零信任:破局之路和最終歸宿

萬物互聯(lián)時代,零信任的流行很大程度上源于網(wǎng)絡(luò)邊界泛化帶來的安全風(fēng)險。其“持續(xù)驗證、永不信任”的理念徹底顛覆了基于邊界的傳統(tǒng)安全防御模型,能夠有效幫助企業(yè)在數(shù)字化轉(zhuǎn)型中解決曾經(jīng)難以解決的難題,也因此受到市場追捧。

2345截圖20211028093243.png

近來,國內(nèi)零信任市場迎來強(qiáng)勁風(fēng)口。騰訊牽頭發(fā)布全球首個零信任國際標(biāo)準(zhǔn),微軟發(fā)布零信任安全白皮書,英偉達(dá)推出零信任網(wǎng)絡(luò)平臺,零信任安全公司派拉軟件獲得數(shù)億元融資,安幾網(wǎng)安、持安科技等也相繼完成千萬元級融資……一時間,各路英雄齊聚零信任江湖,爭相探索破局之路。

全球入局者正在“跑馬圈地”

萬物互聯(lián)時代,零信任的流行很大程度上源于網(wǎng)絡(luò)邊界泛化帶來的安全風(fēng)險。其“持續(xù)驗證、永不信任”的理念徹底顛覆了基于邊界的傳統(tǒng)安全防御模型,能夠有效幫助企業(yè)在數(shù)字化轉(zhuǎn)型中解決曾經(jīng)難以解決的難題,也因此受到市場追捧。

從國外市場來看,在零信任市場“跑馬圈地”的路徑主要分為三類。谷歌是最早投入零信任安全架構(gòu)研發(fā)與實踐的公司,整整花了6年時間才在企業(yè)網(wǎng)實現(xiàn)了零信任落地。2020年4月,谷歌宣布完成其內(nèi)部使用的遠(yuǎn)程安全訪問零信任方案BeyondCorp的產(chǎn)品化,并在谷歌云服務(wù)上發(fā)布銷售。業(yè)內(nèi)專家指出,谷歌走的是一條典型的自用轉(zhuǎn)外銷的道路,通過內(nèi)部項目孵化實現(xiàn)技術(shù)溢出價值。微軟、阿卡邁(Akamai)等巨頭也走的是同一條路。

思科、派拓網(wǎng)絡(luò)、賽門鐵克(Symantec)、優(yōu)利系統(tǒng)(Unisys)等公司則是采用收購方式快速在零信任市場占領(lǐng)高地。以派拓網(wǎng)絡(luò)為例,其通過收購PureSec、RedLock、Twistlock等安全公司,快速實現(xiàn)了從網(wǎng)絡(luò)到云和負(fù)載的拓展,在2019年“Forrester Wave零信任報告”中成功躋身“零信任供應(yīng)商領(lǐng)導(dǎo)者”名單。

此外,還有一批獨(dú)角獸企業(yè)值得關(guān)注,如Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。它們以技術(shù)先進(jìn)性“出圈”,頗受資本青睞,成長潛力驚人。Zscaler自2018年上市至今,市值已從70億美元狂升至486億美元。Okta從2017年上市到如今,股價已大漲十倍以上,市值超過330億美元。

國內(nèi)大廠領(lǐng)銜流派分明

從國內(nèi)市場來看,谷歌BeyondCorp給中國零信任市場播下了最初的種子。參照谷歌的路徑,騰訊也選擇了自用轉(zhuǎn)外銷,從2015年開始自主設(shè)計、研發(fā)并在內(nèi)部實踐落地了一套零信任安全管理系統(tǒng)-騰訊ioA,通過SaaS模式和私有化部署交付。阿里云也推出辦公零信任解決方案,類似谷歌的BeyondCorp簡化版本。

“對于數(shù)據(jù)安全高度敏感的互聯(lián)網(wǎng)大廠是零信任的主要推動者。數(shù)據(jù)對他們而言是影響生存的核心機(jī)密,因此他們的自身驅(qū)動力強(qiáng)勁,多會選擇自研方式切入零信任領(lǐng)域。尤其在當(dāng)前安全形勢日益嚴(yán)峻、網(wǎng)絡(luò)攻擊頻繁發(fā)生的情況下,互聯(lián)網(wǎng)公司需要通過零信任來提升風(fēng)控水平。”一位不愿具名的資深專家稱。

