之旗在攻防對抗中得以勝利高舉,。

  2010年,John Kindervag提出了零信任理念,,指出了“默認(rèn)信任是安全的致命弱點(diǎn)”這一事實(shí),,然而經(jīng)過了數(shù)年以及多次網(wǎng)絡(luò)安全危機(jī)后才逐漸被企業(yè)理解和認(rèn)可。當(dāng)前,,邊界安全模型依舊是主要的網(wǎng)絡(luò)安全模型,,相信在契機(jī)和革新的推動(dòng)下,新的安全基礎(chǔ)架構(gòu)被應(yīng)用也只是時(shí)間問題,。

  2020年,,疫情催發(fā)的遠(yuǎn)程辦公需求吹起了零信任之風(fēng),,而后,數(shù)據(jù)安全合規(guī)需求也成為了國內(nèi)零信任發(fā)展的主推力,。

  在國內(nèi)零信任的應(yīng)用實(shí)踐中,,成立于2018年的數(shù)篷科技創(chuàng)始團(tuán)隊(duì)是第一批吃螃蟹的人。

  根據(jù)數(shù)篷科技CTO楊一飛的回憶,,這支創(chuàng)始團(tuán)隊(duì)早在10年前就在相關(guān)領(lǐng)域沉淀與積累,。從騰訊云計(jì)算平臺基礎(chǔ)架構(gòu)的安全模塊研發(fā),到百度全公司底層基礎(chǔ)設(shè)施的安全建設(shè),,讓他們清楚地意識到,,基于數(shù)據(jù)驅(qū)動(dòng)的業(yè)務(wù)和開放性的基礎(chǔ)設(shè)施將是下一代行業(yè)應(yīng)用、產(chǎn)業(yè)發(fā)展的基礎(chǔ),,而安全是必須要解決的關(guān)鍵問題之一,。

  信任廢墟下,第一需求來自“解決問題”

  伴隨企業(yè)IT架構(gòu)變化,、“默認(rèn)信任”坍塌,,在市場最火熱的時(shí)候,萬物皆可零信任,。

  根據(jù)這幾年對中國市場的貼地觀察,,數(shù)篷科技的技術(shù)副總裁王柏達(dá)發(fā)現(xiàn),部分企業(yè)對于零信任還是存在認(rèn)知偏差,、刻板印象或是僵化定義,。

  一方面,越來越多的廠商“零信任化”,,不管是傳統(tǒng)廠商的轉(zhuǎn)型,,還是創(chuàng)業(yè)公司的加入,都讓國內(nèi)零信任市場愈發(fā)多元化與活躍,;另一方面,,很多企業(yè)對零信任理解不深,有“跟風(fēng)”傾向,,難免存在將零信任等同于某一類技術(shù)的認(rèn)識偏差,,如SDP、IAM等,。此外,,零信任模型中很重要的“動(dòng)態(tài)授權(quán)”和“持續(xù)驗(yàn)證”能力,在市場上還沒有相對統(tǒng)一的評估機(jī)制和標(biāo)準(zhǔn),。這也讓企業(yè)在選擇零信任產(chǎn)品時(shí)的評估指標(biāo)很寬泛。

  王柏達(dá)深信:零信任理念雖好,,終歸要圍繞著甲方的實(shí)際業(yè)務(wù)場景來落地,,解決問題比“噱頭”更重要,。

  在王柏達(dá)看來,企業(yè)傳統(tǒng)的基礎(chǔ)設(shè)施基于邊界信任模型,,安全能力往往部署在企業(yè)網(wǎng)絡(luò)邊界的范圍內(nèi),。而“安全即基礎(chǔ)設(shè)施”則意味著在傳統(tǒng)基礎(chǔ)設(shè)施上部署“軟件定義”的安全能力,訪問和應(yīng)用在哪里,、安全能力就隨之覆蓋到哪里,。“軟件定義”也意味著,,在成本控制和業(yè)務(wù)覆蓋上對企業(yè)更為友好,。

  由于國內(nèi)互聯(lián)網(wǎng)發(fā)展快速,大多傳統(tǒng)企業(yè)在信息化還不是很完善的時(shí)候,,就被擠進(jìn)了互聯(lián)網(wǎng)浪潮,。因此,這些企業(yè)的IT環(huán)境大多是錯(cuò)綜且交疊的復(fù)合體,,簡單來說就是兼?zhèn)淞岁惻f的基礎(chǔ)設(shè)施和前沿的技術(shù)的一個(gè)混合IT架構(gòu),。對新興的中小型企業(yè)和互聯(lián)網(wǎng)企業(yè),雖然“歷史包袱”比較輕,,又采用了開放的互聯(lián)網(wǎng)環(huán)境運(yùn)轉(zhuǎn),,但由于業(yè)務(wù)導(dǎo)向很強(qiáng),同樣也存在各類風(fēng)險(xiǎn),。

  因此,,所有企業(yè)仍需根據(jù)內(nèi)部IT及安全建設(shè)的不同階段,采用靈活的零信任落地方式,。而企業(yè)的零信任安全戰(zhàn)略應(yīng)該基于業(yè)務(wù)需求,、組織建設(shè)、技術(shù)選型,、企業(yè)文化和思維方式等方面來制定,。

