若要挑选2020年安全行业热词,相信“零信任安全”一定是首选之一。
这一名词乍听之下不易理解,不过顾名思义,零信任指的是一种“从不信任、永远验证”的安全理念。也就是说,当过去以内外网分隔为主的安全体系随着员工办公习惯、数据流通方式改变等原因渐渐过时,能灵活、实时判定访问请求的安全理念当然更契合如今现状。
对“零信任安全理念”来说,2017年是一个明显的分水岭,当年Google基于零信任安全的BeyondCorp项目取得成功,验证了零信任安全在大型网络场景下的可行性,业界也开始跟进零信任实践。
而特殊如2020年,由于疫情的爆发,远程办公中的安全问题得到重视,零信任安全理念也迎来新的分水岭。在企业端,目前市面上至少有50家公司声称在开展零信任业务;投资圈也闻风而动,今年至少有8家和零信任理念挂钩的企业获得融资。
今年获得融资的零信任相关厂商(据36氪不完全统计,部分数据来自天眼查)
零信任理念被加速认知已是不争事实,或许是时候对这一领域进行深度剖析。在本文中,我们将重点讨论以下话题:
零信任的概念、价值;
从技术角度拆分的市场参与者;
行业当前的机遇与风险;
参与者的竞合关系。
相信通过对零信任的梳理,未来安全世界的一角也会得以揭示。
1. 前世今生
即使今年才开始大热,但零信任其实并不是新鲜词汇。
零信任理念,雏形最早源于2004年成立的耶哥论坛(Jericho Forum),其成立的目的是寻求网络无边界化趋势下的全新安全架构及解决方案。
到2010年,咨询公司 Forrester 的分析师约翰·金德维格将这一理念进行了更细化的拆分——金德维格认为,零信任本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。
在产业端,随着谷歌等公司在零信任上的进展,2019-2020年,NIST在5个月内连续发布两版《零信任架构》标准草案,意味着零信任正向标准化进展。
零信任概念演进历程图 来源:中国信通院
从出现到追捧,零信任已走过十余年时间。那么,为什么是现在?
这和近年来企业的业务、IT基础设施变化相关。过去,传统的安全防护基于边界,企业安全防护模式是构建一个内网,通过物理隔离或VPN等设施保证“内部安全区”。
今时情况不同往日:
首先,IT边界被打破。云计算、边缘计算等技术普及,加之大数据与AI的广泛应用,让数据流动与计算环境都发生了显著变化,IT边界变得越来越模糊。
并且,当前企业上下游伙伴和内部员工增多,用户访问请求更加复杂,成企业对用户过分授权的情况也更普遍。
疫情推波助澜,当多地协同办公、远程办公成为新常态,过去的办公习惯也被打破。
而物理隔离无疑站在远程办公的对立面,构建并部署 VPN 的基本前提就是存在企业边界。显然,内外隔离的安全思路是不灵活的,也无法适应新的需求。
零信任由此起势。其主要思想——默认企业内、外部的任何人、事均不可信,对任何试图接入网络和访问网络资源的人、事、物进行持续验证,打破了边界化的网络防御思路,是一种更适应新需求的理念。
站在市场维度,或许很难把零信任这类以理念为基础的事物划归为某个具体赛道,这是因为零信任的兴起不能简单看做某种技术、产品的扩展,而是对固有安全思路改变。
Gartner在《零信任网络访问市场指南》做出的假设也侧面印证了这一观察——其预测到2022年,80%向生态合作伙伴开放的新数字业务应用将通过零信任网络访问接入;到2023年,将有60%的企业淘汰大部分VPN,而使用零信任访问。
零信任和传统安全架构的区别 来源:绿盟科技、开源证券研究所
2. 实质:实时、动态地判断访问请求
和所有的理念型故事一样,零信任不能仅停留在表面,其落地往往遵循着思想、框架、技术、产品、商业化几个层面。
“对任何试图接入网络和访问网络资源的人、事、物进行持续验证”,这件事需要通过策略判定。
