零信任是什么?

零信任作為一種安全管理哲學,近年來漸漸有了一統(tǒng)江山之勢,作為在零信任領域頗有研究的專業(yè)人士,薔薇靈動創(chuàng)始人嚴雷用新的視角,給大家闡述零信任這一話題。

在薔薇靈動嚴雷看來,首先,零信任是一種方法論。零信任定義了一種安全管理的新的視角。零信任不是產(chǎn)品或者技術(shù)??蛻魺o法買到一個叫零信任的產(chǎn)品,只能買到可以實現(xiàn)零信任的某種要求的產(chǎn)品。

其次,零信任是一個過程,或者說零信任是一個方向。零信任不是一個靜態(tài)的標準或狀態(tài)。零信任的建設應該是一個持續(xù)的、逐漸深入,優(yōu)化的過程, 零信任的建設也是一個在安全與業(yè)務之間平衡的過程。

最后,零信任是個廣泛適用的方法論。零信任可以應用于整個計算架構(gòu)的各個方面,在每一個細分的環(huán)境,具體維度上都可以利用零信任的方式來做管理,而不是像谷歌那樣將之應用于辦公網(wǎng),面向員工的身份進行管理。

圖一:零信任的應用場景

從圖中可以看到,零信任可以作用于人、零信任可以作用于設備、零信任可以作用于網(wǎng)絡、零信任也可以作用于工作負載等所有有數(shù)據(jù)流動的主體上。事實上,相較于辦公網(wǎng)而言,數(shù)據(jù)中心是更容易實現(xiàn)零信任的場景,也是有著更多核心業(yè)務和關(guān)鍵數(shù)據(jù)的地方,因此可以成為我們開展零信任建設的起點。

零信任提出之前,網(wǎng)絡安全術(shù)的現(xiàn)狀與困局

目前公認的零信任技術(shù)包括SDP,微隔離和IAM。這三個技術(shù)分別發(fā)展了過去的VPN技術(shù),防火墻技術(shù)和4A技術(shù)。但是,我們必須認識到一件事情,這些零信任技術(shù)并不是過去很多年里網(wǎng)絡安全技術(shù)發(fā)展的主流,事實上VPN,防火墻,4A都是傳統(tǒng)技術(shù),而零信任技術(shù)從控制與識別能力自身來說也并沒有比這些傳統(tǒng)技術(shù)有什么變化,零信任更多是以軟件定義安全的形式,零信任把過去的數(shù)據(jù)平面和控制平面給分開了,從而達成更靈活更大規(guī)模的管理能力。在零信任之前,真正在安全技術(shù)創(chuàng)新領域里唱主角的是特征識別、攻防對抗、APT分析、態(tài)勢感知、大數(shù)據(jù)、AI、沙箱蜜罐等等這些有著更純正“安全”味道的東西。那么問題來了,零信任與這些技術(shù)之間究竟是個什么關(guān)系?一直以來,人們印象中的真正意義上的網(wǎng)絡安全技術(shù)都圍繞著兩件事展開,一件是修補自己的漏洞,一件是發(fā)現(xiàn)別人的攻擊。然我們總有挖不完的漏洞,同時攻擊者的反偵察能力也在同步進化,在這場貓鼠游戲中,防御者總是處于落后的一方,而且從理論上看不到勝出的可能。這種悲觀情緒一度籠罩著整個網(wǎng)絡安全產(chǎn)業(yè)界,這也就呼喚我們對整個網(wǎng)安防御思路做出根本性的變革。

零信任:不是一種攻防對抗技術(shù)

在這樣的背景下,零信任技術(shù)歷史性地成為了安全行業(yè)的新希望。零信任技術(shù)絕不是又一種攻防對抗技術(shù),相反零信任不再熱衷于發(fā)現(xiàn)壞人是誰,零信任也不再把時間花在永無休止的挖漏洞上,零信任是直接否定了所有人,系統(tǒng)和業(yè)務流量。

