工业和信息化部主管 中国电子报社主办
收藏本站投稿

软件服务

零信任:网络安全下一轮爆发点

据报道,美国国防部正在加紧其网络安全工作,专门开设的零信任办公室可能于近期开放。拜登政府今年5 月份发布的加强联邦政府网络安全的行政令,要求每个机构的负责人在 60 天内制定实施零信任架构的计划。

近来,全球市场上,零信任的声音越来越大。在国外,谷歌、微软、思科等IT企业领衔布局零信任;在国内,不仅奇安信、深信服、网宿科技等安全公司相继围绕零信任展开了激烈的角逐,腾讯、华为等一众大厂也纷纷选择重磅加码,其火爆程度不言而喻。专家认为,零信任有望成为网络安全下一轮爆发点。

2021年零信任市场大额投融资事件(不完全统计)

1.1.jpg

零信任的核心价值:打破边界

Forrester分析师约翰·金德维格(John Kindervag)在2010年首次提出的零信任概念包含三个核心观点:一是不再以一个清晰的边界来划分信任或不信任的设备;二是不再有信任或不信任的网络;三是不再有信任或不信任的用户。“零信任”一经亮相,迅速吸引了诸多安全专家的关注,但彼时并未在市场端激起太大浪花。直到2017年Google基于零信任安全的BeyondCorp项目成功验证了零信任安全在大型网络场景下的可行性,业内才开始普遍跟进零信任实践。新冠疫情的爆发是个显著的转折点,随着网络安全形势日益严峻和新一代信息技术的普及,零信任的热度骤增。

传统网络安全架构理念是基于边界的安全架构,企业构建网络安全体系时,首先寻找安全边界,把网络划分为外网、内网、隔离区等不同的区域,然后在边界上部署防火墙、入侵检测等安全产品。这种网络安全架构假设或默认了内网比外网更安全,因此一旦攻击者潜入内网,或者攻击者本身被内网信任,那么安全边界就形同虚设。不同于这种以网络为中心的防护思路,零信任建立的是以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。它的核心目标就是解决边界问题带来的安全风险。

相较而言,零信任的优点在于其动态综合纵深安全防御能力,整个防护控制都基于身份,并对身份进行持续确认。在“网络可能或已经被攻陷、存在内部威胁”的环境下,把安全能力从边界,扩展到主体、行为、客体资源,安全解决以前传统边界无法应对的难题。奇安信副总工程师邬怡在接受《中国电子报》记者采访时指出:“零信任之所以爆火主要是因为整个信息化环境从之前的‘以网络为中心’变成现在的‘以数据为中心’,传统的边界防护模式已经逐渐‘失灵’。”

根据IDC研究,随着云计算、大数据、移动互联网、物联网、5G等技术广泛应用到企业信息化建设和业务发展中,远程办公、业务协同、分支互联等业务需求快速发展,企业的员工、设备、合作伙伴以及客户需要通过多种方式灵活接入企业业务系统,企业原有的网络边界逐渐泛化。这导致基于边界的传统安全架构不再可靠,零信任成为一个必选项。

腾讯企业 IT 安全架构师蔡东赟接受《中国电子报》记者采访时分析称:“从安全趋势上看,内网安全基于边界的安全已经不是那么牢不可破,数字化办公发展导致没有边界内网。核心的爆发点还是来自于疫情带来的物理隔断,大家远程办公,这是最基本的适用场景,人们已经不得不使用这种架构。”

同时,云计算业务天然需要零信任。云计算的快速发展和普及应用,包括应用云化,基础架构的异构化和混合化,业务的数字生态化以及接入网络及设备的多元化都因素推动了更多的企业开始通过部署零信任架构来建立能够适应云时代的全新安全体系。

Forrester 高级顾问谷丰指出,从最初的原型概念向主流网络安全技术架构演进,从最初的网络控制平面的微分段向涵盖云边端的访问控制与网络防护全场景演进,零信任如今已经成为新一代的安全架构标准。零信任的兴起不能简单看作某种技术、产品的扩展,而是对固有安全思路改变,这是它的核心价值点。

中国零信任市场尚未发育成熟

得益于云计算、大数据等技术的蓬勃发展,美国最早提出了零信任概念,且花费了大力气投入布局。从国家层面来看,美国国防部在零信任概念成型之前就已开始相关研究。2021年5月,美国政府发布的14028号行政命令《改善国家网络安全》,宣布要将联邦政府迁移到零信任架构。随后,《联邦零信任战略》《零信任成熟度模型》《云安全技术参考架构》相继出台,组成了联邦各级机构的网络安全架构路线。如今美国最大安全公司不是防火墙类传统公司,而是零信任SaaS公司。典型的零信任公司Okta市值达333.51亿美元,远超传统安全公司。

