编者按:本文来自微信公众号“中智观察”(ID:Hapiweb-soft6),作者:赵满满,36氪经授权发布。
受新冠肺炎疫情的影响,远程办公的用户和市场规模呈现出爆发式增长。
盖洛普调查发现,近2/3的美国远程办公人员希望继续远程工作。Gartner报告表明,90%的人力资源领导者计划允许公司员工远程工作,即使在新冠疫苗投入使用之后。
可以说,现在,企业办公的方式发生巨大的变革:在家庭、咖啡厅、地铁等远程办公,成为许多公司的“新常态”。
远程工作不局限于办公室,导致网络安全的边界扩大,接入的终端增加,对组织资源的控制减少,增加了数据泄露的风险,网络攻击也大幅度增长。
比如:在传统的办公模式下,员工会走进办公大楼,然后利用办公室的电脑,在密码验证、登录并通过本地服务器后,访问系统、应用、数据等所需要的一切。从网络安全的角度看,企业的人员、数据和IP都是安全的。
但在远程办公时,如果还延续传统办公那种基于设备的访问管理模式,无疑打开了一个更大的网络安全的潘多拉魔盒,各路潜在攻击会鱼贯而出,防不胜防。
于是,“零信任”(Zero Trust)安全架构在被提出十年之后,正在成为应对这种新常态的网络安全的一个最佳实践。很明显,基于设备的访问管理已经过时,“零信任”模型建立起了基于身份验证的网络安全总体框架。
作为2010年就被Forrester定义的安全模型,“零信任”正在成为不断变化的现代工作场所的安全战略指南。
正如美国国家标准与技术研究院(NIST)所总结的那样,零信任是一套"将防御系统从静态的基于网络的周边转向关注用户、资产和资源不断发展的网络安全范式”。
简单地说,“零信任”意味着 "什么都不相信, 验证一切"。它要求任何用户(公司内部或外部)在获准访问系统、应用和数据之前必须经过身份验证和授权。
“零信任”利用多因素身份验证和基于会话的主动风险检测等工具,提供更高水平的安全性。无论您是管理员、客户端、合作伙伴,还是员工,每个访问接触点都是根据安全风险设计进行的。
目前来看,“零信任”首先通过学习信任缓解常见的安全漏洞。在“零信任”模型下,IT 管理员可以监控访问和授权活动,并对其进行管理以进行准确的威胁评估。随着用户的行为和模式越来越成熟,异常事件和访问尝试可能会被实时拒绝。
其次“零信任”提供适合复杂IT生态系统的身份管理,将组织从授予或拒绝的二元访问系统,转移到基于多个身份变量的身份验证和授予访问系统。
第三,基于“零信任”的有条件访问,允许根据每个团队、部门或组织的独特需求,加强或放松安全。
亚信安全身份安全事业部总经理张辉直言,“零信任”体系中最重要的核心是身份(正确的人),发起点是终端(正确的终端),控制点在各个业务入口,例如运维入口的堡垒机、应用入口的IAM/4A,服务入口的API网关,等等(正确的行为),才能真正贯彻“持续认证”、“持续评估”的“零信任”核心思想。
“零信任”是一种理念,而不是一种技术。因此,没有单一的产品或解决方案能够使企业独自实现“零信任”。
不过,业内专家认为,软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)是实现“零信任”的三大技术路径。
在SDP中,客户端首先进行多因素认证,认证设备的可靠性等。通过后,才进入用户登录阶段。这两步均是客户端与IT管理员进行交互,不涉及对具体服务的访问。当认证通过后,客户端才能够与可访问的服务建立连接。
IAM具有单点登录、认证管理、基于策略的集中式授权以及审计、动态授权等功能。它决定了谁可以访问,如何进行访问,访问后可以执行哪些操作等。
微隔离是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。
数字化转型的加速和云计算的不断普及,都推动了“零信任”理念的快速落地。
根据MarketsandMarkets的报告,全球“零信任”安全市场规模预计将从2019年的156亿美元增长到2024年的386亿美元,复合年增长率为19.9%,全球“零信任”占整体安全市场规模的比例有望在2024年达到15%。
