全球首個零信任國際標準釋出,解決了哪些關鍵問題?

騰訊安全發表於2021-12-02

編者按

標準化,是為了在一定的範圍內獲得最佳秩序,經協商一致制定並由公認機構批准,共同使用和重複使用的一種規範性檔案。這是三大國際標準組織ISO、IEC、ITU共同給標準下的定義。在任何領域,某項技術想要具備行業乃至世界影響力,“標準化”是必不可少條件。

作者:Misfire


日前,網路安全行業最為火爆的零信任理念迎來了由騰訊牽頭的全球首個國際標準——《服務訪問過程持續保護指南》。這意味著零信任理念及相關技術在全球範圍內首次建立了統一的話語體系和實踐規範,將推動全球零信任產業邁向更加開放和健全的生態協作模式,進一步夯實全球數字經濟發展的安全底座。


十年探索實踐 

零信任已成公認未來發展方向


零信任的概念起源於十年前,Forrester分析師約翰·金德維格指出了“預設信任是安全的致命弱點”這一事實,並提出了不再以一個清晰的邊界來劃分信任或不信任的裝置;不再有信任或不信任的網路;不再有信任或不信任的使用者的核心理念。

 

而零信任真正開始被廣泛認知,來自於谷歌的BeyondCorp專案。彼時,隨著雲技術越來越普及,大量員工在外網辦公,大量手機、PAD等新裝置出現,外協、臨時員工的加入,使得邊界變得沒有意義。谷歌破除內外網概念,透過與裝置為中心的認證、授權工作流,實現員工任何地點對資源的訪問,谷歌的做法也成為了眾多企業開展零信任實踐的參考。

 

時至今日,傳統網路邊界已經消失殆盡,零信任理念也被更多行業、組織認為是解決新時代網路安全問題的“萬全之策”。尤其是經過2020年疫情的催化,讓零信任需求進一步爆發。


騰訊企業 IT 安全架構師蔡東贇表示:“從安全趨勢上看,內網安全基於邊界的安全已經不是那麼牢不可破,數字化辦公發展導致沒有邊界內網。核心的爆發點還是來自於疫情帶來的物理隔斷,大家遠端辦公,這是最基本的適用場景,人們已經不得不使用零信任架構。”

 

據知名諮詢機構Gartner曾預測,到2023年,60%企業會逐步淘汰虛擬專用網(VPN)方式,採用零信任網路訪問來進行的遠端方案,從政府組織到商業實體,零信任架構在全球範圍內迅速擴張。

 

目前美國政府已經正式開啟零信任戰略。2021年5月,美國總統簽署了行政命令,強制要求政府部門全面邁向零信任架構。在隨後的《2022財年預算案》中,美國國防部要求撥款6.15億美元用於與零信任網路安全架構相關的工作。

 

在資本市場,海外已有多家零信任SaaS公司上市。其中的龍頭企業Okta,股價在過去四年間翻了十倍,市值從2017年上市首日的21億美元,達到如今的390億美元。

 

在國內,眾多安全廠商也紛紛佈局零信任。其中,騰訊自2016年起在內部自主設計、落地零信任安全管理系統——騰訊iOA,在多年的實踐錘鍊中,零信任安全管理方案實現了內網零事故的戰績,尤其是在2020年初疫情期間,騰訊iOA系統安全支援騰訊內部7萬名員工和10萬臺服務終端跨境、跨城辦公需求。


從理念到落地 

統一標準規範是重中之重


“經過十餘年的技術發展以及疫情遠端安全辦公應用需求的催化,零信任已經從概念走向了實施落地階段,接下來企業使用者最關注的其實是零信任如何落地的問題。”零信任產業標準工作組首席標準專家劉海濤表示。對於大多數企業來說,零信任架構的“落地”時機和方法依然存在諸多疑慮和爭議。

 

首先零信任並不是一種具體的技術,而是一種理念,實現零信任有多種框架和路徑,同時在市場的熱推下,有許多安全產品都打著零信任的幌子進行宣傳,這導致許多企業對零信任安全認知比較割裂,且千差萬別。

 

騰訊安全團隊在對外輸出零信任安全實踐時就遇到了這樣的問題。“大家認為的零信任根本不是一碼事。有人覺得這就是IAM,有人覺得零信任是動態口令,有人說是資料沙盒,甚至有拿上網行為管理系統的技術指標說要招標零信任產品。”