Okta发布的《2021零信任安全态势》白皮书指出,2021年有82%的欧洲企业增加了在零信任建设方面的预算。另一家网络安全厂商Gigamon的调研结果显示,超过三分之二(67%)的欧洲组织已采用或计划采用零信任框架以应对不断变化的威胁形势。

企业零信任架构部署情况

2.2.jpg

来源:Illumio调研报告

而在国外已经实现规模化应用的零信任,在中国落地时似乎有点“水土不服”。尽管工信部2019年发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》已将“零信任安全”列入需要“着力突破的网络安全关键技术”。但目前来看,零信任市场发育成熟度仍有不足。

“相较于欧美国家,国内在零信任方面仍处于起步阶段。” 谷丰分析称,从技术及解决方案来看,国内零信任产品本身在功能以及技术方面仍处于发展过程中,能够提供零信任全面解决方案的提供方较为缺乏;从企业接受度来看,更多的企业处于初始的引入阶段,只有少部分企业已经部署了零信任产品和技术并在进行优化和完善。

对于企业自身而言,零信任的实现并非易事。邬怡指出:“一方面,老旧设备改造比较麻烦。零信任不是传统的网络安全,它还深入到应用安全和数据安全层面,需要对设备进行改造和升级,工程量大。另一方面,零信任的实施成本相对较高。数据层面、应用层面都要做到防护,控制措施越多越细,投入也会越高,并且,零信任还要对任何试图建立访问的人或物进行持续验证,成本会继续上升。”

此外,在企业选择零信任产品或解决方案时,往往对零信任仍然存在一些顾虑,例如架构过于复杂,内部文化的冲突,会浪费原有的安全资产等。谷丰认为,缺乏掌握零信任的人才以及企业内部的推动者、缺乏提供覆盖端和云安全性的全面解决方案、缺乏成熟的方法论体系、缺乏可借鉴案例等问题都会导致零信任“落地难”。

“从概念走向落地,零信任主要面临平衡安全性,或者说可用性,与成本效益之间的挑战。技术不是目前最大的挑战,管理才是。” 邬怡认为,零信任的构建需要打破原有管理模式,不仅需要安全团队的加入,还需要协同业务团队等共同建立起良好的沟通机制;同时,零信任建设从本质上来讲是 “一把手”工程,需要将整体建设深入到业务中去,不能仅存在于安全部门,这将涉及非常多管理问题,需要长期构建才能真正落地。

“零信任相关技术仍需要持续的改进,各技术模块间的集成与协同仍需进一步完善,其在企业侧落地过程中不免仍将面对例如技术成熟度、产品和接口标准化,以及人员配合等方面的问题。” IDC中国研究副总监王军民指出,“向零信任网络的转型对于几乎所有企业的网络安全体系建设都是一次严峻的挑战。”

零信任架构建设不是”一键切换”

根据市场研究机构Markets and Markets 的报告,全球零信任安全市场规模预计将从2019年的156亿美元增长到 2024 年的386亿美元,从2019年到2024年的复合年增长率为19.9%。在此基础上,开源证券预测,中性估计 2024 年我国零信任安全市场规模将达 16.7 亿美元。零信任有望成为网络安全下一轮爆发点。


国内零信任市场规模预测

3.jpg

来源:开源证券研究所

要主动把握机遇,但不可盲目追逐浪潮。王军民表示:“零信任架构的建设不是‘一键切换’能够简单实现的,需要长期规划和建设,企业因为零信任建设而降低企业原有安全防护体系的投入是不明智的选择,特别是零信任架构建设前期,零信任理念还无法全面覆盖企业所有业务系统和数据。”

他建议,企业在进行了初期的试点应用后,应该充分利用技术提供商及其合作生态的整体方案能力,在零信任网络架构中更多的融入威胁情报、数据安全、网络威胁态势感知等能力,并增强威胁事件的可见性和自动化响应,以有效应对不断涌现的新兴威胁。对于自身网络安全技术能力和研发实力较强的企业,可以考虑在零信任架构未来建设中逐渐增强自研产品和技术的融入,将零信任架构建设成为具备更强自主研发能力的工程,更好的实现网络安全与业务发展的融合。

参照起步较早的国外市场,零信任商业化落地较为成熟,SECaaS(安全即服务)已成主流交付。国内也已经有很多企业将零信任理念付诸实践,大多零信任产品交付模式上仍以解决方案为主。蔡东赟认为:“未来,我国零信任交付模式也有望逐渐向 SECaaS 转变。”

