零信任是什么?
零信任作為一種安全管理哲學,近年來漸漸有了一統(tǒng)江山之勢,作為在零信任領域頗有研究的專業(yè)人士,薔薇靈動創(chuàng)始人嚴雷用新的視角,給大家闡述零信任這一話題��。
在薔薇靈動嚴雷看來,首先,零信任是一種方法論���。零信任定義了一種安全管理的新的視角。零信任不是產品或者技術���?���?蛻魺o法買到一個叫零信任的產品,只能買到可以實現零信任的某種要求的產品�����。
其次,零信任是一個過程,或者說零信任是一個方向���。零信任不是一個靜態(tài)的標準或狀態(tài)�。零信任的建設應該是一個持續(xù)的�、逐漸深入,優(yōu)化的過程, 零信任的建設也是一個在安全與業(yè)務之間平衡的過程。
最后,零信任是個廣泛適用的方法論��。零信任可以應用于整個計算架構的各個方面,在每一個細分的環(huán)境,具體維度上都可以利用零信任的方式來做管理,而不是像谷歌那樣將之應用于辦公網,面向員工的身份進行管理���。
圖一:零信任的應用場景
從圖中可以看到,零信任可以作用于人��、零信任可以作用于設備�����、零信任可以作用于網絡����、零信任也可以作用于工作負載等所有有數據流動的主體上。事實上,相較于辦公網而言,數據中心是更容易實現零信任的場景,也是有著更多核心業(yè)務和關鍵數據的地方,因此可以成為我們開展零信任建設的起點�。
零信任提出之前,網絡安全技術的現狀與困局
目前公認的零信任技術包括SDP�,微隔離和IAM。這三個技術分別發(fā)展了過去的VPN技術��,防火墻技術和4A技術��。但是���,我們必須認識到一件事情�����,這些零信任技術并不是過去很多年里網絡安全技術發(fā)展的主流�,事實上VPN,防火墻��,4A都是傳統(tǒng)技術��,而零信任技術從控制與識別能力自身來說也并沒有比這些傳統(tǒng)技術有什么變化��,零信任更多是以軟件定義安全的形式�,零信任把過去的數據平面和控制平面給分開了,從而達成更靈活更大規(guī)模的管理能力�。在零信任之前�����,真正在安全技術創(chuàng)新領域里唱主角的是特征識別���、攻防對抗�、APT分析���、態(tài)勢感知�、大數據�����、AI、沙箱蜜罐等等這些有著更純正“安全”味道的東西��。那么問題來了��,零信任與這些技術之間究竟是個什么關系���?一直以來�,人們印象中的真正意義上的網絡安全技術都圍繞著兩件事展開��,一件是修補自己的漏洞�����,一件是發(fā)現別人的攻擊����。然我們總有挖不完的漏洞,同時攻擊者的反偵察能力也在同步進化����,在這場貓鼠游戲中,防御者總是處于落后的一方���,而且從理論上看不到勝出的可能�����。這種悲觀情緒一度籠罩著整個網絡安全產業(yè)界�,這也就呼喚我們對整個網安防御思路做出根本性的變革。
零信任:不是一種攻防對抗技術
在這樣的背景下�����,零信任技術歷史性地成為了安全行業(yè)的新希望�����。零信任技術絕不是又一種攻防對抗技術�,相反零信任不再熱衷于發(fā)現壞人是誰�����,零信任也不再把時間花在永無休止的挖漏洞上���,零信任是直接否定了所有人�����,系統(tǒng)和業(yè)務流量����。
零信任,簡單�,粗暴,有效����。攻擊者總是在想盡辦法的躲避防御者,他們本質上就是目標矛盾的雙方�,他們掌握的技術就是為了與對方對抗而生的,他們不可能形成一個穩(wěn)定的和諧關系���。而防御者與業(yè)務訪問者卻是天生的同盟軍����,他們完全可以緊密配合�����,充分協(xié)作�。在零信任的體系里,取代攻防對抗技術的是身份識別技術與訪問控制技術����,而在多因子識別技術的幫助下��,在密碼技術的加持下���,理論上,身份是可以唯一確認的��,也就是說�����,只要建立起完整準確細致的身份管理與訪問授權體系�����,只要我們充分地理解我們自身業(yè)務的構成����,我們在理論上就將擁有一個絕對安全的零信任網絡�。雖然零信任網絡同樣是非常復雜艱巨的系統(tǒng)工程,但至少從理論上講���,我們已經將主動權重新拿回到自己的手上�����,零信任狀態(tài)下�,防御者不再被攻擊者前者鼻子走,他可以通過對業(yè)務系統(tǒng)最細粒度最精細的白名單訪問控制體系�����,做到我的地盤我做主���,從而第一次在零信任狀態(tài)下����,將網絡安全的主動權握在了自己手上�。
所以,零信任技術是對瀕臨破產的攻防對抗路線的一次絕地反擊�����,零信任沒有繼承也沒有發(fā)展�,零信任是一次顛覆,零信任是一次安全防御思路的徹底變革����。
零信任安全市場的發(fā)展與規(guī)模
根據MarketsandMarkets的最新數據表明�,全球零信任安全市場規(guī)模預計將從2020年的196億美元增長到2026年的516億美元����,從2020年到2026年的復合年增長率(CAGR)為17.4%。
零信任本質上是一種以身份為基石�����,革新安全架構的新一代安全解決方案�,零信任以業(yè)務安全訪問為保障,這種持續(xù)信任評估和動態(tài)訪問控制的機制讓企業(yè)安全架構更加安全����,零信任提升了安全能力,零信任降低了運維成本�,因此零信任成為重構安全防御體系的新趨勢。
作為中國網絡安全行業(yè)的技術創(chuàng)新領導廠商,薔薇靈動一直以來都是“零信任”理念和“微隔離”技術的倡導者和領軍者,始終以推動中國云安全技術發(fā)展為己任�����。
薔薇靈動CEO嚴雷曾表示��,現在業(yè)界公認的實現零信任的落地技術有三個:微隔離(MSG)���、SDP���、IAM,而當今做零信任���,都是分五步���,微隔離是五步,SDP也是五步��,每個公司都是五步�����,不是五步就不正宗了����。
建立零信任網絡,數據中心內部安全建設是至關重要的一環(huán)��,微隔離技術的作用就在于此�����。部署微隔離主要分為定義�����、分析、設計����、防護和持續(xù)監(jiān)控五個步驟。本質上就是一個對特定業(yè)務系統(tǒng)進行全面業(yè)務分析�����,并基于業(yè)務設計出一個適合本企業(yè)環(huán)境和要求的零信任網絡架構�����,并基于此實現全面的白名單訪問控制的過程����。
圖二:零信任體系搭建之五步微隔離部署方法論
雖然現在零信任已經進入到快速發(fā)展期,但是在普及零信任的過程中仍然面臨著搭建體系成本較高����,對舊版本安全體系的融合銜接,以及生態(tài)分散化等挑戰(zhàn)��,因此,如何凝聚行業(yè)共識��、發(fā)揮協(xié)同也是促進零信任發(fā)展的關鍵點����。
在巨大的市場下����,垂直行業(yè)場景下對不同零信任解決方案的需求,必將引領新一波安全架構革新��,包括騰訊����、薔薇靈動在內的業(yè)界廠商,將在2021年下半場帶來什么驚喜��,我們且行且看���。
