数据资产是企业核心资产,数据资产管理能力已成为企业核心竞争力,国家层面也早已对此重拳规范。2021年6月10日,《数据安全法》正式表决通过,掀起整个行业对数据安全的聚焦,也凸显国家层面对保护数据安全的坚定意志。
随着虚拟化技术的飞速发展和应用,攻击手段变得越来越复杂,传统仅基于边界的防御模式已无法应对现代安全风险,零信任理念顺应而生,逐渐成为企业网络安全建设中关注的焦点。
虽然零信任这一网络安全理念受到越来越多关注,国内外围绕零信任展开大量研究和实践,但是关于零信任理念与网络安全技术,不少人还没有充分的认知,如果简单认为零信任是对昨天技术的继承与延续,那是不正确的。零信任究竟是什么,零信任与网络安全技术有什么关系,感兴趣的请接着往下看:
零信任是什么?
零信任作为一种安全管理哲学,近年来渐渐有了一统江山之势,作为在零信任领域颇有研究的专业人士,蔷薇灵动创始人严雷用新的视角,给大家阐述零信任这一话题。
在蔷薇灵动严雷看来,首先,零信任是一种方法论。零信任定义了一种安全管理的新的视角。零信任不是产品或者技术。客户无法买到一个叫零信任的产品,只能买到可以实现零信任的某种要求的产品。
其次,零信任是一个过程,或者说零信任是一个方向。零信任不是一个静态的标准或状态。零信任的建设应该是一个持续的、逐渐深入,优化的过程, 零信任的建设也是一个在安全与业务之间平衡的过程。
最后,零信任是个广泛适用的方法论。零信任可以应用于整个计算架构的各个方面,在每一个细分的环境,具体维度上都可以利用零信任的方式来做管理,而不是像谷歌那样将之应用于办公网,面向员工的身份进行管理。
零信任的应用场景
从图中可以看到,零信任可以作用于人、零信任可以作用于设备、零信任可以作用于网络、零信任也可以作用于工作负载等所有有数据流动的主体上。事实上,相较于办公网而言,数据中心是更容易实现零信任的场景,也是有着更多核心业务和关键数据的地方,因此可以成为我们开展零信任建设的起点。
零信任提出之前,网络安全技术的现状与困局
目前公认的零信任技术包括SDP,微隔离和IAM。这三个技术分别发展了过去的VPN技术,防火墙技术和4A技术。但是,我们必须认识到一件事情,这些零信任技术并不是过去很多年里网络安全技术发展的主流,事实上VPN,防火墙,4A都是传统技术,而零信任技术从控制与识别能力自身来说也并没有比这些传统技术有什么变化,零信任更多是以软件定义安全的形式,零信任把过去的数据平面和控制平面给分开了,从而达成更灵活更大规模的管理能力。在零信任之前,真正在安全技术创新领域里唱主角的是特征识别、攻防对抗、APT分析、态势感知、大数据、AI、沙箱蜜罐等等这些有着更纯正“安全”味道的东西。那么问题来了,零信任与这些技术之间究竟是个什么关系?一直以来,人们印象中的真正意义上的网络安全技术都围绕着两件事展开,一件是修补自己的漏洞,一件是发现别人的攻击。然我们总有挖不完的漏洞,同时攻击者的反侦察能力也在同步进化,在这场猫鼠游戏中,防御者总是处于落后的一方,而且从理论上看不到胜出的可能。这种悲观情绪一度笼罩着整个网络安全产业界,这也就呼唤我们对整个网安防御思路做出根本性的变革。
零信任:不是一种攻防对抗技术
在这样的背景下,零信任技术历史性地成为了安全行业的新希望。零信任技术绝不是又一种攻防对抗技术,相反零信任不再热衷于发现坏人是谁,零信任也不再把时间花在永无休止的挖漏洞上,零信任是直接否定了所有人,系统和业务流量。
零信任,简单,粗暴,有效。攻击者总是在想尽办法的躲避防御者,他们本质上就是目标矛盾的双方,他们掌握的技术就是为了与对方对抗而生的,他们不可能形成一个稳定的和谐关系。而防御者与业务访问者却是天生的同盟军,他们完全可以紧密配合,充分协作。在零信任的体系里,取代攻防对抗技术的是身份识别技术与访问控制技术,而在多因子识别技术的帮助下,在密码技术的加持下,理论上,身份是可以唯一确认的,也就是说,只要建立起完整准确细致的身份管理与访问授权体系,只要我们充分地理解我们自身业务的构成,我们在理论上就将拥有一个绝对安全的零信任网络。虽然零信任网络同样是非常复杂艰巨的系统工程,但至少从理论上讲,我们已经将主动权重新拿回到自己的手上,零信任状态下,防御者不再被攻击者前者鼻子走,他可以通过对业务系统最细粒度最精细的白名单访问控制体系,做到我的地盘我做主,从而第一次在零信任状态下,将网络安全的主动权握在了自己手上。
所以,零信任技术是对濒临破产的攻防对抗路线的一次绝地反击,零信任没有继承也没有发展,零信任是一次颠覆,零信任是一次安全防御思路的彻底变革。
零信任安全市场的发展与规模
根据MarketsandMarkets的最新数据表明,全球零信任安全市场规模预计将从2020年的196亿美元增长到2026年的516亿美元,从2020年到2026年的复合年增长率(CAGR)为17.4%。
零信任本质上是一种以身份为基石,革新安全架构的新一代安全解决方案,零信任以业务安全访问为保障,这种持续信任评估和动态访问控制的机制让企业安全架构更加安全,零信任提升了安全能力,零信任降低了运维成本,因此零信任成为重构安全防御体系的新趋势。
作为中国网络安全行业的技术创新领导厂商,蔷薇灵动一直以来都是“零信任”理念和“微隔离”技术的倡导者和领军者,始终以推动中国云安全技术发展为己任。
蔷薇灵动CEO严雷曾表示,现在业界公认的实现零信任的落地技术有三个:微隔离(MSG)、SDP、IAM,而当今做零信任,都是分五步,微隔离是五步,SDP也是五步,每个公司都是五步,不是五步就不正宗了。
建立零信任网络,数据中心内部安全建设是至关重要的一环,微隔离技术的作用就在于此。部署微隔离主要分为定义、分析、设计、防护和持续监控五个步骤。本质上就是一个对特定业务系统进行全面业务分析,并基于业务设计出一个适合本企业环境和要求的零信任网络架构,并基于此实现全面的白名单访问控制的过程。
零信任体系搭建之五步微隔离部署方法论
虽然现在零信任已经进入到快速发展期,但是在普及零信任的过程中仍然面临着搭建体系成本较高,对旧版本安全体系的融合衔接,以及生态分散化等挑战,因此,如何凝聚行业共识、发挥协同也是促进零信任发展的关键点。
在巨大的市场下,垂直行业场景下对不同零信任解决方案的需求,必将引领新一波安全架构革新。当下,网络安全行业中,钻研“零信任”安全产品的厂商已有很多,包括腾讯、蔷薇灵动等在内的业界厂商,他们参与并发布零信任相关的技术规范、白皮书等,为企业数字化发展提供安全指引,推动国内零信任产业生态健康发展。