目前全场景的零信任总体框架落地需求一般存在于大型、头部客户之中,例如大型央企、部委、大型银行等,邬怡建议,在统一的规划牵引下,以3-5年为一个周期进行整体的安全架构迁移,将零信任逐步落地到各个业务场景中去;当然,不少企业也选择从一些局部场景切入,例如在远程访问常态化背景下,零信任远程访问能力是不错的切入点。

责任编辑:宋婧


声明

1、本站遵循行业规范,任何转载的稿件都会明确标注作者和来源;2、本站的原创文章,请转载时务必注明文章作者和来源,不尊重原创的行为我们将追究责任;3、作者投稿可能会经我们编辑修改或补充;4、如本站的文章或图片存在版权,请拨打电话010-88558835进行联系,我们将第一时间处理。

相关链接

视频

专题

2021年上半年中国家电市场报告

8月9日,中国电子信息产业发展研究院(又称赛迪研究院)发布了《2021年上半年中国家电市场报告》(以下简称《报告》)。《报告》显示,2021年上半年,我国家电市场加速回暖,零售额达4293亿元,同比增长16.3%;家电消费进一步向线上迁移,电商渠道对家电零售的贡献率达53.65%;家电产品均价普遍提升,高端家电销售热度不减,有效促进了消费升级...

新思想引领新征程·红色足迹

党的十八大以来,习近平总书记在地方考察调研时多次到访革命纪念地,强调要从中国革命历史、优良传统和精神中汲取养分。追寻红色足迹,感悟初心使命。即日起,本报推出“新思想引领新征程·红色足迹”专栏,跟随习近平总书记的红色足迹,访当事人、忆当年事,重温总书记的重要论述和重要指示精神,生动回顾红色圣地光荣的革命历史、优秀的革命传统...

聚焦2021年全国两会

3月5日,第十三届全国人民代表大会第四次会议在北京人民大会堂开幕。党和国家领导人习近平、李克强、汪洋、王沪宁、赵乐际、韩正、王岐山等出席,栗战书主持大会。初春的北京,处处生机盎然。第十三届全国人民代表大会第四次会议5日上午在人民大会堂开幕。近3000名全国人大代表肩负人民重托出席大会,认真履行宪法和法律赋予的神圣职责。

2021年全国工业和信息化工作会议

12月28-29日,全国工业和信息化工作会议在京召开。会议以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,认真落实习近平总书记重要指示批示精神和中央经济工作会议部署,总结2020年工业和信息化工作,分析形势,部署2021年重点工作。工业和信息化部党组书记、部长肖亚庆作工作报告。

世界超高清视频(4K/8K)产业发展大会

会议

2021世界VR产业大会云峰会

10月19日—20日,由工业和信息化部和江西省人民政府共同主办的2021世界VR产业大会云峰会在南昌举办。国务委员王勇出席大会开幕式并发表讲话,江西省委书记易炼红,工业和信息化部副部长王志军,江西省委常委、南昌市委书记李红军出席开幕式并致辞。

2021世界显示产业大会

6月17日,由工业和信息化部、安徽省人民政府共同主办的2021世界显示产业大会在合肥市开幕。安徽省委书记李锦斌出席开幕式并宣布大会开幕,安徽省省长王清宪、上海合作组织秘书长弗拉基米尔·诺罗夫、工业和信息化部副部长王志军出席开幕式并先后致辞。

2021世界超高清视频(4K/8K)产业发展大会

5月8日-10日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2021世界超高清视频(4K/8K)产业发展大会在广州召开。5月9日,广东省委书记李希出席开幕式,工业和信息化部部长肖亚庆、广东省省长马兴瑞、国家广播电视总局副局长孟冬、中央广播电视总台编务会议成员姜文波出席开幕式并致辞。

CITE2021第九届中国电子信息博览会开幕论坛

4月9日,第九届中国电子信息博览会(简称CITE2021)在深圳举办。深圳市人民政府市长陈如桂、广东省人民政府副秘书长陈岸明、工业和信息化部电子信息司司长乔跃山出席开幕式并先后致辞。

2020世界显示产业大会

11月20日,由工业和信息化部、安徽省人民政府共同主办的2020世界显示产业大会在合肥市举行。在开幕式上,工业和信息化部部长肖亚庆、韩国驻华大使张夏成发表视频致辞。安徽省委副书记、省长李国英,工业和信息化部副部长王志军出席开幕式并致辞。

2020世界超高清视频(4K/8K)产业发展大会

11月2日,由工业和信息化部、国家广播电视总局、中央广播电视总台、广东省人民政府共同主办的2020世界超高清视频(4K/8K)产业发展大会在广州市召开。广东省委书记李希出席开幕式,省长马兴瑞出席并致辞。国家广播电视总局局长聂辰席、工业和信息化部副部长王志军、中央广播电视总台副台长蒋希伟出席开幕式并致辞。

世界显示产业大会

本周排行