本文转载自“安在”微信公众号
零信任作为近年来在安全圈持续火热的概念之一,自诞生起就被誉为能够解决“一切安全问题”的终极手段。据Gartner的研究显示,零信任网络接入(ZTNA)将成为全球增长最快的网络安全细分市场,在2022年增长36%。而在《零信任发展洞察报告(2022)》显示,我国金融与电信行业在近三年落地零信任的企业逐年增长,越来越多的企业认可零信任架构所提供的安全防护能力。
此外,由于国内HW行动涉及的单位越来越广,对抗演练越来越贴近实际情况,很多企业的VPN设备及暴露在外部的应用被打穿,导致系统被攻破。因此,VPN设备已经等同于非常危险的基础设施。在此背景下,各甲方企业不得不寻找VPN的替代品,零信任成为企业的第一选择。
在供给侧方面,据《零信任发展洞察报告(2022)》显示,国内零信任供应商围绕网络环境安全、终端安全、应用安全和负载、数据安全及安全管理这六大领域建设,零信任生态环境已经建立,大部分国内安全厂商的零信任能力基本成熟
然而,这也导致国内零信任赛道呈现拥挤态势。由于疫情导致的远程办公和“去VPN”化让零信任市场得到了发展的空间,越来越多的安全厂商加入零信任赛道。当下,至少有80%的厂商声称拥有零信任相关产品,在零信任相关的各个领域中,都有安全厂商在寻求突破。
虽然国内零信任市场已经初具规模,但当下的零信任产品在成熟度方面还有进步的空间。这是因为国内零信任起步较晚,国内安全市场环境与国际环境又有所不同,导致国内零信任产品参差不齐。据某厂商专家表示,由于零信任在国内发展较晚,多数厂商沿用过去的产品路径开发零信任产品,过去做网关的厂商,其零信任产品在网关方面比较强,同理,过去做终端的厂商其零信任产品在终端方面比较强。
组织建立零信任架构就像搭起一栋房屋,网关、端点、身份、软件等等就像组成屋子的各个部分,任何一部分的缺失都会让这间屋子失去遮风挡雨的能力。因此,如何全面地推动和建设零信任架构就成为很多组织和厂商的一个重要问题。
对此,联软科技副总裁及联合创始人张建耀表示,全网零信任是解决当下零信任架构不完整、不全面、不均衡的主要方式之一。
全网零信任是什么?
众所周知,零信任概念早在2010年就被Forrester的分析师John Kindervag所提出。起初这一概念并没有得到广泛推广,直到云计算开始发展,微服务,大数据,移动计算等新一代信息化建设得到发展动力,组织的传统物理网络边界变得模糊,零信任开始得到重视。2017年谷歌对外宣布其基于零信任架构实践的新一代企业网络安全架构Beyound Corp项目成功完成,这为零信任在大型,新型企业网络的实践提供参考架构。这一最佳实践为零信任理念发展的助推剂,也进一步促进了零信任市场的形成。
据张建耀介绍,全网零信任就是基于谷歌的实践得来的。全网零信任本质上与其他零信任产品没有太大区别,冠以全网二字是因为当下80%的零信任产品基于互联网侧去访问服务器和内网资源,对于外网、云访问等场景力有不逮。而联软是具备从办公区域的内网、外网、云等全场景访问的安全供应商,其所带来的全网零信任架构更加综合、全面。
全网零信任的全面性意味着它几乎适合所有行业,特别是对网络支撑运营要求较高的用户,例如金融、政府、运营商等等。从场景来看,全网零信任分为三大场景,第一大场景是针对内网设备接入,也就是将传统的网络准入控制升级为基于零信任架构的内网访问控制。这个场景的覆盖面最大,因为大部分企业和大部分员工都会通过内网接入。第二大场景是传统的远程接入场景,无论是分支机构还是远程办公的BYOD,都可以通过全网零信任架构进行统一的管控和检测。第三大场景是混合云场景,以零信任架构对用户接入云平台应用的各个环节,包括安全认证、身份识别等进行控制。
全网零信任同其他零信任产品最大的区别在于其核心组件具备内网网络准入控制的能力。常见的零信任产品对待内网设备和外网设备的策略是一致的,即在设备通过SDP网关时对其验证。这种验证方法虽然有效,但细粒度并不够。对此,联软的全网零信任仿照谷歌的实践类型,将内网网络准入同互联网侧接入策略分隔开。设备接入前需要先验证基础安全,才能允许接入内网。细粒度的进一步增加让全网零信任的控制性更强,更能精准把控组织内网和设备准入安全。
联软科技的三大优势
通过上述介绍可以看出,全网零信任相对于其他零信任产品来说更为全面,对组织的安全也更有保障。但对于用户来说,一款产品或解决方案的好坏不单单只参考其性能,还要考虑包括成本、落地等很多因素,对此,张建耀表示,联软在全网零信任方面有三大优势。首先联软是中国端点安全的领导者,具备大量的用户积累。同时,由于联软的全网零信任架构基于企业安全平台(ESPP)之上,在这个平台上还包括SDP、EMM、NAC、EPP、EDR以及DLP等等。因此,企业想要升级零信任就变得非常简单。对于内网准入控制而言,组织只需要进行一次升级就可以顺利过渡到全网零信任架构,而对于外网来说,组织需要一步步替换掉所有VPN,然后将原有的VPN访问切换到基于零信任架构的SDP框架中。
