标准化,是为了在一定的范围内获得最佳秩序,经协商一致制定并由公认机构批准,共同使用和重复使用的一种规范性文件。这是三大国际标准组织ISO、IEC、ITU共同给标准下的定义。在任何领域,某项技术想要具备行业乃至世界影响力,“标准化”是必不可少条件。

日前,网络安全行业最为火爆的零信任理念迎来了由腾讯牵头的全球首个国际标准——《服务访问过程持续保护指南》。这意味着零信任理念及相关技术在全球范围内首次建立了统一的话语体系和实践规范,将推动全球零信任产业迈向更加开放和健全的生态协作模式,进一步夯实全球数字经济发展的安全底座。

十年探索实践 零信任已成公认未来发展方向

零信任的概念起源于十年前,Forrester分析师约翰·金德维格指出了“默认信任是安全的致命弱点”这一事实,并提出了不再以一个清晰的边界来划分信任或不信任的设备;不再有信任或不信任的网络;不再有信任或不信任的用户的核心理念。

而零信任真正开始被广泛认知,来自于谷歌的BeyondCorp项目。彼时,随着云技术越来越普及,大量员工在外网办公,大量手机、PAD等新设备出现,外协、临时员工的加入,使得边界变得没有意义。谷歌破除内外网概念,通过与设备为中心的认证、授权工作流,实现员工任何地点对资源的访问,谷歌的做法也成为了众多企业开展零信任实践的参考。

时至今日,传统网络边界已经消失殆尽,零信任理念也被更多行业、组织认为是解决新时代网络安全问题的“万全之策”。尤其是经过2020年疫情的催化,让零信任需求进一步爆发。

腾讯企业 IT 安全架构师蔡东赟表示:“从安全趋势上看,内网安全基于边界的安全已经不是那么牢不可破,数字化办公发展导致没有边界内网。核心的爆发点还是来自于疫情带来的物理隔断,大家远程办公,这是最基本的适用场景,人们已经不得不使用零信任架构。”

据知名咨询机构Gartner曾预测,到2023年,60%企业会逐步淘汰虚拟专用网(VPN)方式,采用零信任网络访问来进行的远程方案,从政府组织到商业实体,零信任架构在全球范围内迅速扩张。

目前美国政府已经正式开启零信任战略。2021年5月,美国总统签署了行政命令,强制要求政府部门全面迈向零信任架构。在随后的《2022财年预算案》中,美国国防部要求拨款6.15亿美元用于与零信任网络安全架构相关的工作。

在资本市场,海外已有多家零信任SaaS公司上市。其中的龙头企业Okta,股价在过去四年间翻了十倍,市值从2017年上市首日的21亿美元,达到如今的390亿美元。

在国内,众多安全厂商也纷纷布局零信任。其中,腾讯自2016年起在内部自主设计、落地零信任安全管理系统——腾讯iOA,在多年的实践锤炼中,零信任安全管理方案实现了内网零事故的战绩,尤其是在2020年初疫情期间,腾讯iOA系统安全支持腾讯内部7万名员工和10万台服务终端跨境、跨城办公需求。

从理念到落地 统一标准规范是重中之重

“经过十余年的技术发展以及疫情远程安全办公应用需求的催化,零信任已经从概念走向了实施落地阶段,接下来企业用户最关注的其实是零信任如何落地的问题。” 零信任产业标准工作组首席标准专家刘海涛表示。对于大多数企业来说,零信任架构的“落地”时机和方法依然存在诸多疑虑和争议。

首先零信任并不是一种具体的技术,而是一种理念,实现零信任有多种框架和路径,同时在市场的热推下,有许多安全产品都打着零信任的幌子进行宣传,这导致许多企业对零信任安全认知比较割裂,且千差万别。

腾讯安全团队在对外输出零信任安全实践时就遇到了这样的问题。“大家认为的零信任根本不是一码事。有人觉得这就是IAM,有人觉得零信任是动态口令,有人说是数据沙盒,甚至有拿上网行为管理系统的技术指标说要招标零信任产品。”

