零信任是什么�?
零信任作為一種安全管理哲學,近年來漸漸有了一統(tǒng)江山之勢,作為在零信任領域頗有研究的專業(yè)人士,薔薇靈動創(chuàng)始人嚴雷用新的視角,給大家闡述零信任這一話題�����。
在薔薇靈動嚴雷看來,首先,零信任是一種方法論���。零信任定義了一種安全管理的新的視角。零信任不是產(chǎn)品或者技術(shù)�����?����?蛻魺o法買到一個叫零信任的產(chǎn)品,只能買到可以實現(xiàn)零信任的某種要求的產(chǎn)品��。
其次,零信任是一個過程,或者說零信任是一個方向��。零信任不是一個靜態(tài)的標準或狀態(tài)�����。零信任的建設應該是一個持續(xù)的����、逐漸深入,優(yōu)化的過程, 零信任的建設也是一個在安全與業(yè)務之間平衡的過程����。
最后,零信任是個廣泛適用的方法論�。零信任可以應用于整個計算架構(gòu)的各個方面,在每一個細分的環(huán)境,具體維度上都可以利用零信任的方式來做管理,而不是像谷歌那樣將之應用于辦公網(wǎng),面向員工的身份進行管理。
圖一:零信任的應用場景
從圖中可以看到,零信任可以作用于人����、零信任可以作用于設備、零信任可以作用于網(wǎng)絡���、零信任也可以作用于工作負載等所有有數(shù)據(jù)流動的主體上���。事實上,相較于辦公網(wǎng)而言,數(shù)據(jù)中心是更容易實現(xiàn)零信任的場景,也是有著更多核心業(yè)務和關(guān)鍵數(shù)據(jù)的地方,因此可以成為我們開展零信任建設的起點。
零信任提出之前�,網(wǎng)絡安全技術(shù)的現(xiàn)狀與困局
目前公認的零信任技術(shù)包括SDP,微隔離和IAM�。這三個技術(shù)分別發(fā)展了過去的VPN技術(shù),防火墻技術(shù)和4A技術(shù)�����。但是,我們必須認識到一件事情���,這些零信任技術(shù)并不是過去很多年里網(wǎng)絡安全技術(shù)發(fā)展的主流�,事實上VPN����,防火墻�,4A都是傳統(tǒng)技術(shù),而零信任技術(shù)從控制與識別能力自身來說也并沒有比這些傳統(tǒng)技術(shù)有什么變化����,零信任更多是以軟件定義安全的形式,零信任把過去的數(shù)據(jù)平面和控制平面給分開了���,從而達成更靈活更大規(guī)模的管理能力�。在零信任之前���,真正在安全技術(shù)創(chuàng)新領域里唱主角的是特征識別�、攻防對抗���、APT分析���、態(tài)勢感知���、大數(shù)據(jù)、AI�、沙箱蜜罐等等這些有著更純正“安全”味道的東西。那么問題來了��,零信任與這些技術(shù)之間究竟是個什么關(guān)系����?一直以來,人們印象中的真正意義上的網(wǎng)絡安全技術(shù)都圍繞著兩件事展開�,一件是修補自己的漏洞,一件是發(fā)現(xiàn)別人的攻擊����。然我們總有挖不完的漏洞,同時攻擊者的反偵察能力也在同步進化�,在這場貓鼠游戲中,防御者總是處于落后的一方�����,而且從理論上看不到勝出的可能��。這種悲觀情緒一度籠罩著整個網(wǎng)絡安全產(chǎn)業(yè)界,這也就呼喚我們對整個網(wǎng)安防御思路做出根本性的變革���。
零信任:不是一種攻防對抗技術(shù)
在這樣的背景下���,零信任技術(shù)歷史性地成為了安全行業(yè)的新希望。零信任技術(shù)絕不是又一種攻防對抗技術(shù)�,相反零信任不再熱衷于發(fā)現(xiàn)壞人是誰,零信任也不再把時間花在永無休止的挖漏洞上����,零信任是直接否定了所有人����,系統(tǒng)和業(yè)務流量。