第二个优势是联软解决核心问题的能力。企业在建设零信任的过程中,真正的痛点是数据安全。对此,联软通过沙箱和虚拟化的技术形成了一系列的数据安全方案,能够真正解决用户的数据安全问题。另外,基于零信任架构的复杂性和丰富性,企业若想实现SDP、IAM以及微隔离等全方面的零信任,就需要从身份问题入手。对此,联软在全网零信任架构后增加了一个简化版的IAM,利用IAM的密码、双因素等方面的功能进一步解决身份问题。同时,联软还将IAM访问哪些业务系统,应用哪些数据等配置方面交给专业的IAM厂商,在促进国内零信任生态发展的同时,最大程度保障组织身份安全。
第三个优势就是联软在生态方面的优势,联软同很多业内头部的安全企业合作,并参与了很多标准的建设。联软是最早一批的CSA联盟成员,并深度参与过早期的SDP标准建设。此外,联软还同华为、Forrester等企业发布了《零信任最佳实践》白皮书,就零信任架构的关键价值,零信任架构的识别部署以及应用案例等进行了深入的讨论。
在标准方面,联软还参与了国家信息中心的《政务外网终端一机两用安全管控技术指南》标准的编写。国家信息中心作为主管部门,在监管全国政务外网中发现政务系统存在着大量的“跨网访问”现象,政务外网终端可同时连接外网和互联网,存在着极大的风险。在“一机两用”标准的推动下,各政务利用零信任架构将政务外网与互联网相互隔离,解决了政务系统的跨网攻击、数据泄露等安全隐患。在参与建立标准的过程中,联软的全网零信任得到了充分的实践经验,在政企用户中也得到了广泛的认可。
除了政企行业,联软的全网零信任在金融、运营商等行业都得了落地和实践。据张建耀介绍,在金融行业中,有7成以上的企业应用了联软的准入系统,近20万个实践案例让这些用户在向零信任转型的过程中,优先考虑联软的全网零信任架构。
全网零信任如何落地
当然,由于各行业及企业的实际情况不同,在落地零信任时所关注和考虑的重点也不同,多行业案例虽然能够证明产品的广泛性,但对于用户而言,如何切实解决问题才是重点。对此,张建耀表示,联软经过多年的实践和探索,已经初步形成了一套完整的零信任落地方案。
首先是组织引入零信任安全的最佳时机。当下有许多企业受制于安全环境和国内监管压力,不得不采纳零信任架构。但零信任架构需要完整可用,而完整意味着成本。对此,张建耀认为,企业推动零信任需要一个时机,这个时机来自于组织数字化转型时所遇到包括云化、移动化导致访问不可控、身份不可辨、资源不可查等等问题。以“去VPN”为例,组织可以通过替换VPN来逐步将零信任纳入安全架构中。然后再一个系统一个系统逐步推动零信任的建设,最终形成整体的零信任架构。
其次是做好总体规划。零信任架构不是一款产品,一套针对性地解决方案,而是彻底地改变整个组织的访问场景和网络环境,因此,在建设零信任之前,组织需要提前做好总体规划,确定零信任架构的最终状态,不能摸着石头过河。但是,在总体规划向实际落地的过程中有两个难点,第一是数据安全,大多数零信任方案是没有考虑数据安全的,特别是在云化和移动化之后,组织需要考虑如何保护数据,如何让数据落地等等。第二是信创,信创所带来的操作系统给很多零信任产品带来了兼容性方面的挑战,零信任厂商既要满足Windows、Mac,还要满足信创系统,其架构系统的复杂度非常高。
张建耀表示,上述经验虽然是一家之言,但也是联软通过大量客户总结和累积的经验。目前,联软的内网准入设备装机量已经达到2000万台终端,升级到全网零信任架构的用户也非常广泛。换言之,联软的全网零信任架构不仅得到了实践经验,其架构的领先性也得到了证实。
尾声
2023年被不少专家和厂商认为是零信任的“发展大年”,其根本在于一方面越来越多的企业加入云化和移动化,企业对于身份权限的要求越来越高;另一方面是疫情结束后各厂商无论是安服还是线下营销都可以正常开展。
对于国内零信任越来越火热的趋势,张建耀表示,联软已经做好了充足的准备。在信创方面,联软目前已经适配了国内主流的操作系统例如统信、麒麟等等;在数据安全方面,联软已经能够解决客户的大部分场景;在安全分析方面,联软此前发布的EDR等相关产品已经能够帮助用户解决安全分析、入侵检测、防勒索、防钓鱼等等;在IAM方面,联软已经将其融入到全网零信任的框架中。即便如此,张建耀认为,联软还有进一步发展的空间,未来,联软科技将在这四个方面继续布局,为用户提供能力更强大的全网零信任产品。
期待全网零信任的推出能够改变国内零信任市场环境,让用户能够更便捷、更全面地应用零信任架构及产品,让更多企业的安全架构步入零信任的新阶段。