8月27日,零信任實踐落地迎來新突破,國內首個《零信任接口應用白皮書(2021)》正式發布。薔薇靈動受邀出席“零信任協同發展研討會暨接口白皮書發布&標準宣貫會”,與此同時,薔薇靈動參與編制的《零信任接口應用白皮書》也現場進行了發布及宣貫。
(《零信任接口應用白皮書(2021)》編制單位)
任重道遠,零信任廣泛落地仍需面對現實困難
隨著云化技術發展,傳統以邊界防御為核心的安全模型已無法應對現代網絡安全風險,圍繞“Never trust,always verify”為基本原則的零信任理念給安全建設提供了新的理論支撐,被業界廣泛追捧和認可。
然而,當前零信任在實際落地中仍面臨諸多困難,薔薇靈動產品總監熊瑛表示,作為專注于數據中心零信任的解決方案提供商,薔薇靈動在其實踐落地中發現兩個突出問題。首先,零信任作為新安全理念,大家對其理解并不統一,業內廠商各說各話,廠商與客戶間常在不統一的話語體系中溝通,更有甚者經常會搞混零信任的應用場景。第二,零信任本質是面向業務進行全要素納管和細粒度的訪問控制,就數據中心落地零信任而言,工作負載數量規模普遍較大,但是由于用戶端IT管理水平參差不齊,在工作負載的管理能力上普遍薄弱,這就造成前期可能需要花費大量時間去做資產的業務角色梳理,而用戶如果對于前期工作量的投入持有疑慮,將對項目推進產生很大阻力。
除此之外,與會專家也紛紛表示,很多企業目前都有比較健全的網絡架構,且各企業網絡架構情況各不相同,如何在現有安全建構基礎上進行零信任安全能力的集成,不同廠商的安全產品與服務如何對接,遇到與現有業務運作流程沖突應如何取舍等,都是目前零信任落地中的疑難問題。而針對不同用戶的問題和需求,在缺乏統一標準、接口的當下,均需要提供專門的定制化解決方案,復制難度較大,零信任落地推廣之路仍面臨諸多現實問題。
標準先行,統一標準是新技術推廣的有力抓手
今年6月,中電標協發布了《零信任系統技術規范》團體標準。該標準由零信任標準工作組編寫,明確了零信任理念、基本假設、基本原則及運用場景,重點針對用戶訪問資源、服務之間調用兩大零信任運用場景提出了系統邏輯架構、認證、訪問授權管理、傳輸安全、安全審計、自身安全等方面的功能、性能技術要求和相應的測試方法。作為國內首個零信任相關團體標準,《零信任系統技術規范》在建立統一標準化定義基礎上,有助于行業各方進一步洞察技術框架全貌,厘清各功能邊界,在產業發展和技術運用上具有很強的指導作用。
本次會議上發布的《零信任接口應用白皮書(2021)》,全面涵蓋了零信任系統服務接口需求、層次劃分、接口標準描述和接口應用場景等內容,重點就身份安全、威脅情報、配置管理、密碼服務、訪問控制、安全聯動6類接口進行了詳細描述。本白皮書是《零信任系統技術規范》標準基礎上的進一步研究深化,通過解決零信任系統的模塊架構和模塊之間互聯互通難題,將為零信任框架的進一步落地提供技術實踐指導。
(零信任結構全景圖)
以零信任與配置管理系統的對接為例,薔薇靈動在為國內某大型互聯網金融企業構建數據中心零信任項目中,其自適應微隔離安全平臺通過與客戶現有的CMDB系統對接,并基于統一的資產信息進行業務角色標定,在較短的時間內便完成了兩地三中心數萬點工作負載的微隔離部署工作,實現了安全控制與業務流程的高效融合。未來,如果微隔離系統與CMDB能夠形成統一接口標準,則將極大有助于降低微隔離系統的實施成本,從而促進數據中心零信任方案快速落地推廣。
(工作負載數據同步接口)
打破藩籬,開放生態是零信任高速發展的未來
隨著零信任安全相關標準的推出,其框架已經得到了行業內越來越強的共識。從狹義零信任而言,被視為零信任三駕馬車的身份和訪問管理(IAM)、軟件定義邊界(SDP)、微隔離(Micro Segmentation)僅僅算是其核心的結構性要求。換言之,上述三項技術和方案的部署是開展零信任的基礎。
從更廣義的零信任而言,我們關注到國內外目前發布的所有零信任指導架構中都描述了更大的體系。例如,前不久發布的《零信任系統技術規范》中體現了零信任需與多類第三方支撐系統協同,以集成更為廣泛的安全能力。美國國防部在《零信任參考架構》中提出“零信任能力7支柱”模型,認為零信任的安全能力需要覆蓋用戶、設備、網絡/環境、應用、數據、可視化分析、自動化編排等方方面面,粗略統計即有30余類技術和對應產品可融入該框架。
(美國國防部《零信任參考架構》中“零信任能力7支柱”模型)
就實際情況而言,沒有任何廠家的產品可以對30余類產品進行全面覆蓋,而基于用戶端不同網絡架構及安全建設程度,所需產品及能力也各不相同,所以健康可持續發展的零信任建設需集各家之所長,在開放協作中發展。各廠商既要找準市場定位,發揮技術專長,不提斷升產品性能及服務水平,也要加強生態協作和互聯互通。全行業只有合力對標準及接口應用不斷進行完善,構建健全的生態鏈,才能快速提升整個行業的交付質量,擴大零信任市場范圍,促進產業良性循環及健康發展。
作為國內數據中心零信任建設的先行者和長期實踐者,薔薇靈動積極參與了《零信任系統技術規范》及《零信任接口應用白皮書(2021)》的編制工作。目前,行業標準化、接口開放化仍處在早期階段,伴隨開放生態下的協作及更多項目的成功落地,高度協同的解決方案也將得到持續完善,薔薇靈動將為此持續貢獻力量。