从NIST给出的最新零信任架构(参照下图)可以看出,零信任架构的核心组件包括策略引擎、策略管理器和策略执行点。
简单来说,策略引擎作为一个大脑,对访问请求做出“是否赋予权限”的决策,管理器依赖于引擎的决定,通过和执行点的互动,向后者下达指令。
NIST零信任架构核心组件示意图 来源:CSA大中华区
当前业界对零信任的实践还在过程中,所以也出现了一些细节不同的零信任框架。比如在中国信通院和奇安信发布的《网络安全先进技术与应用发展系列报告——零信任技术(2020版)》中,零信任架构的基本框架归纳如下图:
零信任架构总体框架图 来源:《网络安全先进技术与应用发展系列报告——零信任技术(Zero Trust)》
虽然各类框架有细节差异,但其实不论是哪种框架,都在论证实时、动态地对访问请求进行判断,以契合“从不信任、永远验证”的理念。
有意思的是,如果今年询问一家安全公司是否正开展“零信任”业务,可能会收获模棱两可的回答:我们是否在做零信任,取决于如何定义它。
这有些无厘头的反应似乎又不无道理。
零信任是一种理念。理论上讲,只要在一些场景实现“从不信任、永远验证”的目的,谁都能说自己在做零信任,这正是现在零信任厂商繁多、技术路线不同的原因之一。
在具体数据上,专业人士指出当前号称开展零信任业务的公司在50家以上。我们决定选取一些明确提供零信任安全产品/解决方案的公司略作展示(排名不分先后)。
部分参与者概览(经36氪整理)
零信任的参与者背景不一,无论是刚成立不到一年的早期安全公司,还是成立数年的大型上市企业,亦或不断延伸触角的公有云厂商,均已置身零信任浪潮。为避免“雾里看花”,从技术分类入手或是进一步理解零信任的思路。
如今相对普遍的共识是,零信任的主流技术分为三种:即SIM,S为SDP(Software Defined Perimeter, 软件定义边界)、I为IAM(Identity and Access Management,身份识别与访问管理系统),M为MSG(Micro-Segmentation,微隔离),上图中也可看到三种技术不断交叠出现。不过需要提前强调的是,目前也有企业希望通过其他思路达成“零信任”目的,以下技术路线并不代表全部。
1. 身份识别与访问管理(IAM)
身份识别与访问管理(IAM)是网络安全领域中的一个细分方向。从效果上来看,IAM产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何进行访问,访问后可以执行哪些操作等。
根据Gartner的定义,IAM的核心主题围绕以下几个方向展开:
认证 ,指的是通过确认实体(包含人与设备等)的身份,建立信任,这其中的概念包括多因素认证等。
访问控制,确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。
身份治理,对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。
特权身份管理,指的是对管理员等权限较高的账户等进行进一步管理。
在零信任广泛普及之前,IAM已经是一个独立赛道。不过如今零信任理念中的IAM指的是增强型IAM。过去的IAM认证体系较为僵化,只要有统一的权限管理即可,但增强型IAM强调持续的自适应认证,即在整个访问请求的周期内进行持续智能验证。
总而言之,以身份为基础,实时、动态地对访问请求进行判断,是实现零信任的手段。目前IAM相关公司有「派拉软件」、「竹云科技」、「芯盾时代」等。
2. 软件定义边界(SDP)
软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。
之所以被称为黑云,和其预期达到的效果有关。SDP可以为企业建立虚拟边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问。
