信息化觀察網(wǎng)

據(jù)報(bào)道，美國國防部正在加緊其網(wǎng)絡(luò)安全工作，專門開設(shè)的零信任辦公室可能于近期開放。拜登政府今年5月份發(fā)布的加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)安全的行政令，要求每個(gè)機(jī)構(gòu)的負(fù)責(zé)人在60天內(nèi)制定實(shí)施零信任架構(gòu)的計(jì)劃。

近來，全球市場(chǎng)上，零信任的聲音越來越大。在國外，谷歌、微軟、思科等IT企業(yè)領(lǐng)銜布局零信任；在國內(nèi)，不僅奇安信、深信服、網(wǎng)宿科技等安全公司相繼圍繞零信任展開了激烈的角逐，騰訊、華為等一眾大廠也紛紛選擇重磅加碼，其火爆程度不言而喻。專家認(rèn)為，零信任有望成為網(wǎng)絡(luò)安全下一輪爆發(fā)點(diǎn)。

2021年零信任市場(chǎng)大額投融資事件（不完全統(tǒng)計(jì)）

零信任的核心價(jià)值：打破邊界

Forrester分析師約翰·金德維格（John Kindervag）在2010年首次提出的零信任概念包含三個(gè)核心觀點(diǎn)：一是不再以一個(gè)清晰的邊界來劃分信任或不信任的設(shè)備；二是不再有信任或不信任的網(wǎng)絡(luò)；三是不再有信任或不信任的用戶。“零信任”一經(jīng)亮相，迅速吸引了諸多安全專家的關(guān)注，但彼時(shí)并未在市場(chǎng)端激起太大浪花。直到2017年Google基于零信任安全的BeyondCorp項(xiàng)目成功驗(yàn)證了零信任安全在大型網(wǎng)絡(luò)場(chǎng)景下的可行性，業(yè)內(nèi)才開始普遍跟進(jìn)零信任實(shí)踐。新冠疫情的爆發(fā)是個(gè)顯著的轉(zhuǎn)折點(diǎn)，隨著網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻和新一代信息技術(shù)的普及，零信任的熱度驟增。

傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)，企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時(shí)，首先尋找安全邊界，把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)、隔離區(qū)等不同的區(qū)域，然后在邊界上部署防火墻、入侵檢測(cè)等安全產(chǎn)品。這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認(rèn)了內(nèi)網(wǎng)比外網(wǎng)更安全，因此一旦攻擊者潛入內(nèi)網(wǎng)，或者攻擊者本身被內(nèi)網(wǎng)信任，那么安全邊界就形同虛設(shè)。不同于這種以網(wǎng)絡(luò)為中心的防護(hù)思路，零信任建立的是以身份為中心，以識(shí)別、持續(xù)認(rèn)證、動(dòng)態(tài)訪問控制、授權(quán)、審計(jì)以及監(jiān)測(cè)為鏈條，以最小化實(shí)時(shí)授權(quán)為核心，以多維信任算法為基礎(chǔ)，認(rèn)證達(dá)末端的動(dòng)態(tài)安全架構(gòu)。它的核心目標(biāo)就是解決邊界問題帶來的安全風(fēng)險(xiǎn)。

相較而言，零信任的優(yōu)點(diǎn)在于其動(dòng)態(tài)綜合縱深安全防御能力，整個(gè)防護(hù)控制都基于身份，并對(duì)身份進(jìn)行持續(xù)確認(rèn)。在“網(wǎng)絡(luò)可能或已經(jīng)被攻陷、存在內(nèi)部威脅”的環(huán)境下，把安全能力從邊界，擴(kuò)展到主體、行為、客體資源，安全解決以前傳統(tǒng)邊界無法應(yīng)對(duì)的難題。奇安信副總工程師鄔怡在接受《中國電子報(bào)》記者采訪時(shí)指出：“零信任之所以爆火主要是因?yàn)檎麄€(gè)信息化環(huán)境從之前的‘以網(wǎng)絡(luò)為中心’變成現(xiàn)在的‘以數(shù)據(jù)為中心’，傳統(tǒng)的邊界防護(hù)模式已經(jīng)逐漸‘失靈’。”

