被吹爆的 「零信任」安全,企業如何落地?

語言: CN / TW / HK

近年來,隨著遠端辦公、業務協同、分支互聯等業務需求快速發展,企業原有的網路邊界逐漸泛化,導致基於邊界的傳統安全架構不再可靠,零信任市場迎來了風口。

“零信任”作為近年來網路安全領域又一爆火的概念,既不是產品也不是一種技術,而是一種“持續驗證,永不信任”的安全理念。卻吸引了騰訊、阿里、華為等大廠,深信服、奇安信、綠盟科技等安全廠商紛紛佈局。

零信任的三大核心技術是軟體定義邊界(SDP)、身份許可權管理(IAM)、微隔離(MSG),對於在網路安全領域早有積累的廠商來說技術並非難事,落地問題才是關鍵。國內市場落地場景難找準、現有安全體系改造難、持續管理難、實施效果和價值評估難、使用者使用習慣改變難等瓶頸,是零信任廠商需要突破的問題。

今年5月,騰訊iOA零信任解決方案已經突破了100萬終端的部署,是國內首個突破百萬終端的零信任產品。那麼騰訊為什麼能抓住如此多的使用者?雷峰網與 騰訊零信任產品總經理楊育斌和高燈科技副總裁兼安全負責人莫曉盛 展開了深入交流。

瞄準需求

“零信任”這一理念最早是在美國提出的,2011年穀歌內部開始實施零信任,整整花了6年時間才在企業網實現了零信任落地。

由於國內外不同的市場環境,“零信任”在美國發展迅速,根據Cybersecurity Insider的調查,15%的受訪IT團隊已經實施零信任SaaS,44%表示準備部署。但是在國內,這一概念接受程度並不高,交付模式也是以解決方案為主。因此落地還需要結合國內的特殊環境和場景。

就中美在零信任架構體系應用之間的差異性,楊育斌認為,目前就技術底層邏輯以及技術應用點來講,已經沒有太大的差距;唯一的區別是使用場景,區別於美國的雲服務模式,中國的實際應用情況可能更復雜,因為傳統行業的服務、業務資源,都是放在企業自身的網路裡面,所以需要打破網路邊界做一些應用安全的保障。在落地過程中也需要去做很多的思考和變通。但是從某種程度上講,我們的技術應用要走在美國的前面,比如,身份認證在中國反而更接地氣。

楊育斌表示:“ 零信任區別於傳統的預設訪問黑白名單,零信任就是永不信任。簡單來說就是,持續驗證,最小化授權,解決從訪問人的身份、終端、連線的全鏈路的安全。”

近兩年由於疫情的助推,以及企業的資訊化程度、移動化程度不斷提高,隨時隨地處理企業內部業務系統變得越來越普遍。人員身份校驗和裝置安全可信等需求也變得更加迫切。

楊育斌從三個方面總結了使用者對於“零信任”的需求:

首先,傳統的安全架構是層層設防,不斷的堆裝置,只適合聚集類的固定場所的辦公場景。而零信任解決方案對所有訪問採取“從不信任,持續驗證”,適應了當下遠端辦公和混合辦公的需求。

其次,隨著企業業務邊界的拓展,許多客戶的業務已經往雲上遷移,在多雲的環境下,對於業務的協作、運維以及安全的管理的訴求,使得零信任可以更好的應用。

最後,在當前各種物聯網場景,進行通訊交換加解密時,零信任可以更好的契合該場景。

據介紹,目前網際網路企業業務系統不復雜,能夠更加快速的應用起來,接受程度更高,更容易改造落地;而醫療行業、運營商以及大學等也在近兩年落地非常迅速。除此之外,還有一些頭部的央國企、金融機構還有政府目前也慢慢應用“零信任”替代傳統的解決方案。

