三年的国内疫情防控,让很多行业已经习惯了远程办公。从疫情刚爆发时的手忙脚乱,到如今的淡定管理,远程办公已经内化为企业办公的一种常态模式。
但随着越来越多的员工以远程方式接入,访问公司内部的办公和生产系统,企业在传统办公模式下的安全边界瞬间被打破了。
由于员工的访问行为不再局限于企业内网,接入设备也再不局限于企业资产,企业数据会在不同设备、内外网之间频繁流动,大大增加了企业应用安全和数据泄露风险。
如何保障远程办公的安全问题,成为疫情下众多行业的关注焦点。
零信任在国内迎来高速发展
据IDC研究显示,随着远程办公、业务协同、分支互联等业务需求快速发展,企业的员工、设备、合作伙伴以及客户需要通过多种方式灵活接入企业业务系统,导致基于边界的传统安全架构不再可靠,零信任成为一个必选项。
近几年零信任理念在技术圈非常火爆,以“持续验证,永不信任”为核心理念的零信任成为全球网络安全领域的热点话题,国内外无论是政府还是企业,都开展着大量的零信任研究和实践。
据ResearchAndMarkets研究报告显示,2020年,美国零信任安全市场规模约为54亿美元,预计在2020年-2027年,年复合增长率约为19%;作为世界第二大经济体中国,预计到2027年零信任将达到111亿美元的市场规模。
巨大的市场潜力,吸引了腾讯、阿里、华为、深信服、奇安信、绿盟等国内互联网和安全厂商的纷纷布局,同时也诞生了近百家以零信任为基础的初创安全公司。
零信任市场的欣欣向荣,让不少人认为2021年是国内零信任发展的元年。
但反观用户市场,对于零信任的落地却不那么笃定。
业界普遍认为零信任落地难点表现在几个方面:一是,难以找准落地场景;二是,难以改造现有安全体系;三是,成本高、投入大,难以持续管理;四是,难以评估实施效果和价值;五是,用户的使用习惯要改变。
总的来说,零信任的成功落地需要“找准落地场景”,“厘清零信任与安全、业务的关系”,不仅需要用户侧对于业务和场景的理解,还需要零信任方案对传统网络安全框架有便捷的适配,并用轻量化的方式降低用户的建设和维护成本,帮助用户完成新一代网络安全框架的转型。
但从目前国内零信任行业发展水平看,实属鱼龙混杂。很多产品算不上真正的零信任解决方案,只是传统的安全产品换了个包装;还有一些厂商暂时处于产品自用的阶段,并没有真正实现商业化,还在探索如何去落地外部客户。
这种行业乱象也在一定程度上加深了企业用户对于零信任的“不确定感”。
远程办公成为零信任的
最佳切入点
尽管零信任在国内存在“供给偏热,需求偏少”的现状,但作为一种备受认可的技术趋势,零信任已在一些行业实现了落地应用。
据中国信通院调查显示,政府机关、信息技术服务业、金融业、制造业作为排头兵,零信任应用试点占比靠前,总占比达53%。
其中,远程访问是当前企业实施零信任的主要驱动和优先选择,供应商的产品也更聚焦在该领域,远程办公、远程分支机构接入、远程运维三大场景占比居于前三,总占比达 46%。
在远程办公场景,零信任能够应对多样化终端设备远程接入带来的安全风险。
一方面,零信任不再根据网络位置来验证身份和提供权限,而是基于多源数据进行权限判定,保证只有安全合法的访问行为被放行;另一方面,零信任强调按需分配和最小权限原则,大大降低了资源的可见性,减少远程攻击。
在远程运维场景,企业通过传统VPN和堡垒机对内网进行运维,存在身份冒用、权限管理混乱、审计薄弱等安全风险,若涉及公有云、私有云、混合云等多个环境的运维,需要切换VPN连接,效率低、体验差。
零信任安全以运维访问中的人和设备组合状态构建访问主体,为其设定满足需求的最小资源和最小权限,统一安全网关,在动态风险感知和安全控制下,高效地解决运维场景下面临的安全问题。
不难发现,以远程办公为代表的远程访问场景,正在成为零信任落地的最佳切入口。
