公司类型
今年我们对所有被调研的厂商进行了如下分类:甲方零信任实践者、增加零信任业务的 原有安全厂商以及零信任领域的新兴创业公司。
由于零信任方案的落地需要与业务场景高度结合,作为自身拥有强大研发和安全能力的甲方企业,在这方面具有得天独厚的优势。自Google发表BeyondCorp系列论文至今, 已经有不少甲方公开了他们的零信任实践经验,为业内提供了良好的参考。也有一部分 企业在自身成功实践的基础上,将零信任方案或者产品商业化,从甲方优秀实践者转变 为零信任厂商。
增加零信任业务的原有安全厂商基于之前已有的通用技术积累和丰富的产品化经验、项目实施经验,通过对已有产品的适当改造和一定程度的技术创新,快速切入零信任市场。对于国内大多数既有通用安全合规需求,又希望通过零信任提升现有安全能力(而不是 彻底重建)的甲方来说,更倾向选择已经有过良好合作基础的此类厂商
另一类就是零信任领域的新兴创业公司,这类厂商更倾向把产品做精做专,也相对更愿 意迎合客户需求进行功能创新,因此也获得不少甲方的青睐。
被保护对象
零信任聚焦于保护“资源 ”,即本文所述“被保护对象”,包括组织拥有的全部数据、应用和IT 资产(设备、设施、工作负载等)。保护数据主要是指防止数据泄露和非授权访问;保护应用主要是应用程序的隐身、应用的细粒度动态权限管控、以及业务安全等;保护设备/设施/工作负载主要是指终端设备、基础设施或工作负载的隔离与保护,比如云主机、容器等工作负载之间的隔离与安全保护。考虑到API (应用程序接口)在数字化进程中所起的作用越来越大,而 API 安全问题导致的数据泄露事件也在不断增加,因此我们今年在被保护对象中增加了API 这一分类。保护API 主要包括API 安全代理与 业务隐藏、访问者身份鉴别和权限控制等。
组织在选择零信任策略执行点(PEP)组件时,首先应识别所需要保护的资源类型(如前所述)以及对资源的访问方式,例如用户访问业务应用、运维人员访问IT 资产、微服务之间进行API 接口调用、应用系统访问后台数据库,等等 。然后选择适当的防护产品,以代理或网关方式部署在被保护对象本地或前端,并配合零信任策略决策点(PDP) 实现对资源的动态保护。
业务场景
安全产品往往具有很强的场景化特征,在不同场景下选择合适的厂家是安全实施的第一步。跟去年相比较,我们今年增加了数据交换、企业多云战略、物联网等场景,这是因为数字化改革越来越深入,数据交换是数字经济的基础,数据往往掌握在不同部门、不同组织手里,只有把这些数据联合起来才能更好的发挥数据的价值。Gartner调查表明: 到 2022年底,35%的大型机构将通过正式的在线数据市场成为数据的卖家或买家,而 2020 年这一比例为25%. 这也说明数据交换市场正在放大,自然安全问题也会越来越明 显。而云化和物联网的发展,大家都能切身感受到。
上云还加快了SASE的发展,SASE是一种基于实体的身份、实时上下文、企业安全/合规策略 ,以及在整个会话中持续评估风险/信任的服务。SASE整合了软件定义网络和安全,安全即服务。根据Gartner的预计,到 2024 年,至少40%的企业将有明确的策略采用 SASE,高于 2018 年底的不到1%。
当我们的业务正在快速放大,安全问题往往会成为一个障碍。Gartner的研究预计到2022 年底 ,80%的云漏洞将来自客户配置错误,凭证管理不善或内部盗窃。避免这些缺陷的 最佳方法是使用自动化平台运行策略来确保安全合规性。安全厂家有责任为组织提供合 适的产品或者解决方案,推进业务的创新和变革。
业务类型
与去年相比,我们删除了测评 服务 ,但是增加了评估服务和治理服务。零信任是一个安全新概念,不同的厂商在零信任市场上提供的业务类型也有所不同,主要包括产品、服务和方案,业务类型体现了厂商的业务侧重点。标准产品解决相对比较明确的业务场景,它的特点是投入成本相对比较少,项目实施周期短,可控性高。服务指的是安全相关的一些咨询、评估等,当然厂商可能会有自己的一些工具配合人力服务。而方案一般是产品加服务的形式,形成一个整体解决方案,某些提供方案的厂商,可能也会使用其他厂 商的一些产品甚至服务,一般周期会比较长。
随着数字经济的高速发展,对于安全的诉求越来越高。根据ResearchDive最新发布的 报告显示,全球零信任网络安全市场规模从 2019 年的185.0亿美元增长到 2027 年的 667.413亿美元,从 2019年到 2027 年的复合年增长率为17.6%,而其中零信任整体解 决方案的市场份额将会越来越大。零信任从单一产品往平台、整体解决方案发展的趋势 越来越明显。对于甲方而言,选择合适的零信任厂商可以加速零信任改造,为业务赋能, 有助于数字化改革,同时从数字化改革中获取增量业务所带来的创收。
技术类型
跟去年相比,技术类型并没有调整,虽然技术不断发展,但零信任领域使用的主要技术还是SDP,IAM 和微隔离。IAM 作为身份治理的核心技术,SDP 解决南北向安全问题,微隔离解决东西向安全问题。其中有一个有趣的事情:微隔离产品入选了Gartner发布 的 2021 年 CWPP市场指南,说明数据中心内部东西向流量的安全问题越来越受重视。这跟 现在的系统越来越复杂,微服务、中间件、各种中台以及云部署有一定关系。
服务模式
零信任服务的部署模式取决于安全要求,和去年相比,没有做调整,主要包括私有化、云化以及混合模式。私有化的部署模式下相关的产品或服务以私有化的形式提供,相关的资源或服务由一个用户独占使用;云化通过公有云的形式为众多用户提供零信任服务,所有的用户共享公共的云资源;还有一种模式是同时支持私有化和云化服务的混合模式。不同的组织因为业务形态、数据的敏感程度、风险承受能力或监管的要求不同,而选择不同的服务模式。很多高监管行业的客户可能更倾向于选择私有化服务模式,将产品部署在自己的私有环境。公有云模式因为可以以云服务的形式服务于多个客户,可以节省相关的IT 基础设施成本支出,具有较高的性价比。但从调查来看,目前绝大多数的零 信任部署优先采用私有模式,说明大量的客户还是希望对平台有较强的管控力。
部署架构
零信任的经典部署架构主要包括:设备代理/网关部署、飞地部署、资源门户、沙箱、终端和探针等,相比去年,我们增加了“终端 ”。设备代理/网关部署架构PEP 位于资源上或资源前,网关作为资源的代理,与资源通信。飞地部署架构下网关位于某一资源飞地边界(如数据中心的边界)。资源门户部署架构PEP 充当用户请求网关(如公有云的资源管理门户、企业的办公门户站点等)。沙箱部署则是通过沙箱让程序隔离运行。除此以外还有部署与终端、核心交换机旁路部署、微隔离等形式。部署架构的选择很大程度上由业务场景决定 ,企业选择的部署模式需要结合实际的业务场景。从目前的落地情 况看 ,设备代理和终端这两种架构的部署模式占据了主流。
本文在编写过程中参考了 CSA 2021中国零信任全景图 再次表示感谢
更多关于零信任材料
NIST 零信任架构 中文版
产业互联网联盟 零信任实战白皮书 2019
安全牛 现代企业零信任安全构建应用指南研究报告 2021
6796
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
