• CDN加速

    新聞速遞 > 正文

    打破邊界后再重構邊界,各路廠商如何角逐零信任安全?

    2020-12-25

    來源:菠蘿財經

    這種供應鏈隱藏,其可以獲取目標系統的訪問權限,從而竊取系統和平臺上的敏感數據。

    把此次“Solarwinds供應鏈攻擊事件”列為2020年十大網絡安全事件一點都不為過。要知道連美軍五大部隊、美國國務院、NASA、NSA、美國總統辦公室等等都是Solarwinds的客戶,其波及范圍可想而知。

    實際上,SolarWinds自己本身就是一家主營網絡安全管理軟件產品的公司。縱使是這樣,仍舊發生了“網絡安全公司”自己被攻擊的事件,這種“黑色幽默”也讓人充分意識到了,當今網絡世界絲毫都不安全的現實。

    當前,隨著云服務、邊緣終端、便攜設備、移動辦公等新技術的普及,企業內外網的邊界逐漸模糊。傳統基于邊界的安全防護邏輯開始逐步失效。網絡安全行業亟需一種“永遠信任,始終要驗證”的零信任安全架構。

    可以預測,從“有邊界防護”到“無邊界管控”,零信任安全的這種全新邏輯,將給整個網絡安全行業帶來極大的顛覆,其或將重構整個網絡安全的格局。那些能夠敏捷轉身、順勢而為者,很有可能會在全球越發重視網絡安全的當下,快速地崛起。

    全球安全事件頻發,傳統網絡安全架構錯在“太老了”

    從委內瑞拉國家電網干線受攻擊,造成全國大面積停電,到丹麥126萬公民的納稅人身份證號碼被意外曝光;從美國天然氣管道商遭攻擊,被迫關閉壓縮設施,到葡萄牙能源巨頭EDP遭網絡攻擊,被勒索近1,000萬歐元……即將結束的2020年,依舊是網絡安全事件頻頻發生的一年。

    相比于上述大部分案例,此次Solarwinds供應鏈攻擊事件,無論從波及面還是影響程度來說,都要嚴重得多。消息顯示,此次事件的受害者遍及北美、歐洲、亞洲和中東地區的政府、科技公司和電信公司,覆蓋軍工、能源等多個涉及國家安全的行業。

    SolarWinds此前曾坦誠,“有‘少于18,000 家’企業受到了影響。”話音剛落,在這18,000家企業里面,越來越多的企業就被“確定”,這其中不乏思科、英特爾、英偉達、VMware等知名企業。

    美國聯邦政府已宣布旗下所有機構,都要立即放棄 SolarWinds 的 IT 管理系統。

    馬化騰曾經說過一句非常扎心的話,“你什么都沒錯,錯就錯在太老了”。其實,把這句話嫁接到網絡安全行業,也同樣非常適合。傳統網絡安全行業經過這么多年的發展和迭代,向前邁出的每一步,都存在著嚴重的“路徑依賴”。具體來說,傳統網絡安全架構的“老”,主要體現在以下四個弊端上:

    第一,是邏輯弊端。相比于“零信任”,某種角度上,傳統網絡安全架構的邏輯可看成是“全信任”——我信任你們,但是我要全方位、一層一層地檢查。殊不知,但凡信任之后再檢查,就始終有疏忽的地方。

    第二,是邊界弊端。傳統網絡安全架構有內外網的邊界概念。潛意識里認為內網的就是安全的,外網的就是要防護的。然而就像前面所說,內外網的邊界如今已經變得極為模糊,在這種背景下,何談后續的防護?而且,即使是內網,也經常存在各種非法、間諜的情況。

    第三,是場景兼容的弊端。近年來隨著5G、云計算、大數據的飛速發展,加之今年新冠疫情的催化,出現了企業核心應用“云化”、業務節點“邊緣化”、辦公場地“多樣化”、服務形式的“網絡化”、內部流程的“數字化”等等各種“新態勢”,傳統網絡安全架構,在兼容性和擴展性上滿足不了新的需求。

    第四,是管控顆粒度的弊端。傳統網絡安全架構,顆粒度比較粗糙,“內外網”成了最重要的分界線。然而,現如今的攻擊,以此SolarWinds 供應鏈攻擊為例,攻擊者通過獲取正規廠商的證書并利用其對自身進行簽名,導致了所有信任該證書的企業、機構都存在遭受入侵的風險。可見,“內外網”這種極為粗糙的顆粒度管控方式,是遠遠跟不上時代發展的。

    所以,從以上四大弊端來看,在全球范圍內,用零信任安全架構對傳統網絡安全架構進行迭代升級,既是迫在眉睫也是大勢所趨。就像奇安信的齊向東所言,“網絡被徹底打開,傳統邊界屬性改變,傳統的IT安全架構已經跟不上時代發展,需要探索全新的安全解決方案。”

    網絡安全的破局者,為什么是零信任安全?

