零信任技术国内整体发展增速,相对国外技术发展更为平缓,在2017年Google基于零信任安全的BeyondCorp项目取得成功,验证了零信任安全在大型网络场景下的可行性,业界也幵始跟进和开展零信任安全实践。国内零信任概念随着数字化信息安全防御旧时代结束,由互联网巨头带领下在2015 年逐渐出现在公开舞台。但相对于国外,整体行业还处于探索阶段,未来有望高速增长。
以身份为中心进行动态访问控制
零信任架构的本质是一次(身份管理)安全范型的转移或者变革。因此成功实施零信任架构的决定性因素并非厂商或产品,而是企业CISO自身对零信任架构概念、方法和实践路径的理解。
零信任架构原则:
-
将身份作为访问控制的基础
零信任架构对网络、设备、应用、用户等所有对象赋予数字身份,基于身份来构建访问控制体系。
-
最小权限原则
零信任架构中强调资源按需分配使用,授予的是执行任务所需的最小特权,并限制资源的可见性。
-
实时计算访问控制策略
零信任的授权决策根据访问主体的身份、权限等信息进行实时计算,形成访问控制策略,一旦授权决策依据发生变化,将重新进行计算,必要时将即时变更授权决策。
-
资源受控安全访问
零信任架构对所有业务场景及资源的每一个访问请求都进行强制身份识别和授权判定,符合安全策略才予以放行,实现会话级别的细粒度访问控制,同时所有的访问连接均须加密。
-
基于多源数据进行信任等级持续评估
零信任架构中访问主体的信任等级是根据实时多源数据(如身份、权限、访问日志等)计算得出,人工智能技术提高了信任评估策略的计算效率,实现零信任架构在安全性、可靠性、可用性及成本方面的综合平衡。
零信任结构框架图
“SIM”,即SDP (软件定义边界)、IAM (身份与访问管理)、MSG (微隔离)是实现零信任架构的三 大关键技术。
零信任架构三大关键技术
国外市场达到规模化实践
海外零信任市场入围较多选手,实现路径各显神通
-
谷歌和微软两大巨头率先在企业内部实践零信任并推出完整解决方案。
-
Duo、OKTA、Centrify、Ping Identity推出以身份为中心的零信任解决方案。
-
Cisco、Akamai、Symantec、VMware、F5以偏重于网络实施方式的零信任方案。
-
Vidder、Cryptzone、Zsclar、illumio 等初创公司。
在海外零信任行业中,头部企业以谷歌为例
BeyondCorp实现的核心是引入或扩展网络组件,例如单点登录,访问代理,访问控制引擎,用户清单,设备清单,安全策略和信任库。这些组件协同工作,以维护三个指导原则:
1) 特定的网络连接不得确定用户可以访问哪些服务
2) 根据对用户和设备的了解来授予对服务的访问权限
3) 所有对服务的访问都必须经过认证、授权和加密
腰部公司以Okta为例
Okta是一个身份资产管理平台(IAM)。它是身份验证和授权的领导者,它提供安全访问并使用户能够在零信任环境中安全地使用技术。
初创公司以lllumio为例
lllumio是一家专注于动态数据中心和云平台安全的初创公司。lllumio通过构建独特的自适应安全架构,可自内而外地安全监控和防护每个工作单元或应用,而不是基于传统的边界防护,如防火墙。公司主要利用自适应微分隔技术(adaptive micro-segmentation)防止泄露在数据中心和云中扩散。
国内市场处萌芽阶段
根据对国内云厂商和安全厂商关于零信任解决方案的调研发现:
-
国内厂商注重零信任解决方案研发与落地实施,零信任生态已小有规模,安全厂商从自身安全专项产品优势出发,推出有技术侧重的零信任解决方案,云厂商则利用自身基础设施供应 能力强且用户体量大的优势,率先进入较全面的零信任解决方案市场。
-
各个厂商具备多项零信任安全的核心技术,这些核心技术均由商业化的产品提供技术支撑,再配合相关技术共同组建零信任解决方案。
案例
案例一:政府部门数据中心的运维保障案例
未改造前该应用的端口是开放的,容易受到攻击。特别是在重保期间,敏感业务和敏感数据,很容易被利用和攻击。通过SDP技术,可以把这些敏感应用的端口进行有效的隐藏,并且通过MFA技术让访问者进行多因素实名认证确保访问安全。通过最小授权化,让访问者每次都要通过动态端口去访问到敏感的应用,保证了整个访问链路不可窥探,保障每次业务访问和数据访问的安全。
案例二:知名的地产企业远程移动办公场景案例
2020年疫情以来,很多企业都有灵活办公地点的需求,企业的诉求是能够支持自带设备(BYOB设备)远程办公。除了 windows传统的办公终端,也需支持macOS、安卓和 iOS等各种终端系统。所以对接入的身份需要进行MFA多因素认证,以及最好能够实现免密登录。通过腾讯SDP 实现了泛终端的接入安全管控,对应用服务器釆取连接器的接入方式,无论应用是在公司内网还是在云侧都能够连接到。通过手机发起多因素认证,包括企微的账号、OTP token和人脸识别、指纹识别等组合进行动态身份验证,防止客户通过移动端访问时,会碰到像网络WiFi钓鱼以及手机被威胁软件劫持等问题,实现了灵活办公和安全的双要求。