零信任����,簡單,粗暴���,有效��。攻擊者總是在想盡辦法的躲避防御者�����,他們本質(zhì)上就是目標矛盾的雙方���,他們掌握的技術(shù)就是為了與對方對抗而生的�,他們不可能形成一個穩(wěn)定的和諧關(guān)系��。而防御者與業(yè)務訪問者卻是天生的同盟軍��,他們完全可以緊密配合����,充分協(xié)作。在零信任的體系里��,取代攻防對抗技術(shù)的是身份識別技術(shù)與訪問控制技術(shù)�,而在多因子識別技術(shù)的幫助下,在密碼技術(shù)的加持下����,理論上,身份是可以唯一確認的����,也就是說�,只要建立起完整準確細致的身份管理與訪問授權(quán)體系��,只要我們充分地理解我們自身業(yè)務的構(gòu)成�,我們在理論上就將擁有一個絕對安全的零信任網(wǎng)絡。雖然零信任網(wǎng)絡同樣是非常復雜艱巨的系統(tǒng)工程��,但至少從理論上講���,我們已經(jīng)將主動權(quán)重新拿回到自己的手上��,零信任狀態(tài)下��,防御者不再被攻擊者前者鼻子走�����,他可以通過對業(yè)務系統(tǒng)最細粒度最精細的白名單訪問控制體系,做到我的地盤我做主���,從而第一次在零信任狀態(tài)下�����,將網(wǎng)絡安全的主動權(quán)握在了自己手上�����。
所以���,零信任技術(shù)是對瀕臨破產(chǎn)的攻防對抗路線的一次絕地反擊�,零信任沒有繼承也沒有發(fā)展����,零信任是一次顛覆,零信任是一次安全防御思路的徹底變革����。
零信任安全市場的發(fā)展與規(guī)模
根據(jù)MarketsandMarkets的最新數(shù)據(jù)表明,全球零信任安全市場規(guī)模預計將從2020年的196億美元增長到2026年的516億美元��,從2020年到2026年的復合年增長率(CAGR)為17.4%��。
零信任本質(zhì)上是一種以身份為基石��,革新安全架構(gòu)的新一代安全解決方案��,零信任以業(yè)務安全訪問為保障��,這種持續(xù)信任評估和動態(tài)訪問控制的機制讓企業(yè)安全架構(gòu)更加安全���,零信任提升了安全能力��,零信任降低了運維成本��,因此零信任成為重構(gòu)安全防御體系的新趨勢����。
作為中國網(wǎng)絡安全行業(yè)的技術(shù)創(chuàng)新領導廠商,薔薇靈動一直以來都是“零信任”理念和“微隔離”技術(shù)的倡導者和領軍者,始終以推動中國云安全技術(shù)發(fā)展為己任。
薔薇靈動CEO嚴雷曾表示��,現(xiàn)在業(yè)界公認的實現(xiàn)零信任的落地技術(shù)有三個:微隔離(MSG)�、SDP、IAM����,而當今做零信任,都是分五步���,微隔離是五步,SDP也是五步��,每個公司都是五步���,不是五步就不正宗了�。
建立零信任網(wǎng)絡,數(shù)據(jù)中心內(nèi)部安全建設是至關(guān)重要的一環(huán)����,微隔離技術(shù)的作用就在于此。部署微隔離主要分為定義�����、分析�����、設計����、防護和持續(xù)監(jiān)控五個步驟。本質(zhì)上就是一個對特定業(yè)務系統(tǒng)進行全面業(yè)務分析����,并基于業(yè)務設計出一個適合本企業(yè)環(huán)境和要求的零信任網(wǎng)絡架構(gòu),并基于此實現(xiàn)全面的白名單訪問控制的過程����。
圖二:零信任體系搭建之五步微隔離部署方法論
雖然現(xiàn)在零信任已經(jīng)進入到快速發(fā)展期,但是在普及零信任的過程中仍然面臨著搭建體系成本較高,對舊版本安全體系的融合銜接�����,以及生態(tài)分散化等挑戰(zhàn)�����,因此���,如何凝聚行業(yè)共識�、發(fā)揮協(xié)同也是促進零信任發(fā)展的關(guān)鍵點��。
在巨大的市場下���,垂直行業(yè)場景下對不同零信任解決方案的需求�,必將引領新一波安全架構(gòu)革新���,包括騰訊�、薔薇靈動在內(nèi)的業(yè)界廠商��,將在2021年下半場帶來什么驚喜��,我們且行且看����。
