当我们在谈零信任时,我们谈的是什么?
是一种应对网络安全的全新思维方式。
ZERO TRUST在2010年由Forrester分析师John Kindervag正式提出。
零信任是它的英文直译。
零信任不是产品,是理念——在网络安全的世界里,不相信任何人、任何设备、任何环境。你所走过的每一步,都需要证明你是你。
在网络安全中,新旧思维方式有多大的差别呢?
举个例子:《西游记》中,当悟空离开时会给唐僧画下一个亮闪闪的圈,只有自己人可以出入,坏人(妖怪)进不来,在圈里唐僧可以做任何事,唯独不能走出圈。这就是传统的网络安全模式。它是有边界的,它的好处是好人绝对安全,坏处是好人一旦出圈就容易被被妖怪吃掉。而零信任,更像是一个腰带,悟空离开时,给唐僧和师弟们系上,他们可以自由奔跑跳跃舞蹈,妖怪们无法触碰。
2010年零信任被正式提出,为什么过去几年没有受到关注?
原因大概有二:
1、成本太高,网络安全是一个企业的底座,变更模式是从思维到布局的重建,这里的成本和风险谁来承担?
2、需求不高,大家都是做企业的,固定的写字楼固定的员工,边界式网络安全不香吗?好端端为什么要换?
那么为什么近几年又开始火热了呢?
因为疫情。
企业里的员工没有办法呆在圈里,他们不得不通过移动办公、远程办公来解决工作的问题,这样一来,造成了一个更加开放、复杂和充满不确定性的网络环境,安全风险随之增加。据Zscaler数据显示:新冠疫情以来,针对远程办公的用户的攻击增长了85%。这样的网络环境下如何去构建一个信任的网络、终端以及应用,对企业发展而言,则是当下的重中之重了。
零信任就成了解决企业远程办公的最佳选项。
零信任火热,行业内标榜自己是“零信任”的产品鱼龙混杂,数量庞大,一时间让客户难以辨认:你说你的是零信任,为什么跟他家的零信任差别这么大?
究其原因,是因为发展太快野蛮生长,不同主体对零信任的方案设计、技术实现、测试评估、实际部署等阶段的认知差异化较大,缺少行业共识、标准和技术规范,这就需要从政策到行业,最终到企业,进行一系列具有可操作性和互认的场景和环节建设。
首先看政策方面, 2019年,工信部发布了《关于促进网络安全产业发展的指导意见》,将零信任安全列入需要着力突破的网络安全关键技术。2020年,工信部发布“关于开展网络安全技术应用试点示范工作”通知,也把零信任列为具有前沿性、创新性、先导性的重大网络安全技术理念。
政策的加持在市场上取得了良好的反应,以零信任为核心的产品体系正在不断丰富,安全厂商、云服务商、解决方案供应商等,都在围绕自身技术优势,形成侧重点各有不同的零信任解决方案,满足不同场景下的企业客户需要。
另外,在标准体系建设方面,零信任的标准进程也在快速推进,2020年6月24日,腾讯安全联合零信任领域16多家权威产学研用机构共同成立国内首个“零信任产业标准工作组”。一年后,工作组规模扩大到42家,并完成了多家产品之间的互联互认。同一时间,由腾讯安全牵头编制的中国第一部《零信任系统技术规范》正式发布,并经中国电子工业标准化技术协会公布为团体标准。团标发布后被业界广为传播和认同。今年7月可信云大会发布的国内首批零信任专项认证,其测评标准也参考了团标的技术思路。让国内的零信任发展开启了“有据可依”的新篇章。
其实,早在疫情之前,就已经有很多类型的企业开始关注零信任。
据今年5月发布的《数字化时代零信任安全蓝皮报告显示》零信任能够满足企业一些通用场景的安全需要,包括远程办公、混合云、企业异地分支接入、第三方接入等。零信任还可以满足不同行业的特殊安全需求,如互联网行业、通信行业、物流行业、能源行业、地产行业等。
在物流行业,大量的终端设备和人员流动,需要对数以万计的员工根据职责权限进行更细致的授权和行为鉴别,并且对终端设备合规状况进行动态检测和评估,例如终端上有没有安装安全软件?是否存在高危漏洞?设备基线配置有没有符合安全要求等等。同样的情形,也适用于车企。
在互联网行业,腾讯作为国内最早实践零信任的企业,让员工不管身在何处都可以随时随地安全办公。疫情期间更是可以让7万员工同时在线办公,保障了公司业务有序发展。
今年5月,在上海举办的零信任发展趋势上,腾讯副总裁丁珂结合腾讯的自身实践谈道:“零信任跟一个企业的经营、规划、长期发展是强相关的,并且是一个不断优化的过程。零信任的价值核心是工具部署足够轻、运维的成本足够低,灵活适应性地提升企业经营发展效率。”
作为全新的安全思维方式,零信任在数字时代的发展过程中更具生命力,它可以为企业量身定制,也可以与过去的安全思维相融合,帮助企业寻找到更适合自身安全发展的最优解。
参考阅读: