風口之下，零信任的未來清晰了嗎？

科技云報道原創(chuàng)。

隨著產(chǎn)業(yè)數(shù)字化升級和企業(yè)“上云”的不斷推進，零信任作為一種新安全理念，成為全球網(wǎng)絡安全的關鍵技術和大趨勢。

據(jù)MarketsandMarkets預測，零信任安全市場規(guī)模將從2019年的156億美元增長到2024年的386億美元，2019-2024年的復合年均增長率為19.9%。

在國內(nèi)，從零信任政策及標準逐步落地，到互聯(lián)網(wǎng)科技巨頭廠商積極布局，市場的火熱已顯而易見。有業(yè)內(nèi)人士預測，零信任現(xiàn)在還處于膨脹期，在未來的2-5年會成為一種主流方案。

風口之下，零信任的未來清晰了嗎？

什么是零信任？

作為2010年就被Forrester定義的安全模型，“零信任”正在成為不斷變化的現(xiàn)代工作場所的安全戰(zhàn)略指南。

正如美國國家標準與技術研究院（NIST）所總結的那樣，零信任是一套“將防御系統(tǒng)從靜態(tài)的基于網(wǎng)絡的周邊轉向關注用戶、資產(chǎn)和資源不斷發(fā)展的網(wǎng)絡安全范式”。

簡單地說，“零信任”意味著“什么都不相信， 驗證一切”。它要求任何用戶（公司內(nèi)部或外部）在獲準訪問系統(tǒng)、應用和數(shù)據(jù)之前必須經(jīng)過身份驗證和授權。

值得注意的是，“零信任”是一種理念，而不是一種技術。沒有單一的產(chǎn)品或解決方案能夠使企業(yè)獨自實現(xiàn)“零信任”。

目前來看，由美國國家標準委員會NIST于2019年對外公布的“SIM”（SDP、IAM和MSG），已成為行業(yè)公認的實現(xiàn)零信任的三大技術路徑。

在SDP中，客戶端首先進行多因素認證，認證設備的可靠性等。通過后，才進入用戶登錄階段。這兩步均是客戶端與IT管理員進行交互，不涉及對具體服務的訪問。當認證通過后，客戶端才能夠與可訪問的服務建立連接。

IAM具有單點登錄、認證管理、基于策略的集中式授權以及審計、動態(tài)授權等功能。它決定了誰可以訪問，如何進行訪問，訪問后可以執(zhí)行哪些操作等。

和傳統(tǒng)的IAM相比，除了對用戶身份的統(tǒng)一管理、認證和授權之外，現(xiàn)代化IAM還需要實現(xiàn)基于大數(shù)據(jù)和AI技術的風險動態(tài)感知與智能分析，對于用戶訪問的行為數(shù)據(jù)、用戶的特征和權限數(shù)據(jù)，以及環(huán)境上下文數(shù)據(jù)進行分析，通過風險模型自動生成認證和授權策略

微隔離是細粒度更小的網(wǎng)絡隔離技術，能夠應對傳統(tǒng)環(huán)境、虛擬化環(huán)境、混合云環(huán)境、容器環(huán)境下對于東西向流量隔離的需求，重點用于阻止攻擊者進入企業(yè)數(shù)據(jù)中心網(wǎng)絡內(nèi)部后的橫向平移。

零信任風口期到來

數(shù)字化轉型的加速和云計算的不斷普及，都推動了“零信任”理念的快速落地。

“零信任”應用場景不僅僅是遠程辦公，SaaS營運安全、大數(shù)據(jù)中心、云安全平臺等都是典型的應用場景。

任何企業(yè)網(wǎng)絡都可以基于“零信任”原則進行設計，大多數(shù)組織的企業(yè)基礎架構已經(jīng)具備了“零信任”的某些要素，或者正在通過實施信息安全、彈性策略和最佳實踐來實現(xiàn)“零信任”。

目前，“零信任”市場參與者較多，主要有四大類參與者：

另外，收購兼并成為目前“零信任”市場的主旋律。如思科、派拓、賽門鐵克、Unisys、Proofpoint這樣的巨頭玩家，多以收購的方式實現(xiàn)在“零信任”網(wǎng)絡訪問的縱深和業(yè)務的橫向布局。

可以看到，“零信任”已到來風口期，成為炙手可熱的網(wǎng)絡安全熱詞。但“零信任”概念誕生已有10年，為什么是現(xiàn)在得以爆發(fā)？

具體而言，零信任安全架構之所以能夠在近年來快速崛起，有三大優(yōu)勢不可忽視。

首先，是極限思想。零信任安全“不相信任何人/事/物”，不管其是什么級別、所處何種網(wǎng)絡。零信任的企業(yè)業(yè)務應用系統(tǒng)默認關閉所有端口，拒絕內(nèi)外部一切訪問，只對合法客戶端的IP定向動態(tài)開放端口，由此就可以直接避免任何非法的掃描和攻擊。