根據(jù)IDC研究，隨著云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、5G等技術(shù)廣泛應(yīng)用到企業(yè)信息化建設(shè)和業(yè)務(wù)發(fā)展中，遠(yuǎn)程辦公、業(yè)務(wù)協(xié)同、分支互聯(lián)等業(yè)務(wù)需求快速發(fā)展，企業(yè)的員工、設(shè)備、合作伙伴以及客戶需要通過多種方式靈活接入企業(yè)業(yè)務(wù)系統(tǒng)，企業(yè)原有的網(wǎng)絡(luò)邊界逐漸泛化。這導(dǎo)致基于邊界的傳統(tǒng)安全架構(gòu)不再可靠，零信任成為一個(gè)必選項(xiàng)。

騰訊企業(yè)IT安全架構(gòu)師蔡?hào)|赟接受《中國電子報(bào)》記者采訪時(shí)分析稱：“從安全趨勢(shì)上看，內(nèi)網(wǎng)安全基于邊界的安全已經(jīng)不是那么牢不可破，數(shù)字化辦公發(fā)展導(dǎo)致沒有邊界內(nèi)網(wǎng)。核心的爆發(fā)點(diǎn)還是來自于疫情帶來的物理隔斷，大家遠(yuǎn)程辦公，這是最基本的適用場(chǎng)景，人們已經(jīng)不得不使用這種架構(gòu)。”

同時(shí)，云計(jì)算業(yè)務(wù)天然需要零信任。云計(jì)算的快速發(fā)展和普及應(yīng)用，包括應(yīng)用云化，基礎(chǔ)架構(gòu)的異構(gòu)化和混合化，業(yè)務(wù)的數(shù)字生態(tài)化以及接入網(wǎng)絡(luò)及設(shè)備的多元化都因素推動(dòng)了更多的企業(yè)開始通過部署零信任架構(gòu)來建立能夠適應(yīng)云時(shí)代的全新安全體系。

Forrester高級(jí)顧問谷豐指出，從最初的原型概念向主流網(wǎng)絡(luò)安全技術(shù)架構(gòu)演進(jìn)，從最初的網(wǎng)絡(luò)控制平面的微分段向涵蓋云邊端的訪問控制與網(wǎng)絡(luò)防護(hù)全場(chǎng)景演進(jìn)，零信任如今已經(jīng)成為新一代的安全架構(gòu)標(biāo)準(zhǔn)。零信任的興起不能簡單看作某種技術(shù)、產(chǎn)品的擴(kuò)展，而是對(duì)固有安全思路改變，這是它的核心價(jià)值點(diǎn)。

中國零信任市場(chǎng)尚未發(fā)育成熟

得益于云計(jì)算、大數(shù)據(jù)等技術(shù)的蓬勃發(fā)展，美國最早提出了零信任概念，且花費(fèi)了大力氣投入布局。從國家層面來看，美國國防部在零信任概念成型之前就已開始相關(guān)研究。2021年5月，美國政府發(fā)布的14028號(hào)行政命令《改善國家網(wǎng)絡(luò)安全》，宣布要將聯(lián)邦政府遷移到零信任架構(gòu)。隨后，《聯(lián)邦零信任戰(zhàn)略》《零信任成熟度模型》《云安全技術(shù)參考架構(gòu)》相繼出臺(tái)，組成了聯(lián)邦各級(jí)機(jī)構(gòu)的網(wǎng)絡(luò)安全架構(gòu)路線。如今美國最大安全公司不是防火墻類傳統(tǒng)公司，而是零信任SaaS公司。典型的零信任公司Okta市值達(dá)333.51億美元，遠(yuǎn)超傳統(tǒng)安全公司。

