加速零信任部署落地 护航数字经济快速发展
文│腾讯安全总经理 王宇
随着产业数字化的深化发展,企业 IT 架构从建设到运营发生极大变革,基于传统网络边界的安全防护模式如同堑壕战,仅依赖几条防线已无法阻挡层出不穷的威胁和攻击,基于零信任理念的新一代安全框架便应运而生。
零信任并非一种具体的技术,而是一种以“永不信任、持续验证”为核心的网络安全理念,自2010 年被提出,经过十余年的技术发展,以及远程安全办公应用需求的催化,零信任已经从概念走向了实施落地阶段。
不过,零信任从理念到落地并不能一蹴而就,它的未来发展不完全是技术或产品层面的问题,同时是跟企业的经营、规划、长期发展的管理强相关,是一个持续优化的过程,并且这个过程面临着许多困难和挑战。
为了加速零信任的部署落地,腾讯积极致力于零信任的生态建设,不仅在企业内部实践零信任理念,并向外部企业开放零信任能力,还携手国内外机构、企业伙伴,共同推进零信任相关标准的制定,主导发布了大量零信任相关的技术规范,护航数字经济快速发展。
一、践行零信任,从内部实践到能力开放
多年来,国际互联网巨头谷歌、微软、阿卡迈等公司的实践证明,零信任理念能够颠覆基于边界的传统安全防御模型,帮助企业解决数字化转型中面临的新安全难题。
在国内,腾讯是最先开展零信任实践的企业。早在 2016 年,为了让员工在高度复杂的网络环境下安全地访问公司内网,腾讯就基于零信任架构(Zero Trust Architecture,ZTA)模型,参考谷歌已经成功实施的零信任安全模型(BeyondCorp),开始在内部自主设计、落地零信任安全理念。
腾讯零信任解决方案以持续访问控制为核心,围绕身份安全、设备安全、应用安全、链路安全等要素,对终端访问过程进行权限控制;并持续检测关键要素的安全状态,根据安全状态动态调整访问权限,提供访问过程中全生命周期的安全保护。经过多年的完善和改进,腾讯的零信任实践做到了内网安全零事故。2020 年新冠疫情期间,腾讯全公司 7 万员工,10 万终端使用零信任网络通道。同时,远程办公安全网络通道机器从 6 台快速扩容到140 台,增长 23 倍,承载流量从不到 1G 增长至最高 20G。零信任体系完整支持腾讯的各类办公场景,包括流程审批、访问 OA、远程运维开发等,保证了员工远程、职场工作体验一致。
经过自身的实践检验后,为满足不同企业对安全建设的需求,2021 年 5 月,腾讯发布零信任安全解决方案(iOA),兼具云端业务与所有终端的安全、高效连接,在确保企业业务安全的同时,保证办公效率,目前已应用到政务、医疗、交通、金融等众多行业领域。
以江苏省人力资源和社会保障厅(以下简称“江苏人社”)为例,2019 年,为了推动业务系统性的数字化转型升级,江苏人社着手建设全省集中的一体化云平台。该平台服务一亿多人口、上千万家企业,还运行着上万亿的社保资金,是一个名副其实的“准金融系统”,对信息安全的要求极高。但是,2020 年 2 月,平台系统上线初期就遇上新冠疫情爆发,无法正常办公,项目工期一度吃紧。在此背景下,腾讯迅速为江苏人社全线切换了一套零信任安全体系,江苏人社全省 7 万多员工都可以远程、几乎无差别地访问内网,实现了安全可控前提下的远程开发运维 , 保证了项目的如期推进。
二、零信任的部署落地,标准是重中之重
零信任理念诞生以来得到了业界的广泛关注,并开始落地。不过,零信任目前在国内还没有统一的解决方案,业内厂商都基于自身技术研发和实践经验各自为战,虽然有利于创新,但是缺乏共通的话语体系,无法形成规模化的部署落地。
面对市场秩序的混乱和技术标准的欠缺,通过“标准”手段构建生态,对引导产业技术发展以及企业零信任的部署落地,具有很强的借鉴意义和参考价值。可以说,建立统一的零信任产品和服务标准,是推动零信任产业向着更加开放、更加协同、生态共建的趋势发展的重中之重。
腾讯一直致力于推动零信任标准的建设。从2019 年开始,腾讯主导推进中国通信标准化协会(CCSA)、国际电信标准组织(ITU-T)国内及国际零信任标准立项,推动全球零信任标准化应用。2020 年,腾讯联合国家互联网应急中心(CNCERT)、公安部第三研究所、中国移动等 22 家单位,正式成立了产业界首个零信任产业标准工作组,并主导发布了国内首个基于网络攻防实践总结的《零信任实战白皮书》。
2021 年底,ITU-T 对外发布了由腾讯牵头提报的《服务访问过程持续保护指南》(《Guidelinesfor continuous protection of the service access process》),这是全球范围内首个零信任的国际标准。该标准重点分析了服务访问过程中的安全威胁,规定了检测异常访问活动的安全保护措施以及服务接入流程的安全要求规范等,推动零信任内涵从“持续验证”向“持续保护”升级。
相较于零信任“持续验证,永不信任”技术理念下对身份认证、资源访问的控制,ITU-T 零信任标准聚焦的范围延展到了“事前、事中、事后”全过程全要素的安全保护,包括持续强化所有相关对象如用户、设备、资源、网络等的安全,检测不安全实体、不安全行为以及动态执行授权决策和响应威胁,最大化降低访问过程中的风险。
实际上,标准化的过程本身就意味着生态的建立,《服务访问过程持续保护指南》的发布,对于推动全球零信任技术商用进程有着重大意义。面对产业互联网时代更加严峻的安全挑战,安全行业依然需要更加体系化的安全标准来促进生态共建,加快构筑新一代网络安全体系。
三、“接、防、管、控”,构建差异化产品优势
目前,零信任已成为国内外网络安全工作的重点关注领域。2021 年 5 月,美国总统拜登签署了行政命令,强制要求政府部门全面迈向零信任架构,开启零信任战略。我国工业和信息化部 2019 年 9月发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》,将零信任安全列入网络安全需要突破的关键技术。
作为重构产业数字化时代安全防御体系的新理念,零信任市场前景广阔。据市场研究机构MarketsandMarkets 于 2020 年 12 月发布的研究报告显示,全球零信任安全市场规模预计将从 2019 年的 156 亿美元增长到 2024 年的 386 亿美元。传统安全厂商纷纷布局零信任赛道,新的细分厂商不断涌现,零信任市场竞争日益激烈。面对挑战,腾讯围绕“接、防、管、控”,优化终端一体化组件化程度,打造兼顾“生产力”与“安全”的自适应安全体系,构建腾讯零信任方案的“体系化”优势。例如,对企业的大量远程办公需求,提供可保障大规模访问的无边界接入能力,做到云网协同访问、全网权限治理、自适应访问安全,从而实现高效、安全、稳定地连接任何位置的人与业务。许多大型企业动辄几十万甚至几百万的终端接入,传统 IT安全防护思路无法满足要求,腾讯零信任方案基于腾讯自研自用的运营工具,可为客户提供桌面沙箱等更加精细和更高效的办公安全管理能力。
未来,腾讯安全将继续发挥在零信任领域的技术优势和实践经验,和生态伙伴共同促进零信任产业规模化发展,更好地护航产业互联网发展。
(本文刊登于《中国信息安全》杂志2022年第2期)