傳統(tǒng)安全廠商非常注重自身安全能力的提升與建設(shè),零信任是大勢所趨也是必然選擇。奇安信副總工程師鄔怡在接受《中國電子報》記者采訪時表示:“奇安信的零信任策略是提供覆蓋全場景的解決方案,切入領(lǐng)域關(guān)鍵、程度深入。同時,奇安信對零信任的認(rèn)知更有高度,安全服務(wù)能力方面也更具優(yōu)勢。”據(jù)了解,奇安信是國內(nèi)最早一批零信任身份安全倡導(dǎo)者之一,已經(jīng)在超過百家部委、金融機(jī)構(gòu)和大型央企進(jìn)行了零信任的實踐,并多次獲得Forrester、Gartner等國內(nèi)外知名研究機(jī)構(gòu)推薦。

在捕捉“技術(shù)熱點”方面,IT綜合服務(wù)商也不甘示弱。據(jù)了解,新華三認(rèn)為零信任將成為當(dāng)前應(yīng)對安全挑戰(zhàn)的最佳思路,因此將其納入安全業(yè)務(wù)一大重點。“在零信任賽道上,新華三的差異化優(yōu)勢主要體現(xiàn)在三個方面:一是云管邊端一體化協(xié)同防護(hù)理念;二是自動化響應(yīng)能力;三是AI智能化控制。”新華三安全產(chǎn)品線研發(fā)總裁王其勇對《中國電子報》記者介紹道。目前,新華三零信任安全解決方案已在金融、教育、政府等行業(yè)多有實踐。

從技術(shù)路徑來看,入局者的探索方向不盡相同。“目前國內(nèi)做零信任的安全廠商有幾大流派:一些公司,如奇安信、竹云是從身份認(rèn)證角度切入零信任賽道;一些公司從傳統(tǒng)遠(yuǎn)程辦公,也就是VPN角度切入,如深信服推出了零信任VPN;一些公司從傳統(tǒng)網(wǎng)絡(luò)安全層面切入,如華為下沉到了網(wǎng)絡(luò)層面的防護(hù);還有一些公司從微隔離角度切入。由于是面向泛行業(yè)和多場景都適用的解決方案,零信任的市場極大,應(yīng)用點有很多。”芯盾時代研發(fā)副總裁陳曦曾表示。

零信任的三大核心技術(shù)是軟件定義邊界、身份權(quán)限管理、微隔離,對于在網(wǎng)絡(luò)安全領(lǐng)域早有積累的廠商來說技術(shù)并非難事,落地問題才是關(guān)鍵。專家認(rèn)為,入局者“跑馬圈地”的關(guān)鍵在于如何突破國內(nèi)市場落地場景難找準(zhǔn)、現(xiàn)有安全體系改造難、持續(xù)管理難、實施效果和價值評估難、用戶使用習(xí)慣改變難等瓶頸。“誰先找出一條適合中國市場的商業(yè)化路徑,誰就有機(jī)會掌握話語權(quán)。”

SASE或ZTE孰為實現(xiàn)路徑?

業(yè)界普遍認(rèn)為,F(xiàn)orrester提出的零信任是近十年來最重要的安全創(chuàng)新理念。零信任的重要性被充分認(rèn)知之后,Gartner提出了SASE(安全訪問服務(wù)邊緣)模型,而緊接著Forrester提出ZTE(零信任邊緣)模型。這兩個模型被認(rèn)為是從邊緣側(cè)實現(xiàn)零信任的有效途徑,在業(yè)內(nèi)掀起熱烈討論。相較而言,SASE強(qiáng)調(diào)網(wǎng)絡(luò)和安全緊耦合,所以要求單一提供商提供全套SASE產(chǎn)品;ZTE強(qiáng)調(diào)網(wǎng)絡(luò)和安全解耦,認(rèn)為可以多個供應(yīng)商集成。實施路線方面,SASE強(qiáng)調(diào)網(wǎng)絡(luò)和安全同步走;ZTE強(qiáng)調(diào)零信任先行,網(wǎng)絡(luò)重構(gòu)滯后。

數(shù)篷科技CTO楊一飛認(rèn)為,SASE的主要需求來自端到云的訪問中對網(wǎng)絡(luò)優(yōu)化和安全保障能力的需求。當(dāng)一個企業(yè)具備多個(跨地域)分支機(jī)構(gòu),并且擁有多個自建云和租用云時,實現(xiàn)多云、多業(yè)務(wù)、多地的互相訪問對于網(wǎng)絡(luò)和安全的高需求是顯而易見的。

