本文來自科技云報(bào)道。
三年的國內(nèi)疫情防控,讓很多行業(yè)已經(jīng)習(xí)慣了遠(yuǎn)程辦公。從疫情剛爆發(fā)時(shí)的手忙腳亂,到如今的淡定管理,遠(yuǎn)程辦公已經(jīng)內(nèi)化為企業(yè)辦公的一種常態(tài)模式。
但隨著越來越多的員工以遠(yuǎn)程方式接入,訪問公司內(nèi)部的辦公和生產(chǎn)系統(tǒng),企業(yè)在傳統(tǒng)辦公模式下的安全邊界瞬間被打破了。
由于員工的訪問行為不再局限于企業(yè)內(nèi)網(wǎng),接入設(shè)備也再不局限于企業(yè)資產(chǎn),企業(yè)數(shù)據(jù)會(huì)在不同設(shè)備、內(nèi)外網(wǎng)之間頻繁流動(dòng),大大增加了企業(yè)應(yīng)用安全和數(shù)據(jù)泄露風(fēng)險(xiǎn)。
如何保障遠(yuǎn)程辦公的安全問題,成為疫情下眾多行業(yè)的關(guān)注焦點(diǎn)。
零信任在國內(nèi)迎來高速發(fā)展
據(jù)IDC研究顯示,隨著遠(yuǎn)程辦公、業(yè)務(wù)協(xié)同、分支互聯(lián)等業(yè)務(wù)需求快速發(fā)展,企業(yè)的員工、設(shè)備、合作伙伴以及客戶需要通過多種方式靈活接入企業(yè)業(yè)務(wù)系統(tǒng),導(dǎo)致基于邊界的傳統(tǒng)安全架構(gòu)不再可靠,零信任成為一個(gè)必選項(xiàng)。
近幾年零信任理念在技術(shù)圈非常火爆,以“持續(xù)驗(yàn)證,永不信任”為核心理念的零信任成為全球網(wǎng)絡(luò)安全領(lǐng)域的熱點(diǎn)話題,國內(nèi)外無論是政府還是企業(yè),都開展著大量的零信任研究和實(shí)踐。
據(jù)ResearchAndMarkets研究報(bào)告顯示,2020年,美國零信任安全市場(chǎng)規(guī)模約為54億美元,預(yù)計(jì)在2020年-2027年,年復(fù)合增長(zhǎng)率約為19%;作為世界第二大經(jīng)濟(jì)體中國,預(yù)計(jì)到2027年零信任將達(dá)到111億美元的市場(chǎng)規(guī)模。
巨大的市場(chǎng)潛力,吸引了騰訊、阿里、華為、深信服、奇安信、綠盟等國內(nèi)互聯(lián)網(wǎng)和安全廠商的紛紛布局,同時(shí)也誕生了近百家以零信任為基礎(chǔ)的初創(chuàng)安全公司。
零信任市場(chǎng)的欣欣向榮,讓不少人認(rèn)為2021年是國內(nèi)零信任發(fā)展的元年。
但反觀用戶市場(chǎng),對(duì)于零信任的落地卻不那么篤定。
業(yè)界普遍認(rèn)為零信任落地難點(diǎn)表現(xiàn)在幾個(gè)方面:一是,難以找準(zhǔn)落地場(chǎng)景;二是,難以改造現(xiàn)有安全體系;三是,成本高、投入大,難以持續(xù)管理;四是,難以評(píng)估實(shí)施效果和價(jià)值;五是,用戶的使用習(xí)慣要改變。
總的來說,零信任的成功落地需要“找準(zhǔn)落地場(chǎng)景”,“厘清零信任與安全、業(yè)務(wù)的關(guān)系”,不僅需要用戶側(cè)對(duì)于業(yè)務(wù)和場(chǎng)景的理解,還需要零信任方案對(duì)傳統(tǒng)網(wǎng)絡(luò)安全框架有便捷的適配,并用輕量化的方式降低用戶的建設(shè)和維護(hù)成本,幫助用戶完成新一代網(wǎng)絡(luò)安全框架的轉(zhuǎn)型。
但從目前國內(nèi)零信任行業(yè)發(fā)展水平看,實(shí)屬魚龍混雜。很多產(chǎn)品算不上真正的零信任解決方案,只是傳統(tǒng)的安全產(chǎn)品換了個(gè)包裝;還有一些廠商暫時(shí)處于產(chǎn)品自用的階段,并沒有真正實(shí)現(xiàn)商業(yè)化,還在探索如何去落地外部客戶。
這種行業(yè)亂象也在一定程度上加深了企業(yè)用戶對(duì)于零信任的“不確定感”。
遠(yuǎn)程辦公成為零信任的
最佳切入點(diǎn)
盡管零信任在國內(nèi)存在“供給偏熱,需求偏少”的現(xiàn)狀,但作為一種備受認(rèn)可的技術(shù)趨勢(shì),零信任已在一些行業(yè)實(shí)現(xiàn)了落地應(yīng)用。
