騰訊牽頭全球首個零信任國際標準發布
備受關注的“零信任”有了新動向。近日,國際電信標準組織ITU-T正式對外發布由騰訊牽頭提報的《Guidelines for continuous protection of the service access process》(《服務訪問過程持續保護指南》)。該標準重點分析了服務訪問過程中的安全威脅,規定了檢測異常訪問活動的安全保護措施以及服務接入流程的安全要求規范等,推動零信任內涵從“持續驗證”向“持續保護”升級。
本次標準也是全球范圍內首個零信任領域的國際標準,不僅代表著中國零信任的創新實踐和技術范式走入了全球視野,也將進一步驅動零信任理念在更多領域生根發芽,成為護航產業數字化的基石。
(ITU-T發布的零信任標準《Guidelines for continuous protection of the service access process》)
推動零信任理念升級
從“持續驗證”到“持續保護”
在云計算、大數據、5G、物聯網等技術的推動下,IT不再像過去那樣有明確的邊界,遠程辦公、移動辦公等成為常態。這使得傳統基于防火墻的物理邊界防御方式已不再適用,而基于IT無邊界化趨勢下興起的零信任安全理念則成為大勢所趨。自2010年零信任理念誕生以來,全球多家機構企業紛紛開始探索這一理念的內涵,并推動落地。據市場研究機構MarketsandMarkets 的報告顯示,全球零信任安全市場規模預計將從2019年的156億美元增長到 2024 年的386億美元。
然而,零信任理念在落地中仍然面臨諸多困難。由于業內廠商都基于自身技術研發和實踐經驗各自為戰,導致缺乏共通的話語體系,零信任推廣之路面臨很大阻力。面對市場秩序的混亂和技術標準的欠缺,通過標準手段構建生態,對于引導產業技術發展以及企業開展零信任實踐,都具有很強的借鑒意義和參考價值。
《服務訪問過程持續保護指南》作為首個零信任領域的國際標準,詳細界定了標準的實施范圍,零信任相關概念的定義,同時深度分析了服務訪問進程中的安全威脅,并對服務訪問流程的安全要求、參考框架進行了詳細解釋,此外還根據典型的零信任應用場景進行多維度解析。
該標準的成功發布,推動了零信任理念的創新,即由“持續驗證”向“持續保護”內涵的升級。相較于傳統“持續驗證,永不信任”技術理念下對身份認證、資源訪問的控制,ITU-T零信任標準聚焦的范圍延展到了“事前、事中、事后”全過程全要素的安全保護。“持續保護”具體而言,包括持續強化所有相關對象的安全(如用戶、設備、資源、網絡等),檢測不安全實體、不安全行為以及動態執行授權決策和響應威脅,最大化降低安全風險。
(零信任安全理念)
例如,在遠程工作場景、訪問多云服務場景、服務器與服務器之間通信的三大典型應用場景中,“持續保護”使得用戶不需要維護多個訪問接口,即可實現使用一個訪問控制策略來管理不同的云的資源,還能避免諸如分布式拒絕服務(DDoS)攻擊等各類型網絡攻擊。部署“持續保護”具有諸多優勢,包括有助于做出更精確的授權決定,縮小服務器的攻擊面,兼顧更好的用戶體驗和更強的安全性等。
凝聚中國零信任創新實踐
助力構建全球零信任安全生態
本次標準的發布,充分凝聚了中國在零信任領域的探索和實踐。在2019年,騰訊便聯合國家互聯網應急中心(CNCERT)、中國移動通信集團設計院等零信任領域同行,共同申報零信任國際標準。經過由全球200多名專家嚴苛審核的立項、答辯環節之后,不斷更新、精心打磨的標準得以在三年后順利通過。這是新一代企業網絡安全體系背景下,中國網絡安全解決方案邁向世界舞臺的一個縮影。
標準的通過,也意味著騰訊等企業探索及應用零信任的最佳實踐,正成為全行業可復制的參考樣本。騰訊作為該標準的牽頭方,自2016年起便率先在公司內部進行零信任安全解決方案的實踐。在2020年疫情期間,騰訊基于多年實戰驗證打造的騰訊零信任iOA系統,安全滿足了騰訊七萬名員工、十萬臺終端的遠程辦公需求,完整支持包括內網訪問、遠程辦公、云資源訪問、合作及子公司職場協作辦公等各類辦公場景,為騰訊的整體職場管理運營提供安全和技術支撐。
騰訊iOA以持續訪問控制為核心,圍繞身份安全、設備安全、應用安全、鏈路安全等要素,持續檢測關鍵對象的安全狀態,并根據安全狀態動態調整訪問權限,同時提供對關鍵對象全生命周期的安全保護。目前,騰訊iOA已在政務、醫療、交通、金融等多個行業成功應用,支持百萬終端設備的安全接入。同時系統支持SaaS化和私有化模式部署交付,滿足遠程辦公/運維、混合云業務、分支安全接入、應用數據安全調用、統一身份與業務集中管控、全球鏈路加速訪問等多個場景的動態訪問控制需求,并通過模塊化思路完美解決企業多樣化安全需求,成功護航企業安全。
標準化的過程也是生態建立的過程,《服務訪問過程持續保護指南》的發布,對于推動全球零信任技術商用進程有著重大意義。未來,騰訊安全將繼續發揮自身在零信任領域的技術優勢和實踐經驗,協同生態伙伴一道共同促進零信任產業規模化發展,更好地護航產業互聯網發展。
