网安 - 专业的网络安全产业、社区、知识平台

腾讯牵头全球首个零信任国际标准发布

VSole2021-11-28 16:12:42

备受关注的“零信任”有了新动向。近日,国际电信标准组织ITU-T正式对外发布由腾讯牵头提报的《Guidelines for continuous protection of the service access process》(《服务访问过程持续保护指南》)。该标准重点分析了服务访问过程中的安全威胁,规定了检测异常访问活动的安全保护措施以及服务接入流程的安全要求规范等,推动零信任内涵从“持续验证”向“持续保护”升级。

本次标准也是全球范围内首个零信任领域的国际标准,不仅代表着中国零信任的创新实践和技术范式走入了全球视野,也将进一步驱动零信任理念在更多领域生根发芽,成为护航产业数字化的基石。

(ITU-T发布的零信任标准《Guidelines for continuous protection of the service access process》)

推动零信任理念升级

从“持续验证”到“持续保护”

在云计算、大数据、5G、物联网等技术的推动下,IT不再像过去那样有明确的边界,远程办公、移动办公等成为常态。这使得传统基于防火墙的物理边界防御方式已不再适用,而基于IT无边界化趋势下兴起的零信任安全理念则成为大势所趋。自2010年零信任理念诞生以来,全球多家机构企业纷纷开始探索这一理念的内涵,并推动落地。据市场研究机构MarketsandMarkets 的报告显示,全球零信任安全市场规模预计将从2019年的156亿美元增长到 2024 年的386亿美元。

然而,零信任理念在落地中仍然面临诸多困难。由于业内厂商都基于自身技术研发和实践经验各自为战,导致缺乏共通的话语体系,零信任推广之路面临很大阻力。面对市场秩序的混乱和技术标准的欠缺,通过标准手段构建生态,对于引导产业技术发展以及企业开展零信任实践,都具有很强的借鉴意义和参考价值。

《服务访问过程持续保护指南》作为首个零信任领域的国际标准,详细界定了标准的实施范围,零信任相关概念的定义,同时深度分析了服务访问进程中的安全威胁,并对服务访问流程的安全要求、参考框架进行了详细解释,此外还根据典型的零信任应用场景进行多维度解析。

该标准的成功发布,推动了零信任理念的创新,即由“持续验证”向“持续保护”内涵的升级。相较于传统“持续验证,永不信任”技术理念下对身份认证、资源访问的控制,ITU-T零信任标准聚焦的范围延展到了“事前、事中、事后”全过程全要素的安全保护。“持续保护”具体而言,包括持续强化所有相关对象的安全(如用户、设备、资源、网络等),检测不安全实体、不安全行为以及动态执行授权决策和响应威胁,最大化降低安全风险。

(零信任安全理念)

例如,在远程工作场景、访问多云服务场景、服务器与服务器之间通信的三大典型应用场景中,“持续保护”使得用户不需要维护多个访问接口,即可实现使用一个访问控制策略来管理不同的云的资源,还能避免诸如分布式拒绝服务(DDoS)攻击等各类型网络攻击。部署“持续保护”具有诸多优势,包括有助于做出更精确的授权决定,缩小服务器的攻击面,兼顾更好的用户体验和更强的安全性等。

凝聚中国零信任创新实践

助力构建全球零信任安全生态

本次标准的发布,充分凝聚了中国在零信任领域的探索和实践。在2019年,腾讯便联合国家互联网应急中心(CNCERT)、中国移动通信集团设计院等零信任领域同行,共同申报零信任国际标准。经过由全球200多名专家严苛审核的立项、答辩环节之后,不断更新、精心打磨的标准得以在三年后顺利通过。这是新一代企业网络安全体系背景下,中国网络安全解决方案迈向世界舞台的一个缩影。

标准的通过,也意味着腾讯等企业探索及应用零信任的最佳实践,正成为全行业可复制的参考样本。腾讯作为该标准的牵头方,自2016年起便率先在公司内部进行零信任安全解决方案的实践。在2020年疫情期间,腾讯基于多年实战验证打造的腾讯零信任iOA系统,安全满足了腾讯七万名员工、十万台终端的远程办公需求,完整支持包括内网访问、远程办公、云资源访问、合作及子公司职场协作办公等各类办公场景,为腾讯的整体职场管理运营提供安全和技术支撑。

腾讯iOA以持续访问控制为核心,围绕身份安全、设备安全、应用安全、链路安全等要素,持续检测关键对象的安全状态,并根据安全状态动态调整访问权限,同时提供对关键对象全生命周期的安全保护。目前,腾讯iOA已在政务、医疗、交通、金融等多个行业成功应用,支持百万终端设备的安全接入。同时系统支持SaaS化和私有化模式部署交付,满足远程办公/运维、混合云业务、分支安全接入、应用数据安全调用、统一身份与业务集中管控、全球链路加速访问等多个场景的动态访问控制需求,并通过模块化思路完美解决企业多样化安全需求,成功护航企业安全。

