圆桌论道|业内大咖多视角解读零信任协同发展的挑战与价值
随着零信任安全倡导的全新安全思路已成为企业数字化转型过程中应对安全挑战的主流架构之一,“零信任”理念逐渐受到行业广泛关注和认可。但零信任的落地仍然存在一些挑战:面对客户自身复杂的网络环境,如何将零信任产品和已有的安全系统和设备对接?完整的零信任方案投入大且见效周期长,如何优化方案?零信任参考标准有限,如何形成统一话语体系?
8月27日,由产业互联网发展联盟指导,零信任产业标准工作组、腾讯安全、腾讯标准、腾讯企业IT等机构联合主办的零信任协同发展研讨会暨接口白皮书发布&标准宣贯会线上召开。
研讨会期间,来自e签宝首席安全官李程、腾讯企业IT安全架构师蔡东赟、持安科技有限公司创始人兼CEO何艺、北京蔷薇灵动科技有限公司产品总监熊瑛、天融信战略合作中心总经理刘斯宇、上海派拉软件研发总监茆正华、格尔软件零信任产品经理石善忠等国内零信任一线专家和大咖,从多视角就零信任落地挑战、标准化的意义、以及零信任服务商之间的协同协作等问题展开圆桌会谈。圆桌论坛由零信任产业标准工作组秘书长黄超主持。
(零信任接口全景图)
蔡东赟:相关标准的制定将会促进各方互联互通
随着零信任在中国的落地和发展,越来越多的企业部署了零信任安全解决方案,但由于企业不同结构也不同,这为零信任落地带来各式各样的挑战。腾讯企业IT安全架构师蔡东赟基于其丰富的安全前线服务经验认为,由于不同的客户面临的网络结构有所不同,尤其是私有云客户,前线人员需要根据不同的企业结构部署不同的解决方案。当缺乏一套统一的行业标准时,去适配每个客户千差万别的协议标签时就会变得非常繁琐,也会增加安全厂商的适配研发投入。通过标准化建设和产业生态的协同助力,推动接口联动,将极大提升服务商和客户之间的合作效率。
对于零信任标准制定的价值,蔡东赟以腾讯自身实践经验出发,表示零信任标准的制定能够帮助行业从无序走向有序。腾讯早在2016年就开始将零信任在内部大规模推广,由于腾讯内网基础建设较完善,零信任适配性较高,零信任很快就在腾讯内部实现全面应用。但是,将这套方案对外进行推广时,由于客户接口不同,方案落地变得困难起来。行业需要一套统一的标准来解决零信任实际落地的难题。
蔡东赟认为:
零信任相关标准的制定,将会推动相关企业、产品的互联互通,其未来的作用不仅仅是推动零信任安全领域的发展,更可能影响整个中国的安全生态。
石善忠:基于标准开展实践积极反馈持续修订
对于零信任在实施过程中面临的挑战,格尔软件零信任产品经理石善忠从四方面进行说明:第一,零信任投入较大。零信任是一个理念、一套体系,在建设过程中会涉及许多产品的组合,因此投入较大,一些客户较难接受;第二,见效慢。零信任部署之后,效果是逐渐显现出来的,部分客户误认为见效不大,因此服务商需要在实施过程中加以引导;第三,在多云架构下,存在如何提高认证效率,避免单点故障的问题;第四,零信任和密评问题。许多政企客户在实施零信任的过程中需要过密评,因此服务商在实施过程中需要同步为客户考虑密评问题,以避免后期实施过于被动。
零信任标准的制定在整个零信任体系中至关重要,但是标准制定之后并不是就“高枕无忧”了,如何持续改善也是行业需要深思的问题。对此,石善忠认为:
各个服务商可以基于制定的零信任标准展开实践,并及时反馈,从而对标准持续进行修正,让标准更实战化、更接地气。
除此之外,石善忠还建议,联盟中的服务商应加强商务层面的合作,取长补短,共同合作为客户提供更优质的解决方案。最后,石善忠希望联盟能够提供一个零信任相关测试系统,促进产品融合。
熊瑛:落地零信任需要企业自上而下的战略性认可
如果一个黑客攻进了一个服务器,那么他就可以利用这个服务器作为跳板进一步攻击网络中的其他服务器,而微隔离则可以有效阻止这种来自内部的横向攻击。作为零信任架构的重要组成部分,微隔离也逐渐体现出其真正的价值。北京蔷薇灵动科技有限公司产品总监熊瑛向大会听众分享了其在零信任方案部署遇到的一些挑战。熊瑛表示,行业对零信任的理解存在偏差,这在一定程度上加大了各方之间的沟通成本;另外,不同客户在业务层面的管理水平参差不齐,业务梳理工作较困难。