“零信任邊緣將完全融合網(wǎng)絡(luò)和安全,將零信任安全原則和軟件定義網(wǎng)絡(luò)結(jié)合成一套內(nèi)聚的云交付和托管服務(wù)。雖然零信任邊緣致力于解決分布式企業(yè),但提供更快、更敏捷的服務(wù)的解決方案必須建立在兩個基本要素上:一是基于云的網(wǎng)絡(luò)和安全管理;二是基于云的監(jiān)控和分析。”Forrester高級顧問谷豐對《中國電子報》記者解釋道,“連接所有用戶和應(yīng)用程序是零信任邊緣的最終狀態(tài),無論系統(tǒng)是在本地、在云中、在私有云中,還是在遠(yuǎn)程工作。”

有觀點認(rèn)為,F(xiàn)orrester的邊緣安全推進(jìn)策略,顯得相當(dāng)務(wù)實,也更加重視零信任。相比之下,Gartner的邊緣安全推進(jìn)策略,就太理想化了。但也有觀點認(rèn)為,無論是SASE還是ZTE,最終目的“殊途同歸”,實現(xiàn)邊緣數(shù)據(jù)安全將成為零信任相關(guān)產(chǎn)品的主要落地方向。

王其勇表示,SASE和ZTE應(yīng)該是并存的。相較而言,中小型企業(yè)更傾向于采用SASE模型進(jìn)行零信任網(wǎng)絡(luò)安全架構(gòu)建設(shè)或改造,大型企業(yè)更愿意選擇ZTE模型降低原有網(wǎng)絡(luò)安全架構(gòu)的改造成本。

取代VPN成為網(wǎng)絡(luò)安全未來?

自零信任大火以來,關(guān)于其是否會取代傳統(tǒng)虛擬專用網(wǎng)絡(luò)(VPN)成為網(wǎng)絡(luò)安全未來的討論聲從未停歇。VPN指的是一種在公共網(wǎng)絡(luò)上建立專用數(shù)據(jù)通道的技術(shù),在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。它通過對數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實現(xiàn)遠(yuǎn)程訪問,可以簡單理解成是虛擬出來的企業(yè)內(nèi)部專線。相較而言,VPN側(cè)重于解決不可信鏈路上的安全通信問題,而零信任架構(gòu)在確保鏈路安全可信之余,核心解決端到端的安全防護(hù)、訪問控制權(quán)限等問題。

“我們認(rèn)為零信任取代VPN是一個大趨勢,只是時間早晚的問題。從用戶體驗而言,零信任是在VPN的基礎(chǔ)上實現(xiàn)以身份為中心細(xì)顆粒度的訪問控制和動態(tài)授權(quán),相當(dāng)于VPN的加強(qiáng)版,可以將網(wǎng)絡(luò)攻擊的打擊面控制在更小范圍內(nèi)。實際上,目前很多大型企業(yè)、運(yùn)營商、傳統(tǒng)VPN廠商等都已經(jīng)在向零信任方向進(jìn)行切換了。”王其勇表示。

“現(xiàn)階段零信任和傳統(tǒng)VPN并存,主要受限于機(jī)構(gòu)進(jìn)行零信任改造、升級的速度。”騰訊企業(yè)IT安全架構(gòu)師蔡東赟指出,“從長遠(yuǎn)來看,零信任解決方案將會替代傳統(tǒng)VPN的全部功能和適用場景,而部分傳統(tǒng)VPN產(chǎn)品可能會根據(jù)零信任理念擴(kuò)展升級成為零信任的核心組件。”根據(jù)Gartner預(yù)測,到2023年將有60%的VPN被零信任取代。

鄔怡則認(rèn)為,零信任與VPN不是同一個層面的概念,不能簡單地認(rèn)為零信任是替換VPN的一個技術(shù)或產(chǎn)品。“一方面,零信任仍然會使用VPN類似的加密傳輸技術(shù)確保數(shù)據(jù)傳輸安全;另一方面,在遠(yuǎn)程訪問這個場景下,建議基于零信任對遠(yuǎn)程訪問安全進(jìn)行增強(qiáng),或者說,遠(yuǎn)程訪問安全方案應(yīng)該基于零信任去構(gòu)建,需要符合零信任原則和能力要求。”他說。

“從遠(yuǎn)程安全訪問角度看,零信任理念的產(chǎn)品除具備VPN能力外,還具備更為細(xì)粒度的管控能力。”IDC中國研究副總監(jiān)王軍民表示,“現(xiàn)有的零信任相關(guān)產(chǎn)品還無法替代site to site(端到端)方式的VPN產(chǎn)品,兩者之間有共性也有差異,互補(bǔ)性的融合是未來發(fā)展的一種趨勢。”

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論