備受關(guān)注的“零信任”安全理念再度迎來(lái)發(fā)展里程碑。近日,國(guó)際電信標(biāo)準(zhǔn)組織ITU-T正式對(duì)外發(fā)布由騰訊牽頭提報(bào)的《Guidelines for continuous protection of the service access process》(《服務(wù)訪問(wèn)過(guò)程持續(xù)保護(hù)指南》)。該標(biāo)準(zhǔn)重點(diǎn)分析了服務(wù)訪問(wèn)過(guò)程中的安全威脅,規(guī)定了檢測(cè)異常訪問(wèn)活動(dòng)的安全保護(hù)措施以及服務(wù)接入流程的安全要求規(guī)范等,推動(dòng)零信任內(nèi)涵從“持續(xù)驗(yàn)證”向“持續(xù)保護(hù)”升級(jí)。
本次標(biāo)準(zhǔn)也是全球范圍內(nèi)首個(gè)零信任領(lǐng)域的國(guó)際標(biāo)準(zhǔn),不僅代表著中國(guó)零信任的創(chuàng)新實(shí)踐和技術(shù)范式走入了全球視野,也將進(jìn)一步驅(qū)動(dòng)零信任理念在更多領(lǐng)域生根發(fā)芽,成為護(hù)航產(chǎn)業(yè)數(shù)字化的基石。
ITU-T發(fā)布的零信任標(biāo)準(zhǔn)《Guidelines for continuous protection of the service access process》
在云計(jì)算、大數(shù)據(jù)、5G、物聯(lián)網(wǎng)等技術(shù)的推動(dòng)下,IT不再像過(guò)去那樣有明確的邊界,遠(yuǎn)程辦公、移動(dòng)辦公等成為常態(tài)。這使得傳統(tǒng)基于防火墻的物理邊界防御方式已不再適用,而基于IT無(wú)邊界化趨勢(shì)下興起的零信任安全理念則成為大勢(shì)所趨。自2010年零信任理念誕生以來(lái),全球多家機(jī)構(gòu)企業(yè)紛紛開(kāi)始探索這一理念的內(nèi)涵,并推動(dòng)落地。據(jù)市場(chǎng)研究機(jī)構(gòu)MarketsandMarkets 的報(bào)告顯示,全球零信任安全市場(chǎng)規(guī)模預(yù)計(jì)將從2019年的156億美元增長(zhǎng)到 2024 年的386億美元。
然而,零信任理念在落地中仍然面臨諸多困難。由于業(yè)內(nèi)廠商都基于自身技術(shù)研發(fā)和實(shí)踐經(jīng)驗(yàn)各自為戰(zhàn),導(dǎo)致缺乏共通的話語(yǔ)體系,零信任推廣之路面臨很大阻力。面對(duì)市場(chǎng)秩序的混亂和技術(shù)標(biāo)準(zhǔn)的欠缺,通過(guò)標(biāo)準(zhǔn)手段構(gòu)建生態(tài),對(duì)于引導(dǎo)產(chǎn)業(yè)技術(shù)發(fā)展以及企業(yè)開(kāi)展零信任實(shí)踐,都具有很強(qiáng)的借鑒意義和參考價(jià)值。
《服務(wù)訪問(wèn)過(guò)程持續(xù)保護(hù)指南》作為首個(gè)零信任領(lǐng)域的國(guó)際標(biāo)準(zhǔn),詳細(xì)界定了標(biāo)準(zhǔn)的實(shí)施范圍,零信任相關(guān)概念的定義,同時(shí)深度分析了服務(wù)訪問(wèn)進(jìn)程中的安全威脅,并對(duì)服務(wù)訪問(wèn)流程的安全要求、參考框架進(jìn)行了詳細(xì)解釋?zhuān)送膺€根據(jù)典型的零信任應(yīng)用場(chǎng)景進(jìn)行多維度解析。
該標(biāo)準(zhǔn)的成功發(fā)布,推動(dòng)了零信任理念的創(chuàng)新,即由“持續(xù)驗(yàn)證”向“持續(xù)保護(hù)”內(nèi)涵的升級(jí)。相較于傳統(tǒng)“持續(xù)驗(yàn)證,永不信任”技術(shù)理念下對(duì)身份認(rèn)證、資源訪問(wèn)的控制,ITU-T零信任標(biāo)準(zhǔn)聚焦的范圍延展到了“事前、事中、事后”全過(guò)程全要素的安全保護(hù)?!俺掷m(xù)保護(hù)”具體而言,包括持續(xù)強(qiáng)化所有相關(guān)對(duì)象的安全(如用戶、設(shè)備、資源、網(wǎng)絡(luò)等),檢測(cè)不安全實(shí)體、不安全行為以及動(dòng)態(tài)執(zhí)行授權(quán)決策和響應(yīng)威脅,最大化降低訪問(wèn)過(guò)程中的風(fēng)險(xiǎn)。
