加速零信任部署落地 護航數字經濟快速發展
文│騰訊安全總經理 王宇
隨著產業數字化的深化發展,企業 IT 架構從建設到運營發生極大變革,基于傳統網絡邊界的安全防護模式如同塹壕戰,僅依賴幾條防線已無法阻擋層出不窮的威脅和攻擊,基于零信任理念的新一代安全框架便應運而生。
零信任并非一種具體的技術,而是一種以“永不信任、持續驗證”為核心的網絡安全理念,自2010 年被提出,經過十余年的技術發展,以及遠程安全辦公應用需求的催化,零信任已經從概念走向了實施落地階段。
不過,零信任從理念到落地并不能一蹴而就,它的未來發展不完全是技術或產品層面的問題,同時是跟企業的經營、規劃、長期發展的管理強相關,是一個持續優化的過程,并且這個過程面臨著許多困難和挑戰。
為了加速零信任的部署落地,騰訊積極致力于零信任的生態建設,不僅在企業內部實踐零信任理念,并向外部企業開放零信任能力,還攜手國內外機構、企業伙伴,共同推進零信任相關標準的制定,主導發布了大量零信任相關的技術規范,護航數字經濟快速發展。
一、踐行零信任,從內部實踐到能力開放
多年來,國際互聯網巨頭谷歌、微軟、阿卡邁等公司的實踐證明,零信任理念能夠顛覆基于邊界的傳統安全防御模型,幫助企業解決數字化轉型中面臨的新安全難題。
在國內,騰訊是最先開展零信任實踐的企業。早在 2016 年,為了讓員工在高度復雜的網絡環境下安全地訪問公司內網,騰訊就基于零信任架構(Zero Trust Architecture,ZTA)模型,參考谷歌已經成功實施的零信任安全模型(BeyondCorp),開始在內部自主設計、落地零信任安全理念。
騰訊零信任解決方案以持續訪問控制為核心,圍繞身份安全、設備安全、應用安全、鏈路安全等要素,對終端訪問過程進行權限控制;并持續檢測關鍵要素的安全狀態,根據安全狀態動態調整訪問權限,提供訪問過程中全生命周期的安全保護。經過多年的完善和改進,騰訊的零信任實踐做到了內網安全零事故。2020 年新冠疫情期間,騰訊全公司 7 萬員工,10 萬終端使用零信任網絡通道。同時,遠程辦公安全網絡通道機器從 6 臺快速擴容到140 臺,增長 23 倍,承載流量從不到 1G 增長至最高 20G。零信任體系完整支持騰訊的各類辦公場景,包括流程審批、訪問 OA、遠程運維開發等,保證了員工遠程、職場工作體驗一致。
經過自身的實踐檢驗后,為滿足不同企業對安全建設的需求,2021 年 5 月,騰訊發布零信任安全解決方案(iOA),兼具云端業務與所有終端的安全、高效連接,在確保企業業務安全的同時,保證辦公效率,目前已應用到政務、醫療、交通、金融等眾多行業領域。
以江蘇省人力資源和社會保障廳(以下簡稱“江蘇人社”)為例,2019 年,為了推動業務系統性的數字化轉型升級,江蘇人社著手建設全省集中的一體化云平臺。該平臺服務一億多人口、上千萬家企業,還運行著上萬億的社保資金,是一個名副其實的“準金融系統”,對信息安全的要求極高。但是,2020 年 2 月,平臺系統上線初期就遇上新冠疫情爆發,無法正常辦公,項目工期一度吃緊。在此背景下,騰訊迅速為江蘇人社全線切換了一套零信任安全體系,江蘇人社全省 7 萬多員工都可以遠程、幾乎無差別地訪問內網,實現了安全可控前提下的遠程開發運維 , 保證了項目的如期推進。
二、零信任的部署落地,標準是重中之重
零信任理念誕生以來得到了業界的廣泛關注,并開始落地。不過,零信任目前在國內還沒有統一的解決方案,業內廠商都基于自身技術研發和實踐經驗各自為戰,雖然有利于創新,但是缺乏共通的話語體系,無法形成規模化的部署落地。