根据云安全联盟的定义,SDP的主要组件包括发起主机(客户端),接受主机(服务端)和SDP控制器,客户端和服务端都会连接到这些控制器。二者间的连接通过SDP控制器与安全控制信道的交互来管理。
资料来源:CSA大中华区
当前,国内有多家公司主打SDP,以曾入选Gartner零信任安全产品全球代表厂商的「云深互联」为例,其SDP包含三个组件——深云SDP客户端、安全大脑、隐盾网关。
深云SDP客户端:在深云SDP中,深云SDP客户端用来做各种的身份验证,包括硬件身份,软件身份,生物身份等。
深云SDP安全大脑:深云SDP安全大脑是一个管理控制台,对所有的深云SDP客户端进行管理,制定安全策略。深云SDP安全大脑还可以与企业已有的身份管理系统对接。
深云隐盾网关:所有对业务系统的访问都要经过 SDP网关的验证和过滤,实现业务系统的“网络隐身”效果。
深云SDP示意图
在「云深互联」之外,国内的相关公司还有「易安联」、「安几网安」等。其中,「易安联」在今年宣布完成B轮融资。
3. 微隔离(MSG)
微隔离,又称软件定义隔离、微分段,最早由 Gartner提出。
微隔离主要解决数据中心的东西向(内部服务器彼此互相访问)流量之间的安全问题,当前主要应用于数据中心,该技术的面向群体并非用户。
用形象语言表述,微隔离类似疫情时期的口罩,每个人带上口罩后,互相隔离以防止病毒传播。
微隔离技术把服务器之间做了隔离,一个服务器访问另一个服务器的资源之前,首先要认证身份。认证通过后,网关才会放行业务系统去获取数据资源,否则会被网关拦截。从效果看,在实现微隔离之前,攻击者会攻击到所有的服务器,而实现微隔离后攻击范围将大大减少。
这种技术的难点在于计算量和自动化——数据中心往往包括海量节点,频繁变化带来的工作量不可预估,传统的人工配置模式已无法满足管理需求,自动适应业务变化的策略计算引擎是微隔离成功的关键。
当前国外已出现较成熟的微隔离厂商,即美国公司Illumio。这家公司成立于2013年,在2019年已完成E轮融资,是全球13家安全行业独角兽公司之一。客户包括Salesforce、摩根士丹利、法国巴黎银行和Oracle NetSuite等。
国内微隔离的典型厂商是「蔷薇灵动」。公司创始人严雷曾透露,「蔷薇灵动」于2017年开始商业化探索,2019年营收达到千万级别。在融资进展上,天眼查数据显示其在今年先后完成两轮融资。
4.SIM相辅相成
NIST认为,一个完整的零信任架构需要三者结合,这或许是由于三种技术各自的擅长之处不一,可以“组团”发挥所长。
其中,对身份的判断是零信任的基石。这也是今年在创投市场中,以身份为主要业务的公司,即IAM厂商颇受追捧的原因之一——「派拉软件」于今年9月宣布完成C轮近3亿元融资,同月宣布的还有「芯盾时代」完成数亿元C+轮融资的消息,10月初,「竹云科技」也宣布完成3亿元C轮战略增资。
SDP解决南北向流量(通过网关进入数据中心的流量)的安全问题,那么微隔离则主要解决数据中心的东西向(内部服务器彼此互相访问)流量之间的安全问题。由于三种技术的差别,当前市场中主打IAM、SDP和微隔离业务的厂商并不完全重合,各家或会以既有的技术、产品优势为基础,向前延展形成较完备的零信任方案。
比如,天融信在介绍其SDP架构时曾指出,为了强化用户认证与权限管理部分,可提供增强组件IAM实现更细致的身份管控功能(如下图),这也说明了各种技术路线的互相延展的可能。
天融信SDP技术架构包括客户端、控制器、网关架构图 来源:CSA大中华区
这不是孤例,在日前CSA大中华区发布的《2020中国零信任全景图》中,同样可以看到多家厂商分别出现在不同技术分类中。
为何厂商能在短时间内渗透多个技术路线?主要原因是相关厂商早前已有所积累,尤其是IAM和SDP,它们在中国并非横空出世的新技术。总体而言,零信任最难跨过的门槛也许并不在技术,而在于工程化落地。