  譬如系統(tǒng)重構(gòu)或公司初創(chuàng)階段,可以采用全新的零信任整體架構(gòu)設(shè)計(jì),;已有系統(tǒng)但希望通過零信任減少風(fēng)險(xiǎn),,可以選擇ZTNA或網(wǎng)關(guān)式產(chǎn)品;當(dāng)整體改造比較困難或擔(dān)心風(fēng)險(xiǎn)時(shí),,則可以選擇先在某個(gè)業(yè)務(wù)或某個(gè)部門或小部分員工進(jìn)行零信任試點(diǎn)……以循序漸進(jìn)的方式,,從解決具體問題入手,是零信任進(jìn)入企業(yè)的穩(wěn)妥方式,。

  正是因?yàn)槠髽I(yè)的情況和需求不盡相同,,因此在選擇零信任產(chǎn)品的時(shí)候應(yīng)考慮產(chǎn)品的可配置性、高效運(yùn)營以及系統(tǒng)對接等能力。比如,,可以根據(jù)不同的人員及業(yè)務(wù)類型配置不同的產(chǎn)品形態(tài)(基于零信任理念的VPN,、應(yīng)用網(wǎng)關(guān)或數(shù)據(jù)安全沙箱);可以通過自適應(yīng)策略引擎實(shí)現(xiàn)動(dòng)態(tài)權(quán)限高效管控,;通過軟件定義以及開放的API實(shí)現(xiàn)業(yè)務(wù)以及現(xiàn)有基礎(chǔ)設(shè)施的對接等,。

  當(dāng)然,目前國內(nèi)外對于零信任的部署方向不外乎兩種:“網(wǎng)絡(luò)和安全同步進(jìn)行”,,亦或是強(qiáng)調(diào)“零信任先行,,網(wǎng)絡(luò)重構(gòu)可以略微滯后”,在楊一飛看來,,零信任安全產(chǎn)品和整體網(wǎng)絡(luò)架構(gòu)的先后問題,,無非是根據(jù)實(shí)際環(huán)境,螺旋式上升的發(fā)展趨勢,。不管哪一種,,最終指向的都是整體的零信任應(yīng)用結(jié)果。

  訪問安全是零信任的開局,,而數(shù)據(jù)安全是未來

  所有應(yīng)用都是從訪問開始,,關(guān)注訪問安全是一個(gè)很好的開局。但我們也必須承認(rèn),,訪問僅僅是一個(gè)開端,。

  當(dāng)零信任的訪問安全被市場廣泛應(yīng)用時(shí),新的安全問題出現(xiàn)了--任何時(shí)間,、地點(diǎn)訪問企業(yè)內(nèi)部數(shù)據(jù)資源的便捷下,,意味著數(shù)據(jù)分布更分散,數(shù)據(jù)在邊緣或是云上面臨新的安全風(fēng)險(xiǎn),。

  孤陰不長,,獨(dú)陽不生。零信任的終點(diǎn)一定不是僅解決訪問安全問題,,而是一個(gè)貫徹于IT和OT的更完整的解決方案,。對于零信任的認(rèn)知概念也在從一個(gè)單點(diǎn)(訪問安全)拓展至更大的范疇。

  數(shù)年前,,數(shù)篷已然做好了準(zhǔn)備,。自成立之初,當(dāng)取名為數(shù)篷(DataCloak)時(shí),,他們就想好了要基于零信任理念為數(shù)據(jù)包裹上一個(gè)“柔性”的斗篷,,即讓數(shù)據(jù)在高度交互和流動(dòng)下產(chǎn)生價(jià)值,同時(shí)保障流動(dòng)數(shù)據(jù)可用不可拿的安全,。在楊一飛看來,,數(shù)據(jù)安全就是零信任進(jìn)一步發(fā)展的關(guān)鍵性方向,。

  過去,基于數(shù)據(jù)安全衍生了無數(shù)的安全產(chǎn)品,,從加密,、脫敏,、數(shù)據(jù)防泄漏到數(shù)據(jù)庫安全,,而隨著數(shù)據(jù)的分散、高頻流動(dòng),,基于零信任理念的數(shù)據(jù)安全解決方案則更基于敏感數(shù)據(jù)訪問控制而發(fā)展,。

  在可預(yù)想的未來,數(shù)字化轉(zhuǎn)型將讓企業(yè)業(yè)務(wù)運(yùn)行在整合計(jì)算,、存儲和傳輸能力的虛擬化平臺上,;從設(shè)備、網(wǎng)絡(luò),,到應(yīng)用,、數(shù)據(jù),實(shí)現(xiàn)點(diǎn)對點(diǎn)對等安全,。這將成為零信任產(chǎn)品的落地趨勢,。

  零信任、SASE和ZTE

  零信任,、SASE,、ZTE(零信任邊緣)……在市場炒作周期內(nèi),大量術(shù)語在當(dāng)下網(wǎng)絡(luò)安全環(huán)境中碰撞與交集,,讓一些企業(yè)產(chǎn)生了疑問和混淆,。事實(shí)上,最早是Forrester提出了零信任概念,,其后是Gartner提出SASE,,最近,F(xiàn)orrester又提出ZTE,。

