据报道,美国国防部正在加紧其网络安全工作,专门开设的零信任办公室可能于近期开放。拜登政府今年5月份发布的加强联邦政府网络安全的行政令,要求每个机构的负责人在60天内制定实施零信任架构的计划。
近来,全球市场上,零信任的声音越来越大。在国外,谷歌、微软、思科等IT企业领衔布局零信任;在国内,不仅奇安信、深信服、网宿科技等安全公司相继围绕零信任展开了激烈的角逐,腾讯、华为等一众大厂也纷纷选择重磅加码,其火爆程度不言而喻。专家认为,零信任有望成为网络安全下一轮爆发点。
2021年零信任市场大额投融资事件(不完全统计)
零信任的核心价值:打破边界
Forrester分析师约翰·金德维格(John Kindervag)在2010年首次提出的零信任概念包含三个核心观点:一是不再以一个清晰的边界来划分信任或不信任的设备;二是不再有信任或不信任的网络;三是不再有信任或不信任的用户。“零信任”一经亮相,迅速吸引了诸多安全专家的关注,但彼时并未在市场端激起太大浪花。直到2017年Google基于零信任安全的BeyondCorp项目成功验证了零信任安全在大型网络场景下的可行性,业内才开始普遍跟进零信任实践。新冠疫情的爆发是个显著的转折点,随着网络安全形势日益严峻和新一代信息技术的普及,零信任的热度骤增。
传统网络安全架构理念是基于边界的安全架构,企业构建网络安全体系时,首先寻找安全边界,把网络划分为外网、内网、隔离区等不同的区域,然后在边界上部署防火墙、入侵检测等安全产品。这种网络安全架构假设或默认了内网比外网更安全,因此一旦攻击者潜入内网,或者攻击者本身被内网信任,那么安全边界就形同虚设。不同于这种以网络为中心的防护思路,零信任建立的是以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。它的核心目标就是解决边界问题带来的安全风险。
相较而言,零信任的优点在于其动态综合纵深安全防御能力,整个防护控制都基于身份,并对身份进行持续确认。在“网络可能或已经被攻陷、存在内部威胁”的环境下,把安全能力从边界,扩展到主体、行为、客体资源,安全解决以前传统边界无法应对的难题。奇安信副总工程师邬怡在接受《中国电子报》记者采访时指出:“零信任之所以爆火主要是因为整个信息化环境从之前的‘以网络为中心’变成现在的‘以数据为中心’,传统的边界防护模式已经逐渐‘失灵’。”
根据IDC研究,随着云计算、大数据、移动互联网、物联网、5G等技术广泛应用到企业信息化建设和业务发展中,远程办公、业务协同、分支互联等业务需求快速发展,企业的员工、设备、合作伙伴以及客户需要通过多种方式灵活接入企业业务系统,企业原有的网络边界逐渐泛化。这导致基于边界的传统安全架构不再可靠,零信任成为一个必选项。
腾讯企业IT安全架构师蔡东赟接受《中国电子报》记者采访时分析称:“从安全趋势上看,内网安全基于边界的安全已经不是那么牢不可破,数字化办公发展导致没有边界内网。核心的爆发点还是来自于疫情带来的物理隔断,大家远程办公,这是最基本的适用场景,人们已经不得不使用这种架构。”
同时,云计算业务天然需要零信任。云计算的快速发展和普及应用,包括应用云化,基础架构的异构化和混合化,业务的数字生态化以及接入网络及设备的多元化都因素推动了更多的企业开始通过部署零信任架构来建立能够适应云时代的全新安全体系。
Forrester高级顾问谷丰指出,从最初的原型概念向主流网络安全技术架构演进,从最初的网络控制平面的微分段向涵盖云边端的访问控制与网络防护全场景演进,零信任如今已经成为新一代的安全架构标准。零信任的兴起不能简单看作某种技术、产品的扩展,而是对固有安全思路改变,这是它的核心价值点。
中国零信任市场尚未发育成熟
得益于云计算、大数据等技术的蓬勃发展,美国最早提出了零信任概念,且花费了大力气投入布局。从国家层面来看,美国国防部在零信任概念成型之前就已开始相关研究。2021年5月,美国政府发布的14028号行政命令《改善国家网络安全》,宣布要将联邦政府迁移到零信任架构。随后,《联邦零信任战略》《零信任成熟度模型》《云安全技术参考架构》相继出台,组成了联邦各级机构的网络安全架构路线。如今美国最大安全公司不是防火墙类传统公司,而是零信任SaaS公司。典型的零信任公司Okta市值达333.51亿美元,远超传统安全公司。