目前由于零信任在国内风头刚起,打造完整、易用的解决方案还在进程中。这一理念要经受商业化考验,对客户的话语权非常重要,这和零信任的目标以及实施中的改造成本均有关联。
1. 谁在规定最小权限
各方在讨论零信任时不断强调的一点是,零信任是一种理念,而非具体的技术、产品。理念虽听起来有些“虚无”,但也明确了目标——就如金德维格所说,零信任是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。
再精简一些,或许可以理解为对访问请求以最小权限原则进行动态管理。身份的判定是用权限进行动态管理的基础,上文不管是IAM、SDP亦或微隔离都提到了判断策略或者引擎。但另一个核心——最小权限,却甚少被讨论。
最小权限存在的意义是,对通过基础安全审核的访问请求进行严格管理。然而如何规定最小权限,或许目前还没有统一的标准。往下深究,最小权限是一个动态概念,需要针对不同客户、不同场景进行判断,所以其标准也很难界定。
也正由于标准不清晰,一位安全行业观察者调侃零信任的现状是,“谁都能说自己在做(零信任),但又或许谁都没做”。
举个极端些的例子,如果客户的安全基础设施仅停留在内外网范畴,对内网内的系统、数据并未进行分类分级,那么仅基于初步身份权限的分类,已是现有条件下的最小权限。但如果客户本身需要更细粒度的权限管控,单纯基于初步的身份管理,并不符合最小权限原则。所以,判断最小权限的话语权归结于客户。
而厂商需要找出某类目标客户对零信任的通用性要求,降低工程化成本。从这个角度,有深度服务目标客户经验,并能切入较通用场景的厂商或更易开展零信任业务。
根据《2020中国零信任全景图》的统计,目前国内零信任的目标客户主要集中在政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业、军工、民航、军队、零售等行业。基中50%以上的零信任厂商都认为政企、金融、能源、互联网、运营商、教育、 医疗、电力、交通、公安、制造业是他们的主要目标行业。
零信任目标行业分布图 来源:《2020中国零信任全景图》
可以看到,政企、金融和能源占据了目标客户前三甲的席位,此类客户也是过往安全厂商的重点客户,或许意味着客户在选择供应商时会有所倾向。
2. 改造成本有多高
关于这三种技术倾向,NIST认为,零信任厂商在落地过程中可能会发现客户已有所选择,但这并不是说其他方案一定会失效,而是认为其他方案对该企业而言意味着已有流程的改变,所以更难实施。
更难实施体现在零信任的改造成本。对客户而言,零信任的改造成本也和其自身的基础设施情况相关。如果客户内部的系统非常繁多,那么一个个接入其中会使得实施周期漫长;如果客户此前的安全能力薄弱,则需要弥补的模块更多;如果要做全面的零信任改造,对企业现有流程也会造成些许影响。在此基础上,有观点认为如果一家厂商此前已经将自己的安全产品渗透入足够多的客户中,或会降低改造成本。
如果举例对比,传统的网络安全模型就像用一个城墙把所有人保护在一起。那零信任可能就像城门大开,但每个人都会配备一个士兵保护,这种点到点的防护策略会更加安全,成本也更高。不过,正和许多安全措施一样,改造是提高安全性的前提条件,如果改造成本较低,也意味着安全性或不理想。在很多场景下,安全是一个具备灰度的名词,需要根据客户的业务性质、要求综合考量。
36氪了解到,当前也有一些综合实力较强的厂商希望从合规角度出发,把零信任的要求落实到规定中。
众所周知,安全行业以合规要求和业务需求为双重驱动力。随着内外网络边界的消失,客户对零信任的业务需求已逐渐凸显,若加上严格而有效的合规要求,即使改造成本大,零信任都会加速落地。从竞争角度,这种以合规切入的视角至少在To G市场中称得上降维打击。
