QCon上海站购票倒计时最后3天!查看精彩日程 了解详情
写点什么

浅析零信任技术在国内外的不同发展路线

2021 年 7 月 20 日

浅析零信任技术在国内外的不同发展路线

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,同时它也代表新一代的网络安全防护理念,打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。本文旨在通过零信任技术在国内外的发展路线,帮助您对零信任这一安全理念有更为全面的了解。


“零信任”这一理念最早是在美国提出的,为什么最早会在美国?这与美国蓬勃发展的云计算、大数据技术是息息相关的。


随着零信任技术体系的完善,加上不断增长的云应用/WEB 应用,企业对于这种动态认证和最小化权限管理事中转事前的安全防御理念更为接受。


Google 这种互联网巨头的零信任的实践证明,更坚定了资本和厂商的投入,如今美国最大安全公司不是防火墙类传统公司,而是零信任公司。


反观国内,移动互联网业务蓬勃发展,线上支付业务的发展伴随着移动业务的发展一起向前,线上支付的安全性是阿里巴巴、腾讯这些互联网巨头首要考虑的问题,零信任这一安全理念,也是最早在国内互联网移动支付领域得到实践和实用。


随着零信任理念在国内的传播,这一安全理念也逐步得到更多企事业的认可。


如移动办公模式在疫情期间得到广泛应用,单一 VPN 接入保障在这期间出现了不少的安全事件,如何提高远程办公、远程接入以及业务应用的安全性,让更多企事业客户选择了零信任安全理念,一时间零信任安全厂商如雨后春笋般涌现。


本文旨在通过零信任技术在国内外的发展路线,帮助您对零信任这一安全理念有更为全面的了解。

国外零信任 SaaS 技术路线


美国零信任 SaaS 化发展迅猛,已经实施零信任 SaaS 超过 30%,还有 44%客户正准备实施。


零信任 SaaS 假设所有人不可信,先验证身份再授权访问资源;以身份为中心,经过“预验证”“预授权”才能获得访问系统的单次通道;最小权限原则,每次赋予用户所能完成工作的最小访问权限;动态访问控制,所有访问通道都是单次的,动态访问控制策略。


根据 Forrester 报告,零信任 SaaS 系统商要对零信任有深刻的认识、较强的微隔离能力、广泛的集成和 API 能力、识别并监控任何可能带来风险的身份的能力(不仅是 IAM)。


如零信任巨头 OKTA 采用 SaaS 订阅模式,零信任 SaaS 深入企业业务流程和人员,收入续费率在 120%。零信任 SaaS 要求企业掌握微隔离、数据安全等技术,领军公司通常对网络管理、防火墙、云安全有深刻理解。


随着零信任市场的火热发展,在美国有更多公司加入到零信任商业活动中来,我们把美国的零信任商业公司分为三类:


  • 一是自用转外销型。代表企业如:Google、Akamai、Microsoft 等;

  • 二是收购建能型。代表企业如:Cisco、Symantec、Palo Alto Network、Unisys、Proofpoint 等;

  • 三是技术初创型。代表企业如:Zscaler、Okta、Cloudflare、Illumio、Cyxtera 等。


在美国未来市场,很多机构都给予了很高的期望,根据 Cybersecurity Insider 的调查,15%的受访 IT 团队已经实施零信任 SaaS,44%表示准备部署。


根据 Gartner 估计,到 2022 年,面向生态系统合作伙伴开放的 80%新数字业务应用程序将通过零信任网络(ZTNA)进行访问。到 2023 年,60%的企业将淘汰大部分远程访问虚拟专用网络,转而使用零信任 SaaS。

国内互联网厂商技术实践


随着国内互联网的快速发展,互联网企业的信息化程度、移动化程度的不断提高,企业“内部业务系统”逐步成为组织的核心资产,随时随地处理企业内部业务系统变得越来越普遍。


但是分布在全国/全球的多个分支子公司或办事处不一定有专线到集团内网,经常通过公网 VPN 连接,存在安全性不足和访问效率低等问题。同时,并购公司、合作公司的网络安全管理机制与集团公司很难保持一致,其访问集团内网资源时,存在人员身份校验和设备安全可信等问题。