高灯科技副总裁兼安全负责人莫晓盛在采访中表示,突如其来的疫情让公司远程办公需求猛增,每名员工的PC终端上要安装多个客户端,且不同厂商的客户端之间缺乏安全联动,无法发挥最大的安全效果。传统VPN产品也爆出高危漏洞,在远程办公需求量暴增的背景下扩容非常不便。
基于这种情况,高灯科技开始测试并使用腾讯iOA零信任解决方案。
“如果按照传统方式,我们要部署多家厂商的安全产品,电脑上可能要安装七、八个终端,但是腾讯iOA给我们带来了一整套的防病毒、终端安全管控、VPN转入、数据防泄露等功能的综合性安全平台,一个运维人员就可以管理多个平台和系统,防护效果还比传统部署方式要好”,莫晓盛表示。
事实上,和高灯科技面临同样困境的政企机构不在少数。自疫情持续爆发以来,远程办公就成为国内政企机构业务运转的常态,从而使得零信任的发展迎来了新的分水岭。
近日,腾讯宣布iOA零信任解决方案落地终端突破100万端,成为国内首个突破百万终端的零信任产品,这也从侧面印证了零信任在国内的进一步成熟和落地。
零信任广泛落地更需本土化
从国家层面看,零信任在国内也迎来了“最好的时代”。
工信部2019年发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》,已将“零信任安全”列入需要“着力突破的网络安全关键技术”。
在经历了三年的政策引导和市场培育,目前国内零信任技术发展到了什么阶段?在落地方面还存在哪些挑战?
腾讯零信任产品总经理杨育斌表示,中美在零信任的技术层面其实已经没有太大区别,更多是使用场景上的区别。
“欧美国家在企业上云、云原生上已经走得非常靠前,所以他们的零信任更多是基于资产在云上的保护措施。但中国的应用场景会更复杂,在落地过程中需要做很多思考和变通,去不断适应本土企业的一些要求”,杨育斌表示。
最明显的一个场景是VPN替代。
在国内,部分政企机构出于合规的要求,远程接入必须通过VPN。即使企业非常认可零信任的解决方案,但在合规要求下,零信任的接入也必须通过VPN,因此腾讯iOA的做法是在合规体系内兼容VPN协议,与VPN进行融合。
此外,零信任的落地部署,也需考虑本土企业应用场景的复杂程度。
例如,针对中小企业的远程办公,基本上小时级就可以实现基于云的零信任接入访问;但是针对大中型企业,由于内部数据交换场景复杂,需要和企业的业务系统、身份系统、审计系统进行接口对接,同时整个解决方案也需要进行全面规划、分期建设,落地周期会长达几个月乃至一年。
从企业角度看,落地零信任时主要面临平衡安全性与成本效益的挑战。
高灯科技信息安全专家王凯表示,零信任能够释放出原先比较冗余的IT安全工程师的资源,长远看这部分成本能够被缩减掉。
从整体防护效果看,腾讯iOA零信任方案比传统安全部署方案要更好,同时还能节省系统资源占用,带来审计的便捷性,对于企业来说有比较可观的促进作用。
不过面对市场上琳琅满目的零信任方案,企业在选择适合自身方案落地时,仍需从技术、方案、案例、成本、使用体验等多个方面去考量。毕竟零信任并不是一个产品,而是一套整体的解决方案,背后体现的是厂商的综合实力。
以近两年发展迅猛的腾讯iOA为例,依托腾讯10 余年技术沉淀,结合了哈勃、TAV,内容安全、云检测四大安全引擎,井集成腾讯威胁情报中心,加上腾讯安全联合实验室矩阵的技术支持,在安全能力上百余次获得全球七大权威机构最高评级。
同时,腾讯iOA具备腾讯云的连接能力,以及大型案例落地的丰富经验,体现了其零信任方案背后的综合实力。
值得一提的是,腾讯零信任标准工作组制定的接口标准,已实现了同18个行业安全厂商的对接,接口标准化促进了企业安全办公体系的融合,也进一步优化了办公体验。
结语
Gartner曾预测,到2023年,60%企业会逐步淘汰虚拟专用网(VPN)方式,采用零信任网络访问来进行远程方案。
国内疫情下的常态化远程办公,再一次将零信任推向应用的高潮,进一步催化着市场和供应商的成熟。零信任的大规模落地,已近在眼前。