对以上问题,熊瑛通过其多年的微隔离服务经验提出了几个解决要点。第一,落地零信任项目需要获得企业自上而下的战略性认可,这样才能具备足够的力度驱动业务部门;第二,面对无法短期内准确、细致梳理业务资产的问题,可以引导客户采取分步实施的方案,并在此过程中进行更加细致的业务梳理和流量控制工作,从而实现更深层次的零信任部署;第三,在帮助客户进行业务梳理时,服务商可以与企业的现有系统进行关联,将会极大提升工作效率。
对于零信任相关标准制定的价值,熊瑛表示:
很多东西当它没有标准时,其实是不成赛道、不成领域的,如果一个技术想要规模化、标准化应用,就需要各种各样的标准进行规范指导。
刘斯宇:白皮书的发布对各方大有裨益
天融信战略合作中心总经理刘斯宇认为,零信任接口应用白皮书的发布将对各方都大有裨益。对行业而言,能够对接口做一个统一划分,为产业生态建设提供所需的共同基准;对客户而言,能够更高效地帮助客户对企业现有的安全架构、安全产品或设备结合进行零信任改造;对安全厂商而言,基于统一的零信任接口应用标准,安全厂商能够促进零信任产品发挥更大作用。
刘斯宇在发言最后提到:
零信任接口标准的制定促使零信任项目的整体推进工作变得更加有趣和有效,从而推动零信任产业繁荣发展。
何艺:希望企业都能享受到零信任带来的价值
作为第一份实战白皮书的主笔专家之一,持安科技有限公司创始人兼CEO何艺认为,零信任接口应用标准的制定对行业来说意义非凡,主要体现在三个方面:首先,解决了零信任统一认知的问题。行业基于标准形成零信任共识,便于降低各方沟通成本;其次,这个标准还能帮助各方解决问题。何艺提到,不同的客户之间零信任的落地会遇到很多阻碍,这些阻碍会消耗一些人力和研发资源,而统一标准的制定能够节省部分消耗和浪费;第三,统一标准的制定能够协调安全产业中不同的产品和体系,将会大幅提升客户的安全能力,以及节省许多不必要的投入。
何艺在发言的最后对零信任产业发展寄予了厚望:
如果让企业都能在实际使用过程中享受到零信任带来的价值,或者为企业提供更好的使用体验,那么这个市场将会变得越来越繁荣。
茆正华:标准的制定促使厂商明晰定位发挥所长
作为零信任产业标准工作组的“萌新”——上海派拉软件而言,拥有上千家项目实施经验的他们则深刻体会到了缺乏零信任接口应用统一标准的痛苦,这也促使他们积极参与到项目中来。“我们公司一直做身份管理项目,接口应用没有统一标准的痛苦我们深有体会,所以在得知这个工作组在制定相关标准时我们就非常积极地想要参与进来。我们希望接口应用标准能够引领这个行业高质量发展”,上海派拉软件研发总监茆正华在圆桌论坛上说到。
对于零信任接口白皮书的发布,茆正华表示:
接口应用标准统一能够直接降低技术验证的成本,促进新的、有竞争力产品的产生,促使厂商明晰定位发挥所长,从而推动整个生态的发展。客户也能够依据这个标准对采购的零信任产品进行评价,从而有效降低实施成本和应用成本。
李程:标准和特点应该是相辅相成的
随着企业纷纷进行数字化转型,企业对于网络安全的需求也在与日俱增,零信任安全理念逐渐渗入各行各业。本次圆桌论坛还邀请到了e签宝首席安全官李程,李程从自身企业经历出发,分享了零信任接口应用标准制定的价值。e签宝是一家电子签名服务商,电子签名的核心是要对人做身份识别。李程介绍到,由于电子签名的应用场景广泛,如果没有一套机制支撑,不同场景下的身份认证就会存在安全风险,由此将会产生巨大的工作量。对此,李程认为零信任接口应用标准的制定是非常有必要的,将会帮助厂商省心省事,节约更多成本。
李程从服务商角度出发,认为:
制定统一的标准不代表没特点,特点和标准我认为应该是相辅相成的,你的特点可能不是体现在接口不统一上,而是体现在产品特性上。
在论坛的最后,零信任产业标准工作组秘书长黄超表示,每一位零信任相关从业者都是有共同理想的,也看到了从零信任到整个安全未来的发展机会,从而汇聚一堂共同参与到工作组中来,希望零信任接口应用白皮书的发布为业界带来更多思考和合作的机会。