零信任,簡單,粗暴,有效。攻擊者總是在想盡辦法的躲避防御者,他們本質(zhì)上就是目標矛盾的雙方,他們掌握的技術(shù)就是為了與對方對抗而生的,他們不可能形成一個穩(wěn)定的和諧關(guān)系。而防御者與業(yè)務訪問者卻是天生的同盟軍,他們完全可以緊密配合,充分協(xié)作。在零信任的體系里,取代攻防對抗技術(shù)的是身份識別技術(shù)與訪問控制技術(shù),而在多因子識別技術(shù)的幫助下,在密碼技術(shù)的加持下,理論上,身份是可以唯一確認的,也就是說,只要建立起完整準確細致的身份管理與訪問授權(quán)體系,只要我們充分地理解我們自身業(yè)務的構(gòu)成,我們在理論上就將擁有一個絕對安全的零信任網(wǎng)絡。雖然零信任網(wǎng)絡同樣是非常復雜艱巨的系統(tǒng)工程,但至少從理論上講,我們已經(jīng)將主動權(quán)重新拿回到自己的手上,零信任狀態(tài)下,防御者不再被攻擊者前者鼻子走,他可以通過對業(yè)務系統(tǒng)最細粒度最精細的白名單訪問控制體系,做到我的地盤我做主,從而第一次在零信任狀態(tài)下,將網(wǎng)絡安全的主動權(quán)握在了自己手上。

所以,零信任技術(shù)是對瀕臨破產(chǎn)的攻防對抗路線的一次絕地反擊,零信任沒有繼承也沒有發(fā)展,零信任是一次顛覆,零信任是一次安全防御思路的徹底變革。

零信任安全市場的發(fā)展與規(guī)模

根據(jù)MarketsandMarkets的最新數(shù)據(jù)表明,全球零信任安全市場規(guī)模預計將從2020年的196億美元增長到2026年的516億美元,從2020年到2026年的復合年增長率(CAGR)為17.4%。

零信任本質(zhì)上是一種以身份為基石,革新安全架構(gòu)的新一代安全解決方案,零信任以業(yè)務安全訪問為保障,這種持續(xù)信任評估和動態(tài)訪問控制的機制讓企業(yè)安全架構(gòu)更加安全,零信任提升了安全能力,零信任降低了運維成本,因此零信任成為重構(gòu)安全防御體系的新趨勢。

作為中國網(wǎng)絡安全行業(yè)的技術(shù)創(chuàng)新領導廠商,薔薇靈動一直以來都是“零信任”理念和“微隔離”技術(shù)的倡導者和領軍者,始終以推動中國云安全技術(shù)發(fā)展為己任。

薔薇靈動CEO嚴雷曾表示,現(xiàn)在業(yè)界公認的實現(xiàn)零信任的落地技術(shù)有三個:微隔離(MSG)、SDP、IAM,而當今做零信任,都是分五步,微隔離是五步,SDP也是五步,每個公司都是五步,不是五步就不正宗了。

建立零信任網(wǎng)絡,數(shù)據(jù)中心內(nèi)部安全建設是至關(guān)重要的一環(huán),微隔離技術(shù)的作用就在于此。部署微隔離主要分為定義、分析、設計、防護和持續(xù)監(jiān)控五個步驟。本質(zhì)上就是一個對特定業(yè)務系統(tǒng)進行全面業(yè)務分析,并基于業(yè)務設計出一個適合本企業(yè)環(huán)境和要求的零信任網(wǎng)絡架構(gòu),并基于此實現(xiàn)全面的白名單訪問控制的過程。

圖二:零信任體系搭建五步微隔離部署方法論

雖然現(xiàn)在零信任已經(jīng)進入到快速發(fā)展期,但是在普及零信任的過程中仍然面臨著搭建體系成本較高,對舊版本安全體系的融合銜接,以及生態(tài)分散化等挑戰(zhàn),因此,如何凝聚行業(yè)共識、發(fā)揮協(xié)同也是促進零信任發(fā)展的關(guān)鍵點。

在巨大的市場下,垂直行業(yè)場景下對不同零信任解決方案的需求,必將引領新一波安全架構(gòu)革新,包括騰訊、薔薇靈動在內(nèi)的業(yè)界廠商,將在2021年下半場帶來什么驚喜,我們且行且看。

分享到

xiesc

相關(guān)推薦