    自從Forrester Research的分析師John Kindervag在2010年正式提出“零信任”這一概念后,零信任就持續獲得了業務的關注和認可。根據美國國家標準與技術研究院(NIST)在《零信任架構標準》中的定義:“零信任(Zero Trust,ZT)提供了一系列概念和思想,旨在面對被視為受損的網絡時,減少在信息系統和服務中執行準確的、權限最小的按請求訪問的決策時的不確定性。”

    這一翻譯過來的定義,其實說白了就是,不信任內部或外部的任何人員/設備/應用/等,必須在授權前對任何試圖接入企業系統的人員/設備/應用/等進行驗證,對數據、資源、應用、接口、服務等的訪問,遵循“只有必要,方才授予”的原則。

    John Kindervag最初在提出“零信任”概念時,提到的三個原則:一是不應該區分網絡位置;二是所有的訪問控制都應該是最小權限且嚴格限制的;三是所有的訪問都應當被記錄和跟蹤。這三大原則一方面既保證了數字資產、數字業務最小程度地暴露給網絡,從根源上降低被攻擊的風險;另一方面,又提高了訪問的靈活性、敏捷性、易用性、夠用性、以及可溯源性、可擴展性。

    更具體點來講,零信任安全架構之所以能夠在近年來快速崛起,有三大優勢不可忽視,這三大特點也契合了數學的三種思想。這種“思想”層面的領先型,或許才是零信任安全架構終將顛覆傳統網絡安全架構的最堅實底座。

    首先,是極限思想。零信任安全“不相信任何人/事/物”,不管其是什么級別、所處何種網絡。零信任的企業業務應用系統默認關閉所有端口,拒絕內外部一切訪問,只對合法客戶端的IP定向動態開放端口,由此就可以直接避免任何非法的掃描和攻擊。

    其次,是連續思想。零信任對外部的訪問,不是一次性驗證的,而是持續性驗證的,而且還會根據驗證、監控的結果,對訪問進行信任評估和權限調整。這種“連續性的響應”,可以全程保證訪問都在管控之下。

    再次,是最小化思想。最小化思想或者說最小化原則,在保證訪問“夠用”的同時,也極大地縮小了被攻擊的攻擊面;在此基礎上加之微隔離的手段,就可以最大程度地避免攻擊的范圍,以及阻斷攻擊的傳染性。

    市場研究公司Markets and Markets預計,到2024年,全球零信任安全的市場規模將達到386.3億美元(約合人民幣 2585.6億元),年均復合增長率為19.9%。

    龐大的市場空間和快速的增長潛力,也讓一眾參與零信任市場角逐的公司,在今年的二級資本市場上,取得了一個豐收年。從2019年12月31日至2020年12月23日,Zscaler上漲了346.2%,Okta上漲了136.2%,CrowdStrike則大漲了348.2%。

    美國投行Wedbush的分析師丹尼爾?艾夫斯認為,“Zscaler將在未來10年的云網絡安全轉型中占據主導地位。”其實,比這句話更嚴謹的應該是,零信任將在未來10年的云網絡安全轉型中占據主導地位。

    群雄逐鹿零信任安全,網絡安全迎來劇變期

    在移動互聯網、云計算、大數據、人工智能背景下零信任顯然是不是網絡安全迭代的終點。當前, ,零信任的高維高階概念“SASE”就已經被推向了前臺。

    按照Gartner的定義,SASE(Security Access Service Edge,安全訪問服務邊緣),指的是集下一代廣域網、網絡安全服務以及邊緣計算于一體的云交付網絡。Gartner的預計,到2024年,至少40%的企業將有明確的策略采用SASE。

    顯而易見,各路IT廠商如果想通往未來的星辰大海SASE,當下零信任安全的一戰就不可避免。這也是為什么對零信任安全,各路諸侯都開始群雄逐鹿的原因所在。

    在國外,Google、思科、Akamai等廠商最為積極。以谷歌為例,其大名鼎鼎的BeyondCorp已廣為人知。經過多年的迭代升級,BeyondCorp已融入大部分谷歌員工的日常工作,讓每位谷歌員工都可以在不借助VPN的情況下,通過不受信任的網絡順利開展工作。不僅如此,在BeyondCorp基礎上,成功開發出來的基于身份識別的訪問代理 IAP,已經成為谷歌云平臺上新增加的服務。這也意味著谷歌在零信任安全的商業化方面,已經取得了不小的進展。

    而在國內,更是有奇安信、深信服、網宿科技等一眾企業開始了對零信任安全的角逐。比如,奇安信就推出了奇安信TrustAccess動態可信訪問控制平臺、奇安信TrustID智能可信身份平臺、奇安信ID智能手機令牌以及各種終端Agent等。

    網宿科技今年也推出了零信任企業安全接入ESA(Enterprise Secure Access)這一新產品。網宿ESA不僅采用了零信任訪問的框架,而且還集成了網宿科技在云安全和企業應用加速方面的領先技術能力,讓用戶可以實現隨時、隨地、在任何終端或邊緣安全的連接和訪問。網宿ESA這樣的整體使用體驗效果,已經接近了前面Gartner所極力倡導的SASE模型了。

    實際上,零信任安全不僅是中外領先的IT廠商在競爭;國家層面的競爭,同樣在激烈的進行著。美國方面,如今已經把零信任安全上升到了國家網絡安全的戰略高度,比如美國國防部就已經明確將零信任安全實施列為最高優先事項之一。

    中國方面,工信部發布的《關于促進網絡安全產業發展的指導意見(征求意見稿)》中,零信任安全首次被列入網絡安全需要突破的關鍵技術;中國信息通信研究院發布的《中國網絡安全產業白皮書(2019年)》中,也將零信任安全提升到了我國網絡安全的重點細分領域這一地位。

    可以預見,零信任讓網絡安全、網絡交付乃至整個IT行業,都有了新的“興奮點”。各種頻發的網絡安全事件,也會讓各行各業在信息化、網絡化、數字化、智能化的過程中,越發重視網絡安全的重要性,一場由零信任安全引發的網絡安全領域的劇變,即將來臨。

    寫在最后

    不信任任何人,是為了讓被信任的任何人值得信任;打破傳統內外網的網絡邊界,是為了重構真正的無邊界安全。總之,不信任終究是為了“信任”,無邊界到底是為了“有邊界”。

    亚洲 第一页