标准化的过程也是生态建立的过程,《服务访问过程持续保护指南》的发布,对于推动全球零信任技术商用进程有着重大意义。未来,腾讯安全将继续发挥自身在零信任领域的技术优势和实践经验,协同生态伙伴一道共同促进零信任产业规模化发展,更好地护航产业互联网发展。

网络安全远程办公
本作品采用《CC 协议》,转载必须注明作者和本文链接
企业远程办公安全防护中最容易犯的10个错误
2023-01-11 11:02:22
为了有效应对这种威胁,安全团队必须能够全面监控所有远程办公人员的系统访问活动。启用MFA后,网络犯罪分子使用窃取凭证的难度将大大提升。通过培训,远程办公员工将更有可能记住并使用组织的安全建议。
针对员工远程工作和旅行的网络安全建议
2022-11-22 11:58:42
SpecOps发布的《2022年弱密码报告》显示,54%的企业并未使用密码管理器。2022年8月,苹果发布消息称,未打补丁的iPad、iPhone和Mac电脑可能会被威胁者接管。不要携带包含个人身份信息或机密公司文件的设备。使用RFID屏蔽器来保护你的护照和信用卡免受“非接触式犯罪”的侵害。在酒店Wi-Fi上选择有密码保护的热点。
宅家远程办公须当心“看不见的黑手”,如何规避网络安全风险?
2022-05-12 07:17:11
工信部鼓励探索的零信任安全防护体系有多神?
最关键的20个网络安全趋势
2023-04-23 09:49:00
勒索软件攻击在2023年构成重大威胁。2023年,CaaS将继续构成威胁,这要求组织通过员工培训、威胁情报和事件响应解决方案优先考虑防御。2023年,网络卫生对于保护个人信息免遭窃取和侵害仍至关重要。组织必须随时了解并遵守不断变化的法规,以保护其系统免遭网络威胁。员工意识到异常并向IT管理员报告异常可以大大降低遭受成功攻击的风险。
新冠疫情将网络安全推上东盟董事会会议的首要议程
2022-04-07 22:04:01
东盟近一半的企业在董事会层面上提出了网络安全问题,其中68%的企业提高了在安全工作上的预算,46%的企业正在计划弥补现有的安全缺陷。
美军加速推进“基于云的互联网隔离”网络安全新能力
2021-10-02 07:11:32
她明确表示:国防部有望在2021年获得永久的远程办公能力。为应对这种威胁,DISA将安全的远程办公功能确立为2021年计划的首要任务,着手从技术和管理等多方面为美国国防部网络提供更强的安全性。DISA将把“网络带宽节约情况”和“网络安全威胁拦截数量”作为对“基于云的互联网隔离”项目效果进行评估的依据。Menlo的主要产品是2015年6月推出的业内首款SaaS或本地部署虚拟机形式的隔离平台。
MSP该如何把握十年一遇的时机,转逆境为顺境
2023-03-21 09:43:51
尤其是新冠疫情背景下,安全团队更加深刻地意识到数字风险、战略防御、安全规划以及风险管理的重要性。雇佣经验丰富的安全专家,并合理地配置安全产品是各个行业的企业不可忽视的选择。但工具并不是应对安全问题的最终答案。无论行业异同以及规模大小,企业客户所期望得到的都是有价值的情报以及量身定制的安全解决方案。数世点评尽管新冠疫情已经告一段落,但其对各行各业造成的大量安全缺口却是无法逆转的。
美国国防工业安全保密管控研究
2022-07-21 13:14:29
随着信息化、网络化、数字化的快速发展,安全保密工作既面临前所未有的机遇,又面临新的安全风险与泄密隐患。国防工业承担着保障国家安全与发展的重大职责,其安全保密问题普遍受到各国政府的高度重视。美国通过构建完善的保密监管体系、加强武器装备科研生产单位物理防护、增强国防工业领域网络安全等措施,不断加强对国防工业安全保密工作的管控,以确保其竞争优势。
保护远程办公人员的家庭网络安全
2020-07-18 22:09:50
对于不重视数据安全性的企业而言,远程办公人员可能会构成严重安全风险。数据盗窃和数据丢失威胁正在增加,网络罪犯已将注意力转移到远程办公人员。企业应部署企业级安全工具,以显著降低数据被盗和丢失的风险,并在出现新威胁时进行快速更新。传统的VPN替代方案是虚拟桌面基础结构,其中远程工作者访问虚拟PC以执行所有工作功能。尽管VDI比VPN昂贵,但它增加了额外的保护层,并将所有数据限制在虚拟桌面体验之内。
VSole
网络安全专家