例如,在遠(yuǎn)程工作場(chǎng)景、訪問(wèn)多云服務(wù)場(chǎng)景、服務(wù)器與服務(wù)器之間通信的三大典型應(yīng)用場(chǎng)景中,“持續(xù)保護(hù)”使得用戶不需要維護(hù)多個(gè)訪問(wèn)接口,即可實(shí)現(xiàn)使用一個(gè)訪問(wèn)控制策略來(lái)管理不同的云的資源,還能避免諸如分布式拒絕服務(wù)(DDoS)攻擊等各類(lèi)型網(wǎng)絡(luò)攻擊。部署“持續(xù)保護(hù)”具有諸多優(yōu)勢(shì),包括有助于做出更精確的授權(quán)決定,縮小服務(wù)器的攻擊面,兼顧更好的用戶體驗(yàn)和更強(qiáng)的安全性等。
本次標(biāo)準(zhǔn)的發(fā)布,充分凝聚了中國(guó)在零信任領(lǐng)域的探索和實(shí)踐。在2019年,騰訊便聯(lián)合國(guó)家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)、中國(guó)移動(dòng)通信集團(tuán)設(shè)計(jì)院等零信任領(lǐng)域同行,共同申報(bào)零信任國(guó)際標(biāo)準(zhǔn)。經(jīng)過(guò)由全球200多名專(zhuān)家嚴(yán)苛審核的立項(xiàng)、答辯環(huán)節(jié)之后,不斷更新、精心打磨的標(biāo)準(zhǔn)得以在三年后順利通過(guò)。這是新一代企業(yè)網(wǎng)絡(luò)安全體系背景下,中國(guó)網(wǎng)絡(luò)安全解決方案邁向世界舞臺(tái)的一個(gè)縮影。
標(biāo)準(zhǔn)的通過(guò),也意味著騰訊等企業(yè)探索及應(yīng)用零信任的最佳實(shí)踐,正成為全行業(yè)可復(fù)制的參考樣本。騰訊作為該標(biāo)準(zhǔn)的牽頭方,自2016年起便率先在公司內(nèi)部進(jìn)行零信任安全解決方案的實(shí)踐。在2020年疫情期間,騰訊基于多年實(shí)戰(zhàn)驗(yàn)證打造的騰訊零信任iOA系統(tǒng),安全滿足了騰訊七萬(wàn)名員工、十萬(wàn)臺(tái)終端的遠(yuǎn)程辦公需求,完整支持包括內(nèi)網(wǎng)訪問(wèn)、遠(yuǎn)程辦公、云資源訪問(wèn)、合作及子公司職場(chǎng)協(xié)作辦公等各類(lèi)辦公場(chǎng)景,為騰訊的整體職場(chǎng)管理運(yùn)營(yíng)提供安全和技術(shù)支撐。
騰訊iOA以持續(xù)訪問(wèn)控制為核心,圍繞身份安全、設(shè)備安全、應(yīng)用安全、鏈路安全等要素,持續(xù)檢測(cè)關(guān)鍵對(duì)象的安全狀態(tài),并根據(jù)安全狀態(tài)動(dòng)態(tài)調(diào)整訪問(wèn)權(quán)限,同時(shí)提供對(duì)關(guān)鍵對(duì)象全生命周期的安全保護(hù)。目前,騰訊iOA已在政務(wù)、醫(yī)療、交通、金融等多個(gè)行業(yè)成功應(yīng)用,支持百萬(wàn)終端設(shè)備的安全接入。同時(shí)系統(tǒng)支持SaaS化和私有化模式部署交付,滿足遠(yuǎn)程辦公/運(yùn)維、混合云業(yè)務(wù)、分支安全接入、應(yīng)用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務(wù)集中管控、全球鏈路加速訪問(wèn)等多個(gè)場(chǎng)景的動(dòng)態(tài)訪問(wèn)控制需求,并通過(guò)模塊化思路完美解決企業(yè)多樣化安全需求,成功護(hù)航企業(yè)安全。
標(biāo)準(zhǔn)化的過(guò)程也是生態(tài)建立的過(guò)程,《服務(wù)訪問(wèn)過(guò)程持續(xù)保護(hù)指南》的發(fā)布,對(duì)于推動(dòng)全球零信任技術(shù)商用進(jìn)程有著重大意義。未來(lái),騰訊安全將繼續(xù)發(fā)揮自身在零信任領(lǐng)域的技術(shù)優(yōu)勢(shì)和實(shí)踐經(jīng)驗(yàn),協(xié)同生態(tài)伙伴一道共同促進(jìn)零信任產(chǎn)業(yè)規(guī)?;l(fā)展,更好地護(hù)航產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展。
原創(chuàng)文章,作者:若安丶,如若轉(zhuǎn)載,請(qǐng)注明出處:http://rponds.cn/article/542665.html