基于此需求,腾讯从 2015 年开始自主设计、研发并在内部实践落地了一套零信任安全管理系统-腾讯 ioA,实现了身份安全可信、设备安全可信、应用进程可信、链路保护与加速优化等多种功能,能够满足无边界办公/运维、混合云业务、分支安全接入、应用数据安全调用、统一身份与业务集中管控、全球链路加速访问等六大场景的动态访问控制需求,为企业达到无边界的最小权限安全访问控制,实现安全管理升级提供一站式的零信任安全方案。


阿里云推出办公零信任解决方案,类似谷歌的 BeyondCorp 简化版本。通过 Agent 终端管控,SPG(Service Provide Gateway)应用接入和 IDaaS 身份认证齐头并进,可以提供灵活的组合方案从而满足企业的要求。


该方案可概括为“可信”、“动态”两个关键字,包含两个核心的模块和组件。第一个模块是远程终端安全管理,是对远程终端进行可信的认证以及身份的管理,能实时而非静态的判断路网设备的安全性。第二个模块是云端的动态决策管控,一方面对所有用户身份进行统一的高强度安全认证,另一方面,系统可结合各种安全因子来动态分配用户权限。

国内安全厂商的技术路线


国内零信任技术的炒作从 2015 年开始逐步在各个行业市场展开,由于零信任安全技术从国外的云厂商以及咨询机构逐步传递进来,国内安全厂家都从各自公司的产品优势出发,优先宣传解决方案,2019 年开始逐步有可参考的案例出现。


同时,国内的信息安全市场有别于国外欧美市场,目前国内网络安全市场需求主要集中于政府部委级和大的行业(如金融、运营商、能源等),这些客户目前私有云或混合云已经建成,头部客户基于自身业务出发,对零信任这一先进安全理念更为接受。


国外成功商业模式的诱导和国内头部客户的切实需求,共同驱动着国内资本和安全厂商在零信任这一领域加大投入,目前国内厂商技术路线主要由零信任 SDP 技术路线、零信任 IAM 技术路线、BeyondCorp 技术路线三种类型组成。

零信任 SDP 技术路线


云安全联盟在 2014 年发布了《SDP 标准规范 V1.0》英文版,中文版于 2019 年发布。Gartner 将 SDP 定义为零信任的最佳实践,加上 SDP 标准的发布,让国内更多厂商在 SDP 方案上有了更明确的方向,每家厂商根据自已技术积累的不同,在 SDP 方案上形成了不同的特色。


启明星辰 eTrust SDP 安全理念是以身份为中心,构建网络隐身、可信接入、动态访控、简易运维的零信任安全架构。其 eTrust 客户端、eTrust 网关、eTrust 控制器、ASCG 等组件,帮助用户实现网络隐身、持续可信接入、动态访问控制、最小权限管理等零信任安全能力,为用户远程接入、应用访问、数据保护提供一体化的零信任安全方案。

零信任 IAM 技术路线


IAM(Identity and Access Management 身份与访问管理)是网络安全领域中的一个细分方向。


从效果上来看,IAM 产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何进行访问,访问后可以执行哪些操作等。


IAM 解决方案也包含了 4A 特性:账号、认证、授权、审计。这些特性,在零信任安全中都具备且为关键特性,这个特点也导致 IAM 厂家进行零信任安全架构迁移的成本更低,效率更明显。


IAM 细分市场,主要解决用户的应用访问和权限控制问题,因此该类零信任技术方案更侧重于用户的应用侧和数据侧访问,对于网络接入和远程访问场景下的技术覆盖度不高。

BeyondCorp 技术路线


谷歌的 BeyongCorp 是较早落地的零信任项目。BeyondCorp 实现的核心是引入或扩展网络组件,例如单点登录,访问代理,访问控制引擎,用户清单,设备清单,安全策略和信任库。这些组件协同工作,以维护三个指导原则:


  • 特定的网络连接不得确定用户可以访问哪些服务;