騰訊為疫情期間遠端辦公的企業,提供基於雲的零信任接入訪問,在部署週期上可以達到小時級、天級就可以完成接入部署,實現遠端辦公應用。

楊育斌告訴雷峰網 (公眾號:雷峰網) ,“零信任在落地過程中,要根據不同行業的情況和應用場景,去做相應的調整,複雜度不同相應部署時間也會不同。”比如政府、金融企業或者大型企業有資料合規審計、資料合規安全策略的要求,整個解決方案就需要從頭到尾進行全面的設計和分期建設,落地過程會持續幾個月甚至一年。

隨著基於零信任的需求場景不斷擴大,未來零信任將會有更多的場景進行實踐,零信任落地難也將成為過去式。

零信任落地的關鍵

在企業安全建設的過程中,大多數企業不會選擇單一廠商解決整個辦公網的安全問題,同時大多數客戶當前網路中已經購買並部署了多家廠商的安全產品,那麼在建設零信任平臺如何節約建設成本,以及多廠商產品之間如何整合對接是當前和未來的關鍵挑戰。

高燈科技是騰訊iOA零信任解決方案第一百萬終端客戶,成立於2017年,是一家以發票數字化為基礎,為企業和監管提供財稅合規及交易合規管理平臺的財稅科技公司。

談及決定部署iOA零信任解決方案的原因,莫曉盛表示:“一個是外因,疫情影響遠端辦公需求猛增;另一個是內需,經過五年的發展,高燈科技已經從最初的幾十人擴張到了目前將近千人的規模,面對多個分公司和辦公地點的安全管理問題,傳統的“基於邊界的安全模型”就力不從心了。而零信任,可以在一個動態變化的環境中進行合理的訪問控制,最終提升整體的安全性,降低風險,簡化整體的運營操作,增加業務的敏捷性。”

過去企業的安全問題通常不會被放在首位,現在不管是基於合規的需求還是自身發展的需求,安全成為必不可少的一項。因此如何平衡業務發展和安全建設成本的問題成為每個企業必須思考的問題。

對此,莫曉盛認為:“我們其實不是為了安全去做安全,安全是業務的一個屬性,伴隨著業務一起成長,公司業務營收的持續性必須要通過安全來作為保障的。因此公司也願意在IT的安全上增加整體的投入和成本。”雖然現在建設零信任iOA付出一定成本,但同時能夠釋放出原先冗餘的IT安全工程師的資源,也就是通過自動化代替了人工的方式,更重要的是達到了比傳統方案更佳的安全效果。從長遠來看,其實這部分成本是縮減的。

據瞭解,騰訊iOA是一個集一整套防病毒、管控、VPN接入、DLP(資料防洩漏)等多套系統綜合性的一個平臺。表面上看起來是以一個終端的形態存在,但實際上後臺非常豐富而且飽滿,相比傳統的VPN部署方式為企業帶來更高的能效比,高燈科技的資訊保安專家王凱說。

零信任落地的另一個關鍵問題是,解決多廠商產品異構問題,因此還需要國家、廠商、客戶一起推動建立標準規範。目前,騰訊零信任標準工作組制定的介面標準,已實現了同18個行業安全廠商的對接,介面標準化促進了企業安全辦公體系的融合,也進一步優化了辦公體驗。

2021年7月騰訊牽頭起草中國第一部《零信任系統技術規範》,填補了國內零信任領域的技術標準空白,同時也入選了中國電子工業標準化技術協會團體標準。2021年11月牽頭的全球首個零信任國際標準——《服務訪問過程持續保護指南》,由ITU-T國際標準正式通過釋出,推動了全球零信任標準化應用。這個標準也是國內企業在國際的一級組織,國際電信組織拿到的一個關於零信任的標準,也是唯一的一個標準。

楊育斌稱:“未來更重要的是建立零信任標準,促進行業和生態的健康發展。推動標準化,推動行業共識,零信任才能真正實現百花齊放。”

雷峰網原創文章,未經授權禁止轉載。詳情見 轉載須知

「其他文章」