據(jù)中國信通院調(diào)查顯示,政府機(jī)關(guān)、信息技術(shù)服務(wù)業(yè)、金融業(yè)、制造業(yè)作為排頭兵,零信任應(yīng)用試點(diǎn)占比靠前,總占比達(dá)53%。
其中,遠(yuǎn)程訪問是當(dāng)前企業(yè)實(shí)施零信任的主要驅(qū)動(dòng)和優(yōu)先選擇,供應(yīng)商的產(chǎn)品也更聚焦在該領(lǐng)域,遠(yuǎn)程辦公、遠(yuǎn)程分支機(jī)構(gòu)接入、遠(yuǎn)程運(yùn)維三大場(chǎng)景占比居于前三,總占比達(dá)46%。
在遠(yuǎn)程辦公場(chǎng)景,零信任能夠應(yīng)對(duì)多樣化終端設(shè)備遠(yuǎn)程接入帶來的安全風(fēng)險(xiǎn)。
一方面,零信任不再根據(jù)網(wǎng)絡(luò)位置來驗(yàn)證身份和提供權(quán)限,而是基于多源數(shù)據(jù)進(jìn)行權(quán)限判定,保證只有安全合法的訪問行為被放行;另一方面,零信任強(qiáng)調(diào)按需分配和最小權(quán)限原則,大大降低了資源的可見性,減少遠(yuǎn)程攻擊。
在遠(yuǎn)程運(yùn)維場(chǎng)景,企業(yè)通過傳統(tǒng)VPN和堡壘機(jī)對(duì)內(nèi)網(wǎng)進(jìn)行運(yùn)維,存在身份冒用、權(quán)限管理混亂、審計(jì)薄弱等安全風(fēng)險(xiǎn),若涉及公有云、私有云、混合云等多個(gè)環(huán)境的運(yùn)維,需要切換VPN連接,效率低、體驗(yàn)差。
零信任安全以運(yùn)維訪問中的人和設(shè)備組合狀態(tài)構(gòu)建訪問主體,為其設(shè)定滿足需求的最小資源和最小權(quán)限,統(tǒng)一安全網(wǎng)關(guān),在動(dòng)態(tài)風(fēng)險(xiǎn)感知和安全控制下,高效地解決運(yùn)維場(chǎng)景下面臨的安全問題。
不難發(fā)現(xiàn),以遠(yuǎn)程辦公為代表的遠(yuǎn)程訪問場(chǎng)景,正在成為零信任落地的最佳切入口。
高燈科技副總裁兼安全負(fù)責(zé)人莫曉盛在采訪中表示,突如其來的疫情讓公司遠(yuǎn)程辦公需求猛增,每名員工的PC終端上要安裝多個(gè)客戶端,且不同廠商的客戶端之間缺乏安全聯(lián)動(dòng),無法發(fā)揮最大的安全效果。傳統(tǒng)VPN產(chǎn)品也爆出高危漏洞,在遠(yuǎn)程辦公需求量暴增的背景下擴(kuò)容非常不便。
基于這種情況,高燈科技開始測(cè)試并使用騰訊iOA零信任解決方案。
“如果按照傳統(tǒng)方式,我們要部署多家廠商的安全產(chǎn)品,電腦上可能要安裝七、八個(gè)終端,但是騰訊iOA給我們帶來了一整套的防病毒、終端安全管控、VPN轉(zhuǎn)入、數(shù)據(jù)防泄露等功能的綜合性安全平臺(tái),一個(gè)運(yùn)維人員就可以管理多個(gè)平臺(tái)和系統(tǒng),防護(hù)效果還比傳統(tǒng)部署方式要好”,莫曉盛表示。
事實(shí)上,和高燈科技面臨同樣困境的政企機(jī)構(gòu)不在少數(shù)。自疫情持續(xù)爆發(fā)以來,遠(yuǎn)程辦公就成為國內(nèi)政企機(jī)構(gòu)業(yè)務(wù)運(yùn)轉(zhuǎn)的常態(tài),從而使得零信任的發(fā)展迎來了新的分水嶺。
近日,騰訊宣布iOA零信任解決方案落地終端突破100萬端,成為國內(nèi)首個(gè)突破百萬終端的零信任產(chǎn)品,這也從側(cè)面印證了零信任在國內(nèi)的進(jìn)一步成熟和落地。
零信任廣泛落地更需本土化
從國家層面看,零信任在國內(nèi)也迎來了“最好的時(shí)代”。
工信部2019年發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》,已將“零信任安全”列入需要“著力突破的網(wǎng)絡(luò)安全關(guān)鍵技術(shù)”。
在經(jīng)歷了三年的政策引導(dǎo)和市場(chǎng)培育,目前國內(nèi)零信任技術(shù)發(fā)展到了什么階段?在落地方面還存在哪些挑戰(zhàn)?