其次，是連續(xù)思想。零信任對外部的訪問，不是一次性驗證的，而是持續(xù)性驗證的，而且還會根據(jù)驗證、監(jiān)控的結果，對訪問進行信任評估和權限調(diào)整。這種“連續(xù)性的響應”，可以全程保證訪問都在管控之下。

再次，是最小化思想。最小化思想或者說最小化原則，在保證訪問“夠用”的同時，也極大地縮小了被攻擊的攻擊面；在此基礎上加之微隔離的手段，就可以最大程度地避免攻擊的范圍，以及阻斷攻擊的傳染性。

這種“思想”層面的領先型，或許才是零信任安全架構終將顛覆傳統(tǒng)網(wǎng)絡安全架構的最堅實底座。

零信任如何落地？

“零信任”讓網(wǎng)絡安全、網(wǎng)絡交付乃至整個IT行業(yè)，都有了新的興奮點。一場由“零信任”安全引發(fā)的網(wǎng)絡安全領域的劇變，即將來臨。

然而，形勢大好之下尚有一個不可否認的事實：就國內(nèi)而言，“零信任”的應用之路尚處于導入期。

因其搭建涉及到對企業(yè)現(xiàn)有網(wǎng)絡體系進行大幅改造等因素的影響，加之千變?nèi)f化的業(yè)務場景需求，決定了“零信任”的大規(guī)模落地實踐無法在短期內(nèi)一蹴而就。

如何破解建設瓶頸，深入“零信任”安全實踐，成為擺在數(shù)字化企業(yè)面前的共同之問。

雖然在網(wǎng)絡系統(tǒng)構建之初，將“零信任”作為系統(tǒng)的原生“基因”，是行業(yè)普遍認為最理想的構建之法，但“零信任”網(wǎng)絡安全框架的搭建并沒有唯一方法和標準?！傲阈湃巍卑踩珜嵺`并不意味著“推翻”，而是基于身份細顆粒度訪問控制體系的整合疊加。

然而，這一“整合疊加”并非簡單的“補丁”模式，甚至可能觸及企業(yè)原有網(wǎng)絡安全體系的根基，大量人力和成本投入真實可見。

因此，企業(yè)領導人的支持在此過程中就顯得尤為關鍵。對企業(yè)現(xiàn)有網(wǎng)絡安全需求進行全盤分析，既是明晰零信任構建之路、制定策略的關鍵，也是能夠成功說服領導人的有效之法。

當然，企業(yè)員工作為零信任安全框架的具體實施者，其能否實現(xiàn)思維方式的更新也是零信任安全體系能夠發(fā)揮應有效能所不容忽視的因素。

因此，圍繞“零信任”安全資深專家的專業(yè)培訓和教育，成為企業(yè)零信任落地實踐中不可或缺的重要部分，也是保持企業(yè)零信任安全架構以長期優(yōu)化機制，保有動態(tài)化、靈活化特征優(yōu)勢的關鍵所在。

此外，在零信任產(chǎn)業(yè)市場碎片化、生態(tài)分散化的大趨勢下，零信任的發(fā)展亟需行業(yè)生態(tài)來規(guī)范引導。只有聯(lián)合更多行業(yè)生態(tài)形成合力，攜手生態(tài)伙伴在相應的場景、環(huán)節(jié)建立相應的安全體系，才能真正實現(xiàn)網(wǎng)絡安全體系的轉變。

在此過程中，安全企業(yè)作為零信任安全方案和產(chǎn)品的提供者，其推動之力顯然是零信任安全落地實踐的重要引擎。安全企業(yè)通過不斷深化對技術路徑和方案的探索研究，才能讓更多的企業(yè)更為精準地找到最適合自身業(yè)務場景的“零信任秘方”。

總的來說，“條條大路通羅馬”，企業(yè)要做的就是結合自身傳統(tǒng)安全體系、身份、賬號、權限控制以及審計管理的現(xiàn)狀，找到最適合自身業(yè)務系統(tǒng)的最優(yōu)路徑。同時，也要聯(lián)合多方力量，共同探索“零信任”最佳實踐之路。

值得注意的是，安全行業(yè)一向以合規(guī)要求和業(yè)務需求為雙重驅動力。企業(yè)對“零信任”的業(yè)務需求已逐漸凸顯，若加上嚴格而有效的合規(guī)要求，即使改革成本大，“零信任”都會加速落地。

進入2021，從“零信任”開始的新網(wǎng)絡安全體系，或許真的將落地了。

來源：科技云報道

生成海報

免責聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評論性文章，所有文字和圖片版權歸作者所有，且僅代表作者個人觀點，與極客網(wǎng)無關。文章僅供讀者參考，并請自行核實相關內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。