12月8日,由腾讯安全联合天融信、绿盟科技共同举办的“安全思享会”——零信任安全技术研讨会在腾讯北京总部大楼举办。腾讯安全反病毒实验室负责人马劲松、天融信科技集团解决方案中心副总经理谢琴、绿盟科技集团有限公司解决方案中心高级总监刘弘利、腾讯安全终端安全业务负责人张鹏飞受邀出席,共同围绕零信任行业生态、零信任安全能力、零信任体系化安全建设、零信任安全实践等话题展开深入讨论,希望借此推动零信任跨产业规模化发展。
传统边界安全面临泛化风险,零信任渐成安全建设“刚需”
当前,随着云计算、物联网以及移动办公等新技术新应用的兴起,企业的业务架构和网络环境也随之发生了重大的变化,平台、业务、用户、终端呈现出多样化趋势,传统的物理网络安全边界消失,带来了更多的安全风险。
据天融信科技集团解决方案中心副总经理谢琴介绍,目前传统的企业网络安全是以边界防护为主,建立在逻辑隔离、网络访问控制等技术基础之上。但随着数字化转型发展,企业网络与互联网用户和设备的互动需求不断提升,企业的应用和数据也不再局限在内网中,攻击暴露面不断增加,传统边界安全面临着巨大考验。通过引入零信任安全理念,对用户、设备和应用的身份、环境、行为进行动态评估并进行最小授权,构建动态身份边界,能够为企业核心资源提供更为精准、有效的安全保护。
面对日益复杂的网络安全态势,绿盟科技刘弘利对传统安全和零信任安全进行了系统性的对比分析。他认为,零信任安全和传统边界安全在防护对象、防护基础和防护理念上存在本质差异。传统边界安全以网络为中心、信任为基础,采用一次认证的静态策略;而零信任安全以数据为中心,默认不信任,采用持续评估、动态访问控制的策略。
可以看出,“零信任”这一以“持续验证,永不信任”为核心的新安全防护理念,已成数字经济新发展周期下企业突破安全攻防博弈瓶颈、开展新型安全建设的“刚需”。
值得注意的是,企业搭建零信任安全体系需要对现有网络进行大幅改造,这个过程十分困难。谢琴表示,年初的疫情以前所未有的速度推动了全球数字化产业极速发展,大量传统企业开始加快数字化转型,升级改造信息系统,这对于企业朝零信任安全体系转变是一个大好契机。企业在数字化转型和搭建零信任安全体系的过程中,遵循同步规划、同步建设、同步运行的思路,可以起到事半功倍的效果。
零信任安全实践“落地生花”,持续推动产业数字化升级
自2010年零信任概念被提出以来,零信任安全的市场需求在这十年间迎来爆发式增长,国内外安全厂商各类概念产品纷纷涌现,并呈网络安全发展主流之势。
据谢琴介绍,天融信科技集团提出的零信任网络安全体系并非完全颠覆现有网络安全技术体系,而是对现有体系能力的增强。企业可以根据不同场景的需要,组合采用零信任核心组件和已有安全技术手段,形成完整的零信任网络安全体系。同时,谢琴也指出了零信任架构落地的三大关键技术:实体和资源全面身份化、基于请求的组合授权策略、持续监测评估和信任推断,并对零信任安全在云计算、移动互联、物联网、工业互联网及核心数据保护等不同需求场景下的具体实现方式进行了介绍,对其中的实施难点进行了分析并提出了解决思路。
不同于天融信,绿盟科技主要持续通过攻防演练不断提升零信任安全能力。同时,刘弘利观察到,近年来攻防演练呈现出对抗不断升级的趋势,攻击手段越来越复杂化、自动化和流程化,并出现了从供应链、业务链更加专业的侧面突破。刘弘利预测,随着安全防护的不断完善,2021年针对人的攻击比重会持续加大,防御检测逃避也将是重点发展方向之一。
针对近期持续爆发的远程办公需求,腾讯安全终端安全业务负责人张鹏飞以年初疫情防控攻坚为例,详细介绍腾讯如何通过自研的零信任安全管理系统iOA持续实践零信任理念。截止目前,腾讯iOA成功为7万员工和10万台终端的跨境、跨城远程办公场景提供了安全护航,这一实践成果现已也被成功复用到金融、医疗、政务、教育等多个领域客户的远程办公安全防护场景中。
生态联动,推动零信任产业规范化发展
零信任作为一种理念而非技术,几乎可以应用到所有涉及身份认证、行为分析、区域隔离、数据访问等的安全产品和架构体系。目前业内普遍认为软件定义边界、身份识别与访问管理、微隔离,是实现零信任的三大技术路径,围绕零信任的相关产品及解决方案也都基于此展开。但是各家的技术标准、安全理念和零信任方案存在较大差异,零信任产业整体呈现出市场碎片化、生态分散化的特点。
腾讯安全反病毒实验室负责人马劲松表示,这样的大背景下,零信任的发展亟需行业生态来规范引导。他认为,只有联合更多行业生态形成合力,携手生态伙伴在相应的场景、环节建立相应的安全体系,用实际行动勾勒出零信任这头“大象”的清晰轮廓,真正实现交付模式向 SECaaS 转变。
探索零信任生态发展的道路上,腾讯一直在付诸行动。去年九月,腾讯主导的“服务访问过程持续保护参考框架”国际标准成功立项,是国际上第一个零信任安全技术标准,对促进全球网络安全产业健康发展、加快零信任技术和服务的推进有着十分重要的意义。
今年6月,腾讯联合零信任领域的多家机构企业,成立了国内第一个“零信任产业标准工作组”,合作产出国内首部零信任实战白皮书,并发起“零信任产品兼容性认证计划”,逐步推动零信任安全在接入、兼容性等多个维度的标准落地。目前,作为该计划的部分发起方,腾讯和此次与会的天融信、绿盟科技已经完成了产品兼容性互认证,在聚合多方力量加强零信任产品间技术兼容和互联互通的道路上迈出了重要一步。
未来,腾讯还将持续输出自身技术能力和最佳实践,联动多方生态伙伴,共同构建以零信任为基础的企业安全新生态,全面护航企业网络安全体系和产业数字化的转型升级。