 

另外,零信任的落地需要對現有的安全體系進行改造,客戶從原有網路架構升級到零信任架構,完全重構成本極高,且許多機構的安全建設已有多年積累,在進行零信任改造時,對於如何與企業現有安全架構、安全產品/裝置結合,充分利舊,具有強烈的訴求。

 

騰訊企業IT安全架構師蔡東贇表示:“去適配每個客戶千差萬別的協議標籤會非常麻煩。透過標準化以及生態協同的助力,推動介面聯動,將大大提升服務商和客戶之間的合作效率,避免走彎路,同時還能減少後來者進入行業的難度,促進產業持續繁榮。”

 

最後,從安全廠商的角度來說,零信任安全生態建設,不可能由一個公司或者某幾個公司完全主導,要發揮整個行業的力量。“行業需要統一的標準為各個廠商確定技術邊界,服務商各自發揮自己擅長的技術並進行深入研究,促進整個生態的發展。”上海派拉軟體研發總監茆正華說道。


從“持續驗證”到“持續保護” 

不止換個詞那麼簡單


從理念到落地,零信任的未來發展不完全是技術或產品層面的問題,它同時跟企業的經營、規劃、長期發展的管理強相關,並且是一個持續最佳化的過程。技術與業務需求將雙輪驅動零信任產品的未來發展,制定匯聚產業共識的標準規範將能更好的促進產業協同發展。

 

通常來說,標準往往需要具備權威、普適、科學、實用四個特性。首先,必須由行業認可的權威機構批准釋出;其次,制定要經過利益相關方充分協商,並聽取各方意見;另外,標準來源於人類社會活動,其產生的基礎是科學研究和科技進步的成果,是實踐經驗的總結;最後制定目的是為了解決現實問題或潛在問題,在一定的範圍內獲得最佳秩序,實現最大效益。

 

此次由騰訊牽頭的全球首個零信任國際標準《服務訪問過程持續保護指南》,由國際三大標準機構之一的ITU-T批准釋出,在前期標準立項以及二次答辯過程中,均經受了眾多世界頂尖安全專家的審查,具備充分的權威性和普適性。

 

從科學性上來說,《服務訪問過程持續保護指南》源自於騰訊等多家中國企業落地零信任的最佳實踐經驗及技術總結。就騰訊而言,其自2016年就開始在內部展開零信任實踐,多年來實現了內網安全零事故併成功經受了疫情考驗,與此同時騰訊零信任解決方案已經在政務、醫療、交通、金融等多個行業成功應用,支援百萬終端裝置的安全接入。

 

最後,從實用性上,首個零信任國際標準的建立,對零信任理念及相關技術在世界範圍內的普及無疑具有重要的推動作用。而且,基於中國特色的零信任實踐總結,此次標準釋出還推動了零信任理念從“持續驗證”到“持續保護”內涵的升級。

 

具體來看,標準提出的零信任安全理念核心部分,打破了傳統基於網路區域位置的特權訪問保護方式,重在持續識別企業使用者在網路訪問過程中受到的安全威脅,保持訪問行為的合理性,以不信任網路內外部任何人/裝置/系統,基於持續的身份認證和安全評估對訪問進行授權控制,實現對訪問主體、訪問鏈路、訪問客體(服務)的整個訪問過程的多維度持續安全保護。

 

例如,在遠端工作場景、訪問多雲服務場景、伺服器與伺服器之間通訊的三大典型應用場景中,“持續保護”使得使用者不需要維護多個訪問介面,即可實現使用一個訪問控制策略來管理不同的雲的資源,還能避免諸如分散式拒絕服務(DDoS)攻擊等各型別網路攻擊。部署“持續保護”具有諸多優勢,包括有助於做出更精確的授權決定,縮小伺服器的攻擊面,兼顧更好的使用者體驗和更強的安全性等。

 

標準化的過程本身就意味著生態的建立,面對產業網際網路時代更加嚴峻的安全挑戰,安全行業依然需要更加體系化的安全標準,來促進生態共建,加快構築新一代網路安全體系。為產業數字化夯實安全基礎,依然任重而道遠。


相關文章