Okta發(fā)布的《2021零信任安全態(tài)勢(shì)》白皮書指出，2021年有82%的歐洲企業(yè)增加了在零信任建設(shè)方面的預(yù)算。另一家網(wǎng)絡(luò)安全廠商Gigamon的調(diào)研結(jié)果顯示，超過三分之二（67％）的歐洲組織已采用或計(jì)劃采用零信任框架以應(yīng)對(duì)不斷變化的威脅形勢(shì)。

企業(yè)零信任架構(gòu)部署情況

來源：Illumio調(diào)研報(bào)告

而在國外已經(jīng)實(shí)現(xiàn)規(guī)模化應(yīng)用的零信任，在中國落地時(shí)似乎有點(diǎn)“水土不服”。盡管工信部2019年發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》已將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。但目前來看，零信任市場(chǎng)發(fā)育成熟度仍有不足。

“相較于歐美國家，國內(nèi)在零信任方面仍處于起步階段。”谷豐分析稱，從技術(shù)及解決方案來看，國內(nèi)零信任產(chǎn)品本身在功能以及技術(shù)方面仍處于發(fā)展過程中，能夠提供零信任全面解決方案的提供方較為缺乏；從企業(yè)接受度來看，更多的企業(yè)處于初始的引入階段，只有少部分企業(yè)已經(jīng)部署了零信任產(chǎn)品和技術(shù)并在進(jìn)行優(yōu)化和完善。

對(duì)于企業(yè)自身而言，零信任的實(shí)現(xiàn)并非易事。鄔怡指出：“一方面，老舊設(shè)備改造比較麻煩。零信任不是傳統(tǒng)的網(wǎng)絡(luò)安全，它還深入到應(yīng)用安全和數(shù)據(jù)安全層面，需要對(duì)設(shè)備進(jìn)行改造和升級(jí)，工程量大。另一方面，零信任的實(shí)施成本相對(duì)較高。數(shù)據(jù)層面、應(yīng)用層面都要做到防護(hù)，控制措施越多越細(xì)，投入也會(huì)越高，并且，零信任還要對(duì)任何試圖建立訪問的人或物進(jìn)行持續(xù)驗(yàn)證，成本會(huì)繼續(xù)上升。”

此外，在企業(yè)選擇零信任產(chǎn)品或解決方案時(shí)，往往對(duì)零信任仍然存在一些顧慮，例如架構(gòu)過于復(fù)雜，內(nèi)部文化的沖突，會(huì)浪費(fèi)原有的安全資產(chǎn)等。谷豐認(rèn)為，缺乏掌握零信任的人才以及企業(yè)內(nèi)部的推動(dòng)者、缺乏提供覆蓋端和云安全性的全面解決方案、缺乏成熟的方法論體系、缺乏可借鑒案例等問題都會(huì)導(dǎo)致零信任“落地難”。

“從概念走向落地，零信任主要面臨平衡安全性，或者說可用性，與成本效益之間的挑戰(zhàn)。技術(shù)不是目前最大的挑戰(zhàn)，管理才是。”鄔怡認(rèn)為，零信任的構(gòu)建需要打破原有管理模式，不僅需要安全團(tuán)隊(duì)的加入，還需要協(xié)同業(yè)務(wù)團(tuán)隊(duì)等共同建立起良好的溝通機(jī)制；同時(shí)，零信任建設(shè)從本質(zhì)上來講是“一把手”工程，需要將整體建設(shè)深入到業(yè)務(wù)中去，不能僅存在于安全部門，這將涉及非常多管理問題，需要長期構(gòu)建才能真正落地。

“零信任相關(guān)技術(shù)仍需要持續(xù)的改進(jìn)，各技術(shù)模塊間的集成與協(xié)同仍需進(jìn)一步完善，其在企業(yè)側(cè)落地過程中不免仍將面對(duì)例如技術(shù)成熟度、產(chǎn)品和接口標(biāo)準(zhǔn)化，以及人員配合等方面的問題。”IDC中國研究副總監(jiān)王軍民指出，“向零信任網(wǎng)絡(luò)的轉(zhuǎn)型對(duì)于幾乎所有企業(yè)的網(wǎng)絡(luò)安全體系建設(shè)都是一次嚴(yán)峻的挑戰(zhàn)。”