  • 根据对用户和设备的了解来授予对服务的访问权限;

  • 所有对服务的访问都必须经过认证,授权和加密。


通过对比国内外零信任的技术路线,我们可以看到国内外零信任各有特色、各呈风采。


当前,在产业数字化升级与业务上云的发展趋势下,传统企业保护边界逐渐被瓦解,以身份为中心的进行访问控制的零信任安全,得到了越来越多行业客户的认可与肯定,毋庸置疑零信任将成为网络安全行业发展的未来趋势。


延伸阅读:


零信任不是“银弹”


《读懂零信任:起源、发展与架构》

2021 年 7 月 20 日 11:341208

评论

发布
暂无评论
发现更多内容

Spring Cloud Stream 体系及原理介绍

阿里巴巴云原生

Java 负载均衡 微服务 云原生 中间件

如何通过openLooKeng更高效访问HBase?

openLooKeng

Java 大数据 Bigdata MySQL 高可用 大数据技术

百度智能云成中国跳水队独家AI合作伙伴圆梦东京!

百度大脑

百度智能云

如何把 Caffeine Cache 用得如丝般顺滑?

vivo互联网技术

Java 缓存 服务器 Caffeine

死亡直播

箭上有毒

生活随想 4月日更

资讯|WebRTC M90 更新

网易云信

WebRTC

IT 专业高校大学生就业方向状况调查问卷

架构精进之路

调查报告 4月日更 InfoQ 写作平台 1 周年

面向软件 IT 专业的高校大学生课余时间自学情况调查

xiezhr

大学生日常 IT 高校学院 问卷调查

HDFS NameNode中的FSImage与edits详解

五分钟学大数据

hdfs

HDFS的Java API

五分钟学大数据

hdfs

云原生新边界——阿里云边缘计算云原生落地实践

阿里巴巴云原生

云计算 容器 运维 云原生 边缘计算

字节架构师分享:如何让代码在级别上提升系统性能

Java架构师迁哥

聪明人的训练(二十八)

Changing Lin

4月日更

边开飞机边换引擎?我们造了个新功能保障业务流量无损迁移

阿里巴巴云原生

容器 运维 k8s 中间件 弹性计算

云信技术系列课 | RTC 系统音频弱网对抗技术发展与实践

网易云信

WebRTC 音频

C盘内存杀手,原来是这款出人意料的被闲置的软件|iTunes

彭宏豪95

效率 工具 4月日更 iTunes

架构实战营模块2作业指导

华仔

架构实战营 #架构实战营

你的企业会讲故事吗?

石云升

团队建设 28天写作 职场经验 管理经验 4月日更

HDFS文件限额配置

五分钟学大数据

hadoop

ELK 教程 – 高效发现、分析和可视化你的数据

信码由缰

elastic DevOps ELK Elastic Stack ELK Stack

真香!Github超牛X的SpringBoot+vue项目开发文档+源码限时开源!

程序员小毕

Java spring 程序员 架构 Vue

《趣学音视频》这段“朋友圈模版视频”的扛鼎之作是如何诞生的

ucsheep

Python 音视频 ffmpeg Pillow

What CANN Can?一辆小车背后的智能故事

脑极体

排查dubbo接口重复注销问题,我发现了一个巧妙的设计

捉虫大师

dubbo

最新、最全、最详细的 Git 学习笔记总结(2021最新版)

民工哥

Git Submodule linux运维 代码管理 后端技术

赋能制造产业智能化转型 百度大脑开放日福州解密

百度大脑

百度大脑 开放日 智能化

智能小车系列-串口设置

波叽波叽啵😮一口盐汽水喷死你

串口 树莓派串口 ttyAMA0

如何验证volatile的可见性

华宇法律科技

微信小程序登录流程详解

frank-say

智能小车系列-动力系统(ezPWM)

波叽波叽啵😮一口盐汽水喷死你

pwm ezPWM PWM信号

大数据基本导论

五分钟学大数据

大数据

浅析零信任技术在国内外的不同发展路线-InfoQ