随着企业上云和远程办公兴起,越来越多企业开始接受并使用零信任架构,以加强安全防御、简化安全管理和改善最终用户体验。 5月14日举行的 零信任发展趋势论坛 上,腾讯研究院、腾讯安全、Gartner联合发布 《以零信任构建信任——重塑安全新边界》白皮书 (以下简称“白皮书”),首度披露“以零信任 构建信任”技术路径,帮助企业了解和接受零信任框架,共同探索零信任的关键价值和未来发展趋势。
全球按下零信任部署“加速键”
2020年,全球网络环境发生巨变。 一方面数字化加速落地,企业业务上云成为产业互联网发展的重要趋势; 另一方面,突如其来的新冠疫情让远程办公成为新常态。 白皮书指出,新的网络安全环境下,传统网络安全架构面临着“边界模糊、接入复杂、缺乏联动、攻击系统化、内部攻击、不适用云上办公”等六方面挑战。
需求倒逼加上疫情催化,加速了全球企业对零信任技术和产品的探索和实践。 零信任迎来重要发展机遇期,成为新型网络环境下应对已知和未知安全威胁、构建内生安全机制的重要抓手。 据Gartner预测,预计到2022年面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络架构进行访问; 2023年全球将有60%以上的VPN被零信任取代。
白皮书指出,作为一种战略和框架,零信任是安全理念与角色的进阶,其关键是以身份安全为基础进行细粒度动态访问控制和安全防护。 零信任将从重塑网络组织、巩固网络安全价值、构建智能化安全能力三个维度提升企业安全建设水位,帮助企业实现业务安全和办公效率的双重提升。
零信任成为网络安全建设“必选项”
白皮书提到,以“持续验证,永不信任”为核心的零信任是一种全新的安全机制,需要和企业网络安全规划相融合,在企业网络安全规划制定伊始,即将零信任理念纳入其中。 因此,零信任既是对当前网络安全机制和理念的一次创新,也定义了一种全新的安全管理视角,成为数字经济发展新周期下,企业突破安全攻防博弈瓶颈,开展全新网络安全建设的“必选项”。
白皮书中不仅明确了构建零信任安全架构需要遵循“访问主体不被信任、动态访问权限、访问权限最小原则、减少网络暴露、接近最佳安全状态、信息更迭与信任评估响应”等6项原则,还首度披露了实现零信任的三大主要技术路径,即软件定义边界、身份识别与访问管理、微隔离。 随着零信任持续不断的深入完善与优化,与零信任一脉相承的安全访问服务边缘,成为其新的演进趋势。
经过业内不断打磨,零信任解决方案已经在远程办公与运维、多分支结构接入、简化内部网络结构等各个领域崭露头角。 根据Gartner统计数据,2019年本地部署的零信任解决方案市场体量约为59亿美元,同比增长17.3%,而云端部署的零信任解决方案市场体量约为97亿美元,同比增长21.3%。
作为零信任领域的先行者,腾讯从2016年开始在内部实践落地自主设计、研发的零信任安全管理系统——腾讯iOA。 目前,该方案已在政府、金融、医疗、交通等多个行业领域应用落地。 同时,腾讯在零信任架构下,推出基于SDP等多种技术能力安全架构的安全连接云服务,支持连接公有云应用及私有化应用,提供新一代的安全接入云服务。
零信任将迎健壮发展期,
成为构建网络安全建设新刚需
趋势层面,白皮书认为未来一段时间,在零信任的交付方式上,私有化部署仍是主流,而SaaS服务将成为关键。 企业在进行零信任部署时,不仅要围绕网络接入构建多方一体化联动安全防护能力,提供更好的终端用户接入体验,还要注重分阶段实施。 一方面要确保方案的完整性,包括终端安全性、可管理性、数据安全性等; 另一方面要使方案具备开放性,保证互联互通,可认证。
后疫情时代,数字经济成为全球经济发展的重要驱动力,为零信任安全体系的落地营造了良好环境。 可预见的是,零信任即将迎来健壮发展期,成为网络安全建设的新刚需。 但白皮书最后也指出,零信任普及过程中仍将面临用户建设成本较高、盲目迷信单项技术、生态碎片化阻碍行业发展和理念与角色革新不到位等多重挑战,需要行业携手共创。
以软件定义安全的零信任,将网络安全的主动权重新掌握在自己手上,也是对传统安全防御思路的一次彻底变革。 未来,腾讯将不断推动技术革新,积累实践经验,助力零信任技术在各行业领域应用落地,推动零信任产业蓬勃发展。