而根据咨询公司Illumio的最新企业调查,仅4%的企业声称完全实施了“零信任”,但接近半数的企业已处于调研或试点阶段。
“零信任”应用场景当然也不仅仅是远程办公,SaaS营运安全、大数据中心、云安全平台等都是典型的应用场景。任何企业网络都可基于“零信任”原则进行设计,大多数组织的企业基础架构已经具备了“零信任”的某些要素,或者正在通过实施信息安全、弹性策略和最佳实践来实现“零信任”。
据中国软件网观察,“零信任”市场参与者较多,市场有四大类参与者。其中包括:谷歌、微软,以及国内的腾讯云、阿里云等巨头企业,率先在企业内部实践“零信任”并推出完整解决方案;Duo、OKTA、Centrify、Ping Identity 推出“以身份为中心的“零信任”方案”;思科、Akamai、Symantec、VMware、F5 ,以及国内亚信安全、启明星辰、深信服、奇安信等推出了偏重于网络实施方式的“零信任”方案;此外,还包括 Vidder、Cryptzone、Zsclar、Illumio,以及国内的芯盾时代等初创公司。
另外,收购兼并成为目前“零信任”市场的主旋律。如思科、派拓、赛门铁克、Unisys、Proofpoint这样的巨头玩家,多以收购的方式实现在“零信任”网络访问的纵深和业务的横向布局。
据安全419数据统计,中国2020年身份安全领域获得了9笔融资,融资规模近10亿元。
云服务巨头们也正在通过自身的实践,验证“零信任”安全架构的优势,并将这种能力赋能更多的用户。
像BeyondCorp最初是Google的一项内部计划,旨在使每个员工都能在不受信任的网络中工作,而无需使用VPN。利用BeyondCorp,Google的员工能实现无论在家、咖啡厅、办公楼等任何地点访问公司应用,并拥有一样的体验,员工到应用的连接都进行了加密,真正实现了访问控制权从边界转移到个人设备与用户上。
现在,Google将BeyondCorp推向用户,每天BeyondCorp都被大多数Google用户所使用,为Google的核心基础设施和企业资源提供基于用户和设备的身份验证和授权。
谷歌对BeyondCorp进行了多次更新。2020年4月,谷歌发布了BeyondCorp Remote Access产品,旨在消除为在远程办公的员工设置虚拟专用网络成本高昂且耗时的弊端。
2021年2月初,Google推出了BeyondCorp Enterprise,取代以前的BeyondCorp Remote Access。BeyondCorp Enterprise旨在提供连续且实时的端到端保护、可扩展的DDoS保护,以及内置的可验证平台安全性。
谷歌云安全副总裁/GM Sunil Potti在公告中表示:"谷歌对“零信任”并不陌生。十多年来,我们一直在这个旅程中实施BeyondCorp,一个公司内部用来保护Google应用、数据和用户的技术套件。谷歌自己的实践证明,BeyondCorp Enterprise能够帮助用户开启“零信任”之旅。”
谷歌还表示,企业安全套件将直接构建在谷歌Chrome浏览器中,通过BeyondCorp Enterprise和Chrome,帮助企业用户确保数据安全。
从2015 年开始,腾讯在内部实践落地了一套自主设计、研发的“零信任”安全管理系统——腾讯iOA。这套系统针对远程办公场景痛点,打造了无论位于何处、何时使用何设备,都可安全访问授权资源来处理业务的新型“4A办公”。
在腾讯内部,腾讯iOA保障了几万员工和十几万台终端远程办公的安全,实现了OA站点和内部系统、开发运维、登录跳板机等的远程无差别访问。
腾讯 iOA也实现了对外赋能。比如为满足猿辅导在线教育3.5万内部员工面向4亿用户的办公需求,腾讯iOA 为猿辅导打造了兼具云端业务与员工终端安全高效连接和快速扩容安全响应的一站式“零信任”安全体系,实现了业务安全和办公效率的双重提升。腾讯iOA目前已在政府、金融、医疗、交通等多个行业领域应用落地。
无论如何,“零信任”风口已到,网络安全理念重塑的机会到了。