11 月 19 - 20 日 Apache Pulsar 社区年度盛会来啦,立即报名! 了解详情
写点什么

浅析零信任技术在国内外的不同发展路线

  • 2021-07-20
  • 本文字数:3165 字

    阅读完需:约 10 分钟

浅析零信任技术在国内外的不同发展路线

零信任的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,同时它也代表新一代的网络安全防护理念,打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。本文旨在通过零信任技术在国内外的发展路线,帮助您对零信任这一安全理念有更为全面的了解。


“零信任”这一理念最早是在美国提出的,为什么最早会在美国?这与美国蓬勃发展的云计算、大数据技术是息息相关的。


随着零信任技术体系的完善,加上不断增长的云应用/WEB 应用,企业对于这种动态认证和最小化权限管理事中转事前的安全防御理念更为接受。


Google 这种互联网巨头的零信任的实践证明,更坚定了资本和厂商的投入,如今美国最大安全公司不是防火墙类传统公司,而是零信任公司。


反观国内,移动互联网业务蓬勃发展,线上支付业务的发展伴随着移动业务的发展一起向前,线上支付的安全性是阿里巴巴、腾讯这些互联网巨头首要考虑的问题,零信任这一安全理念,也是最早在国内互联网移动支付领域得到实践和实用。


随着零信任理念在国内的传播,这一安全理念也逐步得到更多企事业的认可。


如移动办公模式在疫情期间得到广泛应用,单一 VPN 接入保障在这期间出现了不少的安全事件,如何提高远程办公、远程接入以及业务应用的安全性,让更多企事业客户选择了零信任安全理念,一时间零信任安全厂商如雨后春笋般涌现。


本文旨在通过零信任技术在国内外的发展路线,帮助您对零信任这一安全理念有更为全面的了解。

国外零信任 SaaS 技术路线


美国零信任 SaaS 化发展迅猛,已经实施零信任 SaaS 超过 30%,还有 44%客户正准备实施。


零信任 SaaS 假设所有人不可信,先验证身份再授权访问资源;以身份为中心,经过“预验证”“预授权”才能获得访问系统的单次通道;最小权限原则,每次赋予用户所能完成工作的最小访问权限;动态访问控制,所有访问通道都是单次的,动态访问控制策略。


根据 Forrester 报告,零信任 SaaS 系统商要对零信任有深刻的认识、较强的微隔离能力、广泛的集成和 API 能力、识别并监控任何可能带来风险的身份的能力(不仅是 IAM)。


如零信任巨头 OKTA 采用 SaaS 订阅模式,零信任 SaaS 深入企业业务流程和人员,收入续费率在 120%。零信任 SaaS 要求企业掌握微隔离、数据安全等技术,领军公司通常对网络管理、防火墙、云安全有深刻理解。


随着零信任市场的火热发展,在美国有更多公司加入到零信任商业活动中来,我们把美国的零信任商业公司分为三类:


  • 一是自用转外销型。代表企业如:Google、Akamai、Microsoft 等;

  • 二是收购建能型。代表企业如:Cisco、Symantec、Palo Alto Network、Unisys、Proofpoint 等;

  • 三是技术初创型。代表企业如:Zscaler、Okta、Cloudflare、Illumio、Cyxtera 等。


在美国未来市场,很多机构都给予了很高的期望,根据 Cybersecurity Insider 的调查,15%的受访 IT 团队已经实施零信任 SaaS,44%表示准备部署。


根据 Gartner 估计,到 2022 年,面向生态系统合作伙伴开放的 80%新数字业务应用程序将通过零信任网络(ZTNA)进行访问。到 2023 年,60%的企业将淘汰大部分远程访问虚拟专用网络,转而使用零信任 SaaS。

国内互联网厂商技术实践


随着国内互联网的快速发展,互联网企业的信息化程度、移动化程度的不断提高,企业“内部业务系统”逐步成为组织的核心资产,随时随地处理企业内部业务系统变得越来越普遍。


但是分布在全国/全球的多个分支子公司或办事处不一定有专线到集团内网,经常通过公网 VPN 连接,存在安全性不足和访问效率低等问题。同时,并购公司、合作公司的网络安全管理机制与集团公司很难保持一致,其访问集团内网资源时,存在人员身份校验和设备安全可信等问题。