面對市場秩序的混亂和技術標準的欠缺,通過“標準”手段構建生態,對引導產業技術發展以及企業零信任的部署落地,具有很強的借鑒意義和參考價值。可以說,建立統一的零信任產品和服務標準,是推動零信任產業向著更加開放、更加協同、生態共建的趨勢發展的重中之重。
騰訊一直致力于推動零信任標準的建設。從2019 年開始,騰訊主導推進中國通信標準化協會(CCSA)、國際電信標準組織(ITU-T)國內及國際零信任標準立項,推動全球零信任標準化應用。2020 年,騰訊聯合國家互聯網應急中心(CNCERT)、公安部第三研究所、中國移動等 22 家單位,正式成立了產業界首個零信任產業標準工作組,并主導發布了國內首個基于網絡攻防實踐總結的《零信任實戰白皮書》。
2021 年底,ITU-T 對外發布了由騰訊牽頭提報的《服務訪問過程持續保護指南》(《Guidelinesfor continuous protection of the service access process》),這是全球范圍內首個零信任的國際標準。該標準重點分析了服務訪問過程中的安全威脅,規定了檢測異常訪問活動的安全保護措施以及服務接入流程的安全要求規范等,推動零信任內涵從“持續驗證”向“持續保護”升級。
相較于零信任“持續驗證,永不信任”技術理念下對身份認證、資源訪問的控制,ITU-T 零信任標準聚焦的范圍延展到了“事前、事中、事后”全過程全要素的安全保護,包括持續強化所有相關對象如用戶、設備、資源、網絡等的安全,檢測不安全實體、不安全行為以及動態執行授權決策和響應威脅,最大化降低訪問過程中的風險。
實際上,標準化的過程本身就意味著生態的建立,《服務訪問過程持續保護指南》的發布,對于推動全球零信任技術商用進程有著重大意義。面對產業互聯網時代更加嚴峻的安全挑戰,安全行業依然需要更加體系化的安全標準來促進生態共建,加快構筑新一代網絡安全體系。
三、“接、防、管、控”,構建差異化產品優勢
目前,零信任已成為國內外網絡安全工作的重點關注領域。2021 年 5 月,美國總統拜登簽署了行政命令,強制要求政府部門全面邁向零信任架構,開啟零信任戰略。我國工業和信息化部 2019 年 9月發布的《關于促進網絡安全產業發展的指導意見(征求意見稿)》,將零信任安全列入網絡安全需要突破的關鍵技術。
作為重構產業數字化時代安全防御體系的新理念,零信任市場前景廣闊。據市場研究機構MarketsandMarkets 于 2020 年 12 月發布的研究報告顯示,全球零信任安全市場規模預計將從 2019 年的 156 億美元增長到 2024 年的 386 億美元。傳統安全廠商紛紛布局零信任賽道,新的細分廠商不斷涌現,零信任市場競爭日益激烈。面對挑戰,騰訊圍繞“接、防、管、控”,優化終端一體化組件化程度,打造兼顧“生產力”與“安全”的自適應安全體系,構建騰訊零信任方案的“體系化”優勢。例如,對企業的大量遠程辦公需求,提供可保障大規模訪問的無邊界接入能力,做到云網協同訪問、全網權限治理、自適應訪問安全,從而實現高效、安全、穩定地連接任何位置的人與業務。許多大型企業動輒幾十萬甚至幾百萬的終端接入,傳統 IT安全防護思路無法滿足要求,騰訊零信任方案基于騰訊自研自用的運營工具,可為客戶提供桌面沙箱等更加精細和更高效的辦公安全管理能力。
未來,騰訊安全將繼續發揮在零信任領域的技術優勢和實踐經驗,和生態伙伴共同促進零信任產業規模化發展,更好地護航產業互聯網發展。
(本文刊登于《中國信息安全》雜志2022年第2期)