当前,也有许多本该成为客户的公司在自行进行零信任改造。这类公司一般是大型互联网公司(Google正是一个典型),它们对业务安全性的需求较高,同时IT资产、权限配置复杂。在具备技术实力的基础上自发进行零信任落地,对这类企业来说既省去和供应商的磨合成本,在有余力的基础上还可形成解决方案对外输出,这也是更大的想象力。
在向外界输出的类型中,典例是阿里、腾讯以及华为。这是由于,零信任也属于云安全中的一环,云厂商必然不能放过这一市场,目前三家也都有相关解决方案提供。
其中,阿里云在今年9月发布远程办公零信任解决方案,阿里巴巴企业智能也已推出“联呗”终端访问控制系统。根据介绍,在今年疫情期间,阿里巴巴企业智能支撑了数十万员工的远程安全入网及云办公。目前“联呗”已通过远程办公零信任解决方案服务政务、教育、医疗、新零售、制造等多个行业客户,帮助客户管理数十万终端的安全准入。
云栖大会中发布的阿里云发布远程办公零信任解决方案
腾讯在零信任上更是动作频频。
从在2019年7月发起《零信任安全技术参考框架》行业标准立项,到今年5月底腾讯安全发布《零信任解决方案白皮书》,腾讯一直在输出其对零信任的理解。白皮书中提及,腾讯基于ZTA架构模型,参考谷歌BeyondCorp实践,结合自身经验形成了“腾讯零信任”的解决方案,于2016年在公司内部实践,目前已经过6万多员工的实践验证。
腾讯零信任方案架构图
另外,华为也在其官网上展示了HUAWEI HiSec零信任安全解决方案。
华为零信任安全解决方案架构图
保障租户的资产安全是公有云厂商的职责,过去这类厂商在云安全领域已取得一定进展。以腾讯为例,其发布的2020年度第三季财报显示,腾讯企业级安全业务前三季度收入同比增长133%,零信任安全产品同比增长64%。当成绩单摆在眼前,很多人的第一反应是传统安全领域中的零信任公司会遭受巨大冲击,但若仔细拆分公有云厂商的业务逻辑,也会有些新发现。
在华为的零信任案例中,可以看到IAM厂商「竹云科技」是其可信代理控制服务、认证服务、权限服务组件的供应商,并且在部署方案中被划入必选选项。这从侧面反映了公有云厂商和安全厂商在零信任领域中的竞合关系——公有云厂商无疑需要生态的力量补足能力,各种各样的供应商是生态中不可或缺的一环。
谁能和公有云厂商合作,考验的是独立厂商的价值。在技术上,许多安全公司在自己领域中深耕已久,比如IAM厂商「派拉软件」和「竹云科技」分别成立于2008年和2009年,在身份领域中积累了深厚的产品、解决方案经验,它们自然是有价值的合作对象。另外从市场端,公有云厂商更擅长做标准化业务,而中国的大B、大G客户对个性化需求较高,安全公司若可以抓住这类客户,既有利于提升竞争的“底气”,也可以获得较丰厚的收益,和公有云厂商合作或能成为一个可选项。
不过另外需要提及的是,当前不同客户的业务性质不同,对权限的要求也不同,过多的场景会让厂商难以交付。不论是哪种类型的厂商,都需要找到尽量通用化的场景,避免切入过于狭窄的领域,同时也降低定制化带来的风险。
长远来看,零信任“从不信任、持续验证”的理念契合了去边界化的安全状况。
Cybersecurity在2019年底的调查显示,现在网络安全最大的挑战是私有应用程序的访问端口十分分散,以及内部用户权限过多,这两方面正是零信任理念可以解决的问题。另一个有趣的现象是,调查对象中有78%的安全团队希望在未来实现零信任网络访问,但几乎一半的安全团队对他们使用当前安全技术提供零信任的能力缺乏信心。
这个例子再次印证了零信任的火热,但不可否认,即使客户已经意识到以往安全思路的狭隘,零信任作为一种新事物是否能获得广泛落地,还取决于市场和供应商的成熟。
一切才刚刚开始。
————————————————
注:36氪对零信任领域保持持续关注,通过和数位行业人士沟通,以及多方收集资料完成了本文。但由于资源、视角有限,本文难免出现错误、片面等问题,欢迎各位读者指正交流。