基于此需求,腾讯从 2015 年开始自主设计、研发并在内部实践落地了一套零信任安全管理系统-腾讯 ioA,实现了身份安全可信、设备安全可信、应用进程可信、链路保护与加速优化等多种功能,能够满足无边界办公/运维、混合云业务、分支安全接入、应用数据安全调用、统一身份与业务集中管控、全球链路加速访问等六大场景的动态访问控制需求,为企业达到无边界的最小权限安全访问控制,实现安全管理升级提供一站式的零信任安全方案。


阿里云推出办公零信任解决方案,类似谷歌的 BeyondCorp 简化版本。通过 Agent 终端管控,SPG(Service Provide Gateway)应用接入和 IDaaS 身份认证齐头并进,可以提供灵活的组合方案从而满足企业的要求。


该方案可概括为“可信”、“动态”两个关键字,包含两个核心的模块和组件。第一个模块是远程终端安全管理,是对远程终端进行可信的认证以及身份的管理,能实时而非静态的判断路网设备的安全性。第二个模块是云端的动态决策管控,一方面对所有用户身份进行统一的高强度安全认证,另一方面,系统可结合各种安全因子来动态分配用户权限。

国内安全厂商的技术路线


国内零信任技术的炒作从 2015 年开始逐步在各个行业市场展开,由于零信任安全技术从国外的云厂商以及咨询机构逐步传递进来,国内安全厂家都从各自公司的产品优势出发,优先宣传解决方案,2019 年开始逐步有可参考的案例出现。


同时,国内的信息安全市场有别于国外欧美市场,目前国内网络安全市场需求主要集中于政府部委级和大的行业(如金融、运营商、能源等),这些客户目前私有云或混合云已经建成,头部客户基于自身业务出发,对零信任这一先进安全理念更为接受。


国外成功商业模式的诱导和国内头部客户的切实需求,共同驱动着国内资本和安全厂商在零信任这一领域加大投入,目前国内厂商技术路线主要由零信任 SDP 技术路线、零信任 IAM 技术路线、BeyondCorp 技术路线三种类型组成。

零信任 SDP 技术路线


云安全联盟在 2014 年发布了《SDP 标准规范 V1.0》英文版,中文版于 2019 年发布。Gartner 将 SDP 定义为零信任的最佳实践,加上 SDP 标准的发布,让国内更多厂商在 SDP 方案上有了更明确的方向,每家厂商根据自已技术积累的不同,在 SDP 方案上形成了不同的特色。


启明星辰 eTrust SDP 安全理念是以身份为中心,构建网络隐身、可信接入、动态访控、简易运维的零信任安全架构。其 eTrust 客户端、eTrust 网关、eTrust 控制器、ASCG 等组件,帮助用户实现网络隐身、持续可信接入、动态访问控制、最小权限管理等零信任安全能力,为用户远程接入、应用访问、数据保护提供一体化的零信任安全方案。

零信任 IAM 技术路线


IAM(Identity and Access Management 身份与访问管理)是网络安全领域中的一个细分方向。


从效果上来看,IAM 产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何进行访问,访问后可以执行哪些操作等。


IAM 解决方案也包含了 4A 特性:账号、认证、授权、审计。这些特性,在零信任安全中都具备且为关键特性,这个特点也导致 IAM 厂家进行零信任安全架构迁移的成本更低,效率更明显。


IAM 细分市场,主要解决用户的应用访问和权限控制问题,因此该类零信任技术方案更侧重于用户的应用侧和数据侧访问,对于网络接入和远程访问场景下的技术覆盖度不高。

BeyondCorp 技术路线


谷歌的 BeyongCorp 是较早落地的零信任项目。BeyondCorp 实现的核心是引入或扩展网络组件,例如单点登录,访问代理,访问控制引擎,用户清单,设备清单,安全策略和信任库。这些组件协同工作,以维护三个指导原则:


  • 特定的网络连接不得确定用户可以访问哪些服务;

  • 根据对用户和设备的了解来授予对服务的访问权限;

