作為近年來的網絡安全熱詞,零信任這一網絡安全的理念受到越來越多的關注,國內外圍繞零信任展開大量的研究和實踐。但是關于零信任理念與網絡安全技術,不少人還沒有充分的認知,如果簡單認為零信任是對昨天技術的繼承與延續,那是不正確的。零信任究竟是什么,零信任與網絡安全技術有什么關系,感興趣的請接著往下看:
零信任是什么?
零信任作為一種安全管理哲學,近年來漸漸有了一統江山之勢,作為在零信任領域頗有研究的專業人士,薔薇靈動創始人嚴雷用新的視角,給大家闡述零信任這一話題。
在薔薇靈動嚴雷看來,首先,零信任是一種方法論。零信任定義了一種安全管理的新的視角。零信任不是產品或者技術。客戶無法買到一個叫零信任的產品,只能買到可以實現零信任的某種要求的產品。
其次,零信任是一個過程,或者說零信任是一個方向。零信任不是一個靜態的標準或狀態。零信任的建設應該是一個持續的、逐漸深入,優化的過程, 零信任的建設也是一個在安全與業務之間平衡的過程。
最后,零信任是個廣泛適用的方法論。零信任可以應用于整個計算架構的各個方面,在每一個細分的環境,具體維度上都可以利用零信任的方式來做管理,而不是像谷歌那樣將之應用于辦公網,面向員工的身份進行管理。
圖一:零信任的應用場景
從圖中可以看到,零信任可以作用于人、零信任可以作用于設備、零信任可以作用于網絡、零信任也可以作用于工作負載等所有有數據流動的主體上。事實上,相較于辦公網而言,數據中心是更容易實現零信任的場景,也是有著更多核心業務和關鍵數據的地方,因此可以成為我們開展零信任建設的起點。
零信任提出之前,網絡安全技術的現狀與困局
目前公認的零信任技術包括SDP,微隔離和IAM。這三個技術分別發展了過去的VPN技術,防火墻技術和4A技術。但是,我們必須認識到一件事情,這些零信任技術并不是過去很多年里網絡安全技術發展的主流,事實上VPN,防火墻,4A都是傳統技術,而零信任技術從控制與識別能力自身來說也并沒有比這些傳統技術有什么變化,零信任更多是以軟件定義安全的形式,零信任把過去的數據平面和控制平面給分開了,從而達成更靈活更大規模的管理能力。在零信任之前,真正在安全技術創新領域里唱主角的是特征識別、攻防對抗、APT分析、態勢感知、大數據、AI、沙箱蜜罐等等這些有著更純正“安全”味道的東西。那么問題來了,零信任與這些技術之間究竟是個什么關系?一直以來,人們印象中的真正意義上的網絡安全技術都圍繞著兩件事展開,一件是修補自己的漏洞,一件是發現別人的攻擊。然我們總有挖不完的漏洞,同時攻擊者的反偵察能力也在同步進化,在這場貓鼠游戲中,防御者總是處于落后的一方,而且從理論上看不到勝出的可能。這種悲觀情緒一度籠罩著整個網絡安全產業界,這也就呼喚我們對整個網安防御思路做出根本性的變革。
零信任:不是一種攻防對抗技術
在這樣的背景下,零信任技術歷史性地成為了安全行業的新希望。零信任技術絕不是又一種攻防對抗技術,相反零信任不再熱衷于發現壞人是誰,零信任也不再把時間花在永無休止的挖漏洞上,零信任是直接否定了所有人,系統和業務流量。
零信任,簡單,粗暴,有效。攻擊者總是在想盡辦法的躲避防御者,他們本質上就是目標矛盾的雙方,他們掌握的技術就是為了與對方對抗而生的,他們不可能形成一個穩定的和諧關系。而防御者與業務訪問者卻是天生的同盟軍,他們完全可以緊密配合,充分協作。在零信任的體系里,取代攻防對抗技術的是身份識別技術與訪問控制技術,而在多因子識別技術的幫助下,在密碼技術的加持下,理論上,身份是可以唯一確認的,也就是說,只要建立起完整準確細致的身份管理與訪問授權體系,只要我們充分地理解我們自身業務的構成,我們在理論上就將擁有一個絕對安全的零信任網絡。雖然零信任網絡同樣是非常復雜艱巨的系統工程,但至少從理論上講,我們已經將主動權重新拿回到自己的手上,零信任狀態下,防御者不再被攻擊者前者鼻子走,他可以通過對業務系統最細粒度最精細的白名單訪問控制體系,做到我的地盤我做主,從而第一次在零信任狀態下,將網絡安全的主動權握在了自己手上。
所以,零信任技術是對瀕臨破產的攻防對抗路線的一次絕地反擊,零信任沒有繼承也沒有發展,零信任是一次顛覆,零信任是一次安全防御思路的徹底變革。
零信任安全市場的發展與規模
根據MarketsandMarkets的最新數據表明,全球零信任安全市場規模預計將從2020年的196億美元增長到2026年的516億美元,從2020年到2026年的復合年增長率(CAGR)為17.4%。
零信任本質上是一種以身份為基石,革新安全架構的新一代安全解決方案,零信任以業務安全訪問為保障,這種持續信任評估和動態訪問控制的機制讓企業安全架構更加安全,零信任提升了安全能力,零信任降低了運維成本,因此零信任成為重構安全防御體系的新趨勢。
作為中國網絡安全行業的技術創新領導廠商,薔薇靈動一直以來都是“零信任”理念和“微隔離”技術的倡導者和領軍者,始終以推動中國云安全技術發展為己任。
薔薇靈動CEO嚴雷曾表示,現在業界公認的實現零信任的落地技術有三個:微隔離(MSG)、SDP、IAM,而當今做零信任,都是分五步,微隔離是五步,SDP也是五步,每個公司都是五步,不是五步就不正宗了。
建立零信任網絡,數據中心內部安全建設是至關重要的一環,微隔離技術的作用就在于此。部署微隔離主要分為定義、分析、設計、防護和持續監控五個步驟。本質上就是一個對特定業務系統進行全面業務分析,并基于業務設計出一個適合本企業環境和要求的零信任網絡架構,并基于此實現全面的白名單訪問控制的過程。
圖二:零信任體系搭建之五步微隔離部署方法論
雖然現在零信任已經進入到快速發展期,但是在普及零信任的過程中仍然面臨著搭建體系成本較高,對舊版本安全體系的融合銜接,以及生態分散化等挑戰,因此,如何凝聚行業共識、發揮協同也是促進零信任發展的關鍵點。
在巨大的市場下,垂直行業場景下對不同零信任解決方案的需求,必將引領新一波安全架構革新,包括騰訊、薔薇靈動在內的業界廠商,將在2021年下半場帶來什么驚喜,我們且行且看。
備注(點擊可復制):