騰訊零信任產(chǎn)品總經(jīng)理?xiàng)钣蟊硎荆忻涝诹阈湃蔚募夹g(shù)層面其實(shí)已經(jīng)沒有太大區(qū)別,更多是使用場(chǎng)景上的區(qū)別。
“歐美國家在企業(yè)上云、云原生上已經(jīng)走得非常靠前,所以他們的零信任更多是基于資產(chǎn)在云上的保護(hù)措施。但中國的應(yīng)用場(chǎng)景會(huì)更復(fù)雜,在落地過程中需要做很多思考和變通,去不斷適應(yīng)本土企業(yè)的一些要求”,楊育斌表示。
最明顯的一個(gè)場(chǎng)景是VPN替代。
在國內(nèi),部分政企機(jī)構(gòu)出于合規(guī)的要求,遠(yuǎn)程接入必須通過VPN。即使企業(yè)非常認(rèn)可零信任的解決方案,但在合規(guī)要求下,零信任的接入也必須通過VPN,因此騰訊iOA的做法是在合規(guī)體系內(nèi)兼容VPN協(xié)議,與VPN進(jìn)行融合。
此外,零信任的落地部署,也需考慮本土企業(yè)應(yīng)用場(chǎng)景的復(fù)雜程度。
例如,針對(duì)中小企業(yè)的遠(yuǎn)程辦公,基本上小時(shí)級(jí)就可以實(shí)現(xiàn)基于云的零信任接入訪問;但是針對(duì)大中型企業(yè),由于內(nèi)部數(shù)據(jù)交換場(chǎng)景復(fù)雜,需要和企業(yè)的業(yè)務(wù)系統(tǒng)、身份系統(tǒng)、審計(jì)系統(tǒng)進(jìn)行接口對(duì)接,同時(shí)整個(gè)解決方案也需要進(jìn)行全面規(guī)劃、分期建設(shè),落地周期會(huì)長(zhǎng)達(dá)幾個(gè)月乃至一年。
從企業(yè)角度看,落地零信任時(shí)主要面臨平衡安全性與成本效益的挑戰(zhàn)。
高燈科技信息安全專家王凱表示,零信任能夠釋放出原先比較冗余的IT安全工程師的資源,長(zhǎng)遠(yuǎn)看這部分成本能夠被縮減掉。
從整體防護(hù)效果看,騰訊iOA零信任方案比傳統(tǒng)安全部署方案要更好,同時(shí)還能節(jié)省系統(tǒng)資源占用,帶來審計(jì)的便捷性,對(duì)于企業(yè)來說有比較可觀的促進(jìn)作用。
不過面對(duì)市場(chǎng)上琳瑯滿目的零信任方案,企業(yè)在選擇適合自身方案落地時(shí),仍需從技術(shù)、方案、案例、成本、使用體驗(yàn)等多個(gè)方面去考量。畢竟零信任并不是一個(gè)產(chǎn)品,而是一套整體的解決方案,背后體現(xiàn)的是廠商的綜合實(shí)力。
以近兩年發(fā)展迅猛的騰訊iOA為例,依托騰訊10余年技術(shù)沉淀,結(jié)合了哈勃、TAV,內(nèi)容安全、云檢測(cè)四大安全引擎,井集成騰訊威脅情報(bào)中心,加上騰訊安全聯(lián)合實(shí)驗(yàn)室矩陣的技術(shù)支持,在安全能力上百余次獲得全球七大權(quán)威機(jī)構(gòu)最高評(píng)級(jí)。
同時(shí),騰訊iOA具備騰訊云的連接能力,以及大型案例落地的豐富經(jīng)驗(yàn),體現(xiàn)了其零信任方案背后的綜合實(shí)力。
值得一提的是,騰訊零信任標(biāo)準(zhǔn)工作組制定的接口標(biāo)準(zhǔn),已實(shí)現(xiàn)了同18個(gè)行業(yè)安全廠商的對(duì)接,接口標(biāo)準(zhǔn)化促進(jìn)了企業(yè)安全辦公體系的融合,也進(jìn)一步優(yōu)化了辦公體驗(yàn)。
結(jié)語
Gartner曾預(yù)測(cè),到2023年,60%企業(yè)會(huì)逐步淘汰虛擬專用網(wǎng)(VPN)方式,采用零信任網(wǎng)絡(luò)訪問來進(jìn)行遠(yuǎn)程方案。
國內(nèi)疫情下的常態(tài)化遠(yuǎn)程辦公,再一次將零信任推向應(yīng)用的高潮,進(jìn)一步催化著市場(chǎng)和供應(yīng)商的成熟。零信任的大規(guī)模落地,已近在眼前。