  • 所有对服务的访问都必须经过认证,授权和加密。


通过对比国内外零信任的技术路线,我们可以看到国内外零信任各有特色、各呈风采。


当前,在产业数字化升级与业务上云的发展趋势下,传统企业保护边界逐渐被瓦解,以身份为中心的进行访问控制的零信任安全,得到了越来越多行业客户的认可与肯定,毋庸置疑零信任将成为网络安全行业发展的未来趋势。


延伸阅读:


零信任不是“银弹”


《读懂零信任:起源、发展与架构》

2021-07-20 11:342180

评论

发布
暂无评论
发现更多内容

封笔之作!阿里P8手写的Java高手是怎样练成的原理方法与实践笔记

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

千金难求!火遍GitHub的这份阿里Java面试汇总已上热搜

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

啥?阿里DBA团队总监把MySQL 性能调优 金字塔,写进了800页笔记?

Java~~~

Java MySQL 数据库 架构 面试

vivo全球商城时光机 - 大型促销活动保障利器

vivo互联网技术

电商平台 优惠券 亿级架构设计 促销系统

遇到联邦计算数据碰撞难题怎么办?不妨试一试PSI

华为云开发者联盟

隐私保护 隐私计算 PSI 联邦计算 数据碰撞

反向压力

程序员鱼皮

架构 系统设计 大前端 后端 实时计算

2021预备秋招:Java面试必看的1000道面试解析,助你通过大厂面试

Java 程序员 架构 面试 后端

GitHub惊现!全网首份开源的深入理解JVMG1GC的算法与实现手册

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

2W字!详解20道Redis经典面试题!(珍藏版)

Java redis 架构 后端 计算机

Python代码阅读(第22篇):从源字典映射出新字典

Felix

Python 编程 Code Programing 阅读代码

带你掌握JS防抖与节流

华为云开发者联盟

面试 定时器 节流 JS防抖 触发

Vue进阶(八十五):vue-router Hash模式跳转及懒加载

No Silver Bullet

Vue 路由 8月日更

良心!鹅厂强推的SpringCloud、Nginx高并发编程

Java~~~

Java nginx spring 架构 面试

MySQL到ClickHouse的高速公路-MaterializeMySQL引擎

华为云数据库小助手

sql GaussDB dba 华为云数据库 DAS

不愧是阿里内部“SpringCloudAlibaba学习笔记”这细节讲解,神了

Java 程序员 架构 微服务 计算机

Github惊现神作,这份算法宝典让你横扫各大厂算法面试题

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

技术干货 | 应用性能提升 70%,探究 mPaaS 全链路压测的实现原理和实施路径

蚂蚁集团移动开发平台 mPaaS

压测 网关 移动开发 mPaaS

阿里内部流传的JDK源码剖析手册!GitHub已获上千万的访问量

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

阿里被转载上100W次的Java面试题教程!已助我拿下9家大厂offer

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

在GitHub发布秒获百万访问!就凭这份Java程序性能优化实战笔记?

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

【Google Cloud】「Contact Center AI」引领我们走向高度智能客服的时代

洛神灬殇

话题王者 8月日更 Contact Center AI Google Cloud

脱钩!打工人都觉得香的Java程序员306道面试秘笈,爆肝

Java~~~

Java spring 架构 面试 微服务

Python实现批量压缩文件/文件夹——zipfile

Python研究者

8月日更

别再找我给你重启程序啦!让你supervisor帮你搞定

Java 程序员 架构 后端

阿里P8整理出SQL笔记:收获不止SOL优化抓住SQL的本质

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

八家知名大厂联合手写的Java面试手册刚上线!竟就到达巅峰?

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

卧 底 人 类 高 质 量 A I 公 司

白洞计划

CC通用成绩查询小程序(云开发无服务器解决方案)

CC同学

Github上标星250k的阿里Java面试复盘手册,看完竟如此的无敌?

公众号_愿天堂没有BUG

Java 编程 程序员 架构 面试

五分钟搞定Docker安装ElasticSearch

咔咔

Docker 死磕Elasticsearch

宇宙级计算机大佬吐血整理出2224页计算机系统文档(离线版)

Java~~~

Java 架构 面试 TCP 操作系统

浅析零信任技术在国内外的不同发展路线_安全_启明星辰_InfoQ精选文章