  通過對這幾個(gè)概念的剖解,,可以發(fā)現(xiàn)其核心都是基于身份的訪問控制來實(shí)現(xiàn)應(yīng)用與數(shù)據(jù)安全。只是由于理念于不同的IT環(huán)境背景下提出,,所以在描述上有所不同,。如最早的IT環(huán)境中,由于大量應(yīng)用與數(shù)據(jù)集中于數(shù)據(jù)中心,,因此零信任理念也是基于數(shù)據(jù)中心的訪問控制而展開,。隨著應(yīng)用廣泛分布,數(shù)據(jù)流向終端,、云端,,從邊緣考慮應(yīng)用與數(shù)據(jù)的安全訪問開始成為主流,這也催生了SASE、ZTE概念的火熱,。

  相比而言,,SASE強(qiáng)調(diào)網(wǎng)絡(luò)和安全的緊耦合,要求單一提供商提供全套SASE產(chǎn)品,,而ZTE強(qiáng)調(diào)網(wǎng)絡(luò)和安全解耦,,可以由多個(gè)供應(yīng)商集成。但是用王柏達(dá)的話來說,,“殊途同歸”,,實(shí)現(xiàn)邊緣數(shù)據(jù)安全將是相關(guān)產(chǎn)品的落地方向。

  有趣的是,,盡管SASE或是零信任的方案里常常會(huì)談?wù)摰絊D-WAN,,但從數(shù)篷科技等國內(nèi)廠商推出的產(chǎn)品來看,更好的方式還是由安全廠商提供安全能力,,由網(wǎng)絡(luò)運(yùn)營商來提供網(wǎng)絡(luò)能力,,發(fā)揮所長。而隨著企業(yè)級SaaS應(yīng)用進(jìn)程的推進(jìn),,SASE的市場還將進(jìn)一步打開,。

  在國內(nèi),大家對SASE更多處于探討與探索階段,。而DACS AnyCloud?作為提供跨云跨地域的IT基礎(chǔ)設(shè)施平臺與安全服務(wù)的SASE解決方案,,同樣在接受市場的磨合。

  楊一飛認(rèn)為,,SASE的主要需求來自端到云的訪問中對網(wǎng)絡(luò)優(yōu)化和安全保障能力的需求,。當(dāng)一個(gè)企業(yè)具備多個(gè)(跨地域)分支機(jī)構(gòu),并且擁有多個(gè)自建云和租用云時(shí),,實(shí)現(xiàn)多云,、多業(yè)務(wù)、多地的互相訪問對于網(wǎng)絡(luò)和安全的高需求是顯而易見的,。在這個(gè)基礎(chǔ)上,,數(shù)篷科技通過自有安全能力和第三方(萬國數(shù)據(jù))骨干網(wǎng)絡(luò)能力的疊加,同時(shí)解決了多端到多云,,以及跨云互聯(lián)互通問題,,也就是同時(shí)提供了終端到服務(wù)端,服務(wù)端到服務(wù)端的網(wǎng)絡(luò)優(yōu)質(zhì)互聯(lián)以及應(yīng)用與數(shù)據(jù)安全保護(hù),。SASE是數(shù)篷科技零信任戰(zhàn)略規(guī)劃里的一環(huán),,也是數(shù)篷科技邁向云的起點(diǎn)。

  “安全即基礎(chǔ)設(shè)施相當(dāng)于做安全的虛擬化,,把底層不同的物理基礎(chǔ)設(shè)施的安全特性用軟件定義的方式抽象化,?!睏钜伙w提到,“越來越多的安全專家已經(jīng)在零信任和數(shù)據(jù)安全,、邊緣安全融合的道路上進(jìn)行研究與探討,。”

  去年,,數(shù)篷科技發(fā)布了名為HyperCloak?(凌界)的增強(qiáng)型零信任安全框架--國內(nèi)第一個(gè)零信任安全框架,。基礎(chǔ)架構(gòu)決定安全問題的復(fù)雜度,,而這種讓零信任安全框架與基礎(chǔ)設(shè)施深度融合的方式,,更是對以往的IT基礎(chǔ)架構(gòu)提出了一個(gè)跨越性的補(bǔ)充。

  一年的時(shí)間,,大量企業(yè)通過SDK接入HyperCloak?,將這一安全框架與其內(nèi)部的一些工作平臺進(jìn)行融合,??蚣艿膶?shí)踐又回饋給2.0版本框架,形成正向優(yōu)化,。

  如今,,通往零信任的路,逐漸明朗,。下一代的企業(yè)安全將基于零信任架構(gòu),、由軟件定義、融合AI技術(shù),,形成橫貫企業(yè)辦公,、云計(jì)算和邊緣計(jì)算場景的企業(yè)安全空間。

  縱觀越來越多零信任可行性實(shí)踐的輸出,,平臺化與生態(tài)化的發(fā)展,,群策群力下形成犄角之勢??v是車錯(cuò)轂兮短兵接,,應(yīng)也無懼。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。