另外,零信任的落地需要对现有的安全体系进行改造,客户从原有网络架构升级到零信任架构,完全重构成本极高,且许多机构的安全建设已有多年积累,在进行零信任改造时,对于如何与企业现有安全架构、安全产品/设备结合,充分利旧,具有强烈的诉求。

腾讯企业IT安全架构师蔡东赟表示:“去适配每个客户千差万别的协议标签会非常麻烦。通过标准化以及生态协同的助力,推动接口联动,将大大提升服务商和客户之间的合作效率,避免走弯路,同时还能减少后来者进入行业的难度,促进产业持续繁荣。”

最后,从安全厂商的角度来说,零信任安全生态建设,不可能由一个公司或者某几个公司完全主导,要发挥整个行业的力量。“行业需要统一的标准为各个厂商确定技术边界,服务商各自发挥自己擅长的技术并进行深入研究,促进整个生态的发展。”上海派拉软件研发总监茆正华说道。

从“持续验证”到“持续保护”不止换个词那么简单

从理念到落地,零信任的未来发展不完全是技术或产品层面的问题,它同时跟企业的经营、规划、长期发展的管理强相关,并且是一个持续优化的过程。技术与业务需求将双轮驱动零信任产品的未来发展,制定汇聚产业共识的标准规范将能更好的促进产业协同发展。

通常来说,标准往往需要具备权威、普适、科学、实用四个特性。首先,必须由行业认可的权威机构批准发布;其次,制定要经过利益相关方充分协商,并听取各方意见;另外,标准来源于人类社会活动,其产生的基础是科学研究和科技进步的成果,是实践经验的总结;最后制定目的是为了解决现实问题或潜在问题,在一定的范围内获得最佳秩序,实现最大效益。

此次由腾讯牵头的全球首个零信任国际标准《服务访问过程持续保护指南》,由国际三大标准机构之一的ITU-T批准发布,在前期标准立项以及二次答辩过程中,均经受了众多世界顶尖安全专家的审查,具备充分的权威性和普适性。

从科学性上来说,《服务访问过程持续保护指南》源自于腾讯等多家中国企业落地零信任的最佳实践经验及技术总结。就腾讯而言,其自2016年就开始在内部展开零信任实践,多年来实现了内网安全零事故并成功经受了疫情考验,与此同时腾讯零信任解决方案已经在政务、医疗、交通、金融等多个行业成功应用,支持百万终端设备的安全接入。

最后,从实用性上,首个零信任国际标准的建立,对零信任理念及相关技术在世界范围内的普及无疑具有重要的推动作用。而且,基于中国特色的零信任实践总结,此次标准发布还推动了零信任理念从“持续验证”到“持续保护”内涵的升级。

具体来看,标准提出的零信任安全理念核心部分,打破了传统基于网络区域位置的特权访问保护方式,重在持续识别企业用户在网络访问过程中受到的安全威胁,保持访问行为的合理性,以不信任网络内外部任何人/设备/系统,基于持续的身份认证和安全评估对访问进行授权控制,实现对访问主体、访问链路、访问客体(服务)的整个访问过程的多维度持续安全保护。

例如,在远程工作场景、访问多云服务场景、服务器与服务器之间通信的三大典型应用场景中,“持续保护”使得用户不需要维护多个访问接口,即可实现使用一个访问控制策略来管理不同的云的资源,还能避免诸如分布式拒绝服务(DDoS)攻击等各类型网络攻击。部署“持续保护”具有诸多优势,包括有助于做出更精确的授权决定,缩小服务器的攻击面,兼顾更好的用户体验和更强的安全性等。

标准化的过程本身就意味着生态的建立,面对产业互联网时代更加严峻的安全挑战,安全行业依然需要更加体系化的安全标准,来促进生态共建,加快构筑新一代网络安全体系。为产业数字化夯实安全基础,依然任重而道远。

作者 网路游侠

游侠安全网,前身为网路游侠的信息与网络安全博客,站长张百川。专注:网络安全、系统安全、应用安全、数据库安全、运维安全,及网络安全、信息安全前沿技术研究与发展趋势分析。对关键信息基础设施安全防护管理平台、网络安全态势感知平台、网络安全协调指挥平台有一定关注。

陕ICP备11003551号-2