Okta发布的《2021零信任安全态势》白皮书指出,2021年有82%的欧洲企业增加了在零信任建设方面的预算。另一家网络安全厂商Gigamon的调研结果显示,超过三分之二(67%)的欧洲组织已采用或计划采用零信任框架以应对不断变化的威胁形势。
企业零信任架构部署情况
来源:Illumio调研报告
而在国外已经实现规模化应用的零信任,在中国落地时似乎有点“水土不服”。尽管工信部2019年发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》已将“零信任安全”列入需要“着力突破的网络安全关键技术”。但目前来看,零信任市场发育成熟度仍有不足。
“相较于欧美国家,国内在零信任方面仍处于起步阶段。”谷丰分析称,从技术及解决方案来看,国内零信任产品本身在功能以及技术方面仍处于发展过程中,能够提供零信任全面解决方案的提供方较为缺乏;从企业接受度来看,更多的企业处于初始的引入阶段,只有少部分企业已经部署了零信任产品和技术并在进行优化和完善。
对于企业自身而言,零信任的实现并非易事。邬怡指出:“一方面,老旧设备改造比较麻烦。零信任不是传统的网络安全,它还深入到应用安全和数据安全层面,需要对设备进行改造和升级,工程量大。另一方面,零信任的实施成本相对较高。数据层面、应用层面都要做到防护,控制措施越多越细,投入也会越高,并且,零信任还要对任何试图建立访问的人或物进行持续验证,成本会继续上升。”
此外,在企业选择零信任产品或解决方案时,往往对零信任仍然存在一些顾虑,例如架构过于复杂,内部文化的冲突,会浪费原有的安全资产等。谷丰认为,缺乏掌握零信任的人才以及企业内部的推动者、缺乏提供覆盖端和云安全性的全面解决方案、缺乏成熟的方法论体系、缺乏可借鉴案例等问题都会导致零信任“落地难”。
“从概念走向落地,零信任主要面临平衡安全性,或者说可用性,与成本效益之间的挑战。技术不是目前最大的挑战,管理才是。”邬怡认为,零信任的构建需要打破原有管理模式,不仅需要安全团队的加入,还需要协同业务团队等共同建立起良好的沟通机制;同时,零信任建设从本质上来讲是“一把手”工程,需要将整体建设深入到业务中去,不能仅存在于安全部门,这将涉及非常多管理问题,需要长期构建才能真正落地。
“零信任相关技术仍需要持续的改进,各技术模块间的集成与协同仍需进一步完善,其在企业侧落地过程中不免仍将面对例如技术成熟度、产品和接口标准化,以及人员配合等方面的问题。”IDC中国研究副总监王军民指出,“向零信任网络的转型对于几乎所有企业的网络安全体系建设都是一次严峻的挑战。”
零信任架构建设不是”一键切换”
根据市场研究机构Markets and Markets的报告,全球零信任安全市场规模预计将从2019年的156亿美元增长到2024年的386亿美元,从2019年到2024年的复合年增长率为19.9%。在此基础上,开源证券预测,中性估计2024年我国零信任安全市场规模将达16.7亿美元。零信任有望成为网络安全下一轮爆发点。
国内零信任市场规模预测
来源:开源证券研究所
要主动把握机遇,但不可盲目追逐浪潮。王军民表示:“零信任架构的建设不是‘一键切换’能够简单实现的,需要长期规划和建设,企业因为零信任建设而降低企业原有安全防护体系的投入是不明智的选择,特别是零信任架构建设前期,零信任理念还无法全面覆盖企业所有业务系统和数据。”
他建议,企业在进行了初期的试点应用后,应该充分利用技术提供商及其合作生态的整体方案能力,在零信任网络架构中更多的融入威胁情报、数据安全、网络威胁态势感知等能力,并增强威胁事件的可见性和自动化响应,以有效应对不断涌现的新兴威胁。对于自身网络安全技术能力和研发实力较强的企业,可以考虑在零信任架构未来建设中逐渐增强自研产品和技术的融入,将零信任架构建设成为具备更强自主研发能力的工程,更好的实现网络安全与业务发展的融合。
参照起步较早的国外市场,零信任商业化落地较为成熟,SECaaS(安全即服务)已成主流交付。国内也已经有很多企业将零信任理念付诸实践,大多零信任产品交付模式上仍以解决方案为主。蔡东赟认为:“未来,我国零信任交付模式也有望逐渐向SECaaS转变。”
目前全场景的零信任总体框架落地需求一般存在于大型、头部客户之中,例如大型央企、部委、大型银行等,邬怡建议,在统一的规划牵引下,以3-5年为一个周期进行整体的安全架构迁移,将零信任逐步落地到各个业务场景中去;当然,不少企业也选择从一些局部场景切入,例如在远程访问常态化背景下,零信任远程访问能力是不错的切入点。