零信任架構(gòu)建設(shè)不是”一鍵切換”

根據(jù)市場(chǎng)研究機(jī)構(gòu)Markets and Markets的報(bào)告，全球零信任安全市場(chǎng)規(guī)模預(yù)計(jì)將從2019年的156億美元增長到2024年的386億美元，從2019年到2024年的復(fù)合年增長率為19.9％。在此基礎(chǔ)上，開源證券預(yù)測(cè)，中性估計(jì)2024年我國零信任安全市場(chǎng)規(guī)模將達(dá)16.7億美元。零信任有望成為網(wǎng)絡(luò)安全下一輪爆發(fā)點(diǎn)。

國內(nèi)零信任市場(chǎng)規(guī)模預(yù)測(cè)

來源：開源證券研究所

要主動(dòng)把握機(jī)遇，但不可盲目追逐浪潮。王軍民表示：“零信任架構(gòu)的建設(shè)不是‘一鍵切換’能夠簡單實(shí)現(xiàn)的，需要長期規(guī)劃和建設(shè)，企業(yè)因?yàn)榱阈湃谓ㄔO(shè)而降低企業(yè)原有安全防護(hù)體系的投入是不明智的選擇，特別是零信任架構(gòu)建設(shè)前期，零信任理念還無法全面覆蓋企業(yè)所有業(yè)務(wù)系統(tǒng)和數(shù)據(jù)。”

他建議，企業(yè)在進(jìn)行了初期的試點(diǎn)應(yīng)用后，應(yīng)該充分利用技術(shù)提供商及其合作生態(tài)的整體方案能力，在零信任網(wǎng)絡(luò)架構(gòu)中更多的融入威脅情報(bào)、數(shù)據(jù)安全、網(wǎng)絡(luò)威脅態(tài)勢(shì)感知等能力，并增強(qiáng)威脅事件的可見性和自動(dòng)化響應(yīng)，以有效應(yīng)對(duì)不斷涌現(xiàn)的新興威脅。對(duì)于自身網(wǎng)絡(luò)安全技術(shù)能力和研發(fā)實(shí)力較強(qiáng)的企業(yè)，可以考慮在零信任架構(gòu)未來建設(shè)中逐漸增強(qiáng)自研產(chǎn)品和技術(shù)的融入，將零信任架構(gòu)建設(shè)成為具備更強(qiáng)自主研發(fā)能力的工程，更好的實(shí)現(xiàn)網(wǎng)絡(luò)安全與業(yè)務(wù)發(fā)展的融合。

參照起步較早的國外市場(chǎng)，零信任商業(yè)化落地較為成熟，SECaaS（安全即服務(wù)）已成主流交付。國內(nèi)也已經(jīng)有很多企業(yè)將零信任理念付諸實(shí)踐，大多零信任產(chǎn)品交付模式上仍以解決方案為主。蔡?hào)|赟認(rèn)為：“未來，我國零信任交付模式也有望逐漸向SECaaS轉(zhuǎn)變。”

目前全場(chǎng)景的零信任總體框架落地需求一般存在于大型、頭部客戶之中，例如大型央企、部委、大型銀行等，鄔怡建議，在統(tǒng)一的規(guī)劃牽引下，以3-5年為一個(gè)周期進(jìn)行整體的安全架構(gòu)遷移，將零信任逐步落地到各個(gè)業(yè)務(wù)場(chǎng)景中去；當(dāng)然，不少企業(yè)也選擇從一些局部場(chǎng)景切入，例如在遠(yuǎn)程訪問常態(tài)化背景下，零信任遠(yuǎn)程訪問能力是不錯(cuò)的切入點(diǎn)。