本文来自微信公众号“安在”,作者/绵总。
零信任,作为近年来网络安全领域最为火热的技术之一,它的存在为组织网络架构和安全建设提供了新的思路和方向,“持续验证、永不信任”的零信任正在成为开拓新一代组织网络安全建设的核心。不少甲方企业在使用过零信任之后,对于零信任技术解决当下企业安全中的如身份权限管理混乱、终端安全及安全运营等主要问题表达了充分的认可。然而,也有不少企业表示,中国零信任市场混乱,产品标准不一,质量参差不齐,不少厂商挂羊头卖狗肉;在使用体验方面,有些企业认为零信任相较于过去的安全架构有些过度防御,更有甚者甚至提出了零信任已死这骇人听闻的观点。
当下的零信任正在饱受争议,市场评价两极分化,质疑声不断。零信任产品如何选择?甲方企业在应用零信任的时候要注意哪些?中国零信任产业当下处于何种状态?带着这些疑问,安在采访了身处零信任产业的几位专家,以他们的亲身经历来寻找答案。
1
运营是实现零信任架构的核心
零信任不是一个黑盒子,或者是单独的一套解决方案,而是一个概念。企业落地零信任不要期望一蹴而就,而是要做好长期运营的准备。“零信任架构与其他安全架构的最大区别是强调运营的重要性。”乐信集团信息安全中心总监刘志诚在采访中说道。
据他介绍,乐信集团在2020年开始尝试落地零信任,当时,乐信在无线网络管控方面发现了问题。乐信在PC设备上的准入策略主要集中于内网,在无线网络方面未能部署相关策略,这导致无线网络成为威胁企业安全的主要漏洞。发现这个问题后,刘志诚开始寻求能够进一步管控设备和账号的解决方案。
另一方面,作为互联网企业,乐信的主要业务是ToC的,对外开放的。但是在运营的过程中,ToC的管控手段不能和业务一样对外开放,这就需要将运营系统内网化。在这个场景下,企业的运营系统需要验证网络、终端、策略等等,这种验证模式和零信任架构的管控模式高度相似,同时基于零信任对身份和账号具有细粒度的管控能力,刘志诚决定在这两个场景下尝试落地零信任架构。
在进一步的实践和探索中,乐信集团认可了零信任架构,并将自身安全体系进行了全面的升级。目前,乐信集团的整个信息安全体系均已采用零信任的架构。在总部及各分支机构的网络架构中,乐信采用了内外网隔离,任何对象在发起访问时都要经过终端安全策略的管控、验证以及对账号的管控。在资源访问方面,乐信采用了基于零信任架构的动态资源访问策略,无论是在远程办公场景、内网办公场景、移动办公场景还是在分支机构都实施了一致的安全策略。
当然,落地零信任势必会将固有的网络安全架构进行迭代和升级,但这种升级不是完全的对立,而是要长期保持以零信任和基于边界的混合模式运营。刘志诚表示,零信任目前更多聚焦于应用层的安全管控,那么就要调整过去在网络层面的管控策略。
“零信任使用体验不佳的根源是网络层和应用层管控策略的冲突。”刘志诚表示,在应用零信任架构后,组织如果未及时对网络层的管控进行调整,就会导致员工在使用的过程中先经过网络层验证,又经过应用层验证。这种层层验证带来的不良体验感不是零信任产品、解决方案及厂商造成的,而是组织运营团队带来的问题。
然而,调整网络层策略并不是完全舍弃内网管控,无论是过去还是现在,基于边界的防护理念始终保持着防护效果,存在即合理,不要因为上了零信任而将边界防护体系完全抛弃,反而要常态化保持零信任和边界防御兼具的安全架构。
因此,在层层验证方面,刘志诚建议可以采用直连网关的概念,通过复用网络准入层的安全策略来解决这个问题,换言之就是在兼容传统网络边界安全管控的前提下落实零信任管控策略。
从上述可以看出,组织落地零信任不能完全依靠厂商,而是需要将精细化管控,同时,零信任架构也会进一步细化企业的安全管理。据刘志诚介绍,自应用零信任架构后,安全部门对于企业整体安全状况的管控能力大大加强,管控的细粒度也得到了增长。
过去基于边界的防护模式会对内网默认信任,而这种信任在当下面对横向移动等内部攻击手段面前是具备非常大的风险,在加入零信任后,就可以内部访问管理加上安全控制的节点,通过这种控制策略可以实现资源、用户、设备三元关系的确认。通过这三元验证机制可以保障组织在网络层、应用层的安全,从安全管控的视角来看,这是一个较为理想的方案。
刘志诚再一次强调,零信任不是一蹴而就的,而是需要常态化运营来最大实现零信任策略的价值。零信任不是建设之后就结束了,它是基于动态策略之上的,建立策略、优化策略、调整策略的核心就是运营。只做建设不做运营,零信任就会变得形同虚设,整体使用体验也就无从谈起。
2
零信任还需要更进一步
关于零信任的体验感,零信任产业的另一端也发表了看法。易安联案营销总监张晓东表示,由于零信任是从过去静态的、基于网络边界转移到动态的,关注用户、资产和资源的主动防御模式。访问控制是零信任架构实现的关键,这导致上到公司老板,下到前台行政,每一位员工都成为了组织安全的参与者。
另外,零信任有时也在替其他安全产品背锅。张晓东举例道,有的企业会将零信任与现有的数据源的接口、短信验证码接口以及应用门户等等第三方产品相结合,当第三方产品出现问题时,企业很可能将问题归咎于零信任。对此,张晓东建议到,在落地零信任解决方案时,需要增加一个全面的监控,对零信任及第三方进行状态检测,并进行全景化视图。当客户出现问题时,可以快速定位和分析故障来源,确保零信任解决方案的正常运转。
除此之外,碎片化的市场也是让用户质疑零信任的主要原因。据中国信通院《零信任发展洞察报告(2022年)》统计,当前中国的零信任市场是以问题为导向的,网络攻击不是全盘攻击,攻击者往往只需要突破一个点,就能够达成攻击结果。因此,基于零信任展开的安全防护不再像过去拥有一套完备的顶层架构,而是针对包括网络环境安全、终端安全、应用安全和负载、数据安全及安全管理等各个问题进行延伸。这导致整个零信任市场非常分散,竞争压力较大。
“很多厂商做零信任都是在过去擅长的领域延伸,过去做网关的厂商,其零信任产品在网关方面比较强,同理,过去做终端的厂商其零信任产品在终端方面比较强。”张晓东表示,在这种情况下,单独的厂商是无法支撑一个涉及终端、网络、应用、数据、身份等多个环节的全面的零信任体系。大多数厂商在落地零信任时,都会偏向从擅长的环节开始建设,其他环节虽然能够提供,但最终呈现的效果往往不尽人意,从而使用户认为零信任市场名不符实,空中楼阁。
换言之,零信任缺乏进一步的标准。
张晓东认为,当下无论是国家针对零信任提出的标准,还是其他行业或安全厂商牵头提出的标准,它都是从零信任本身的安全能力维度去制定的,较为通用,但无法体现价值。他认为,当下零信任缺少的是在特定应用场景中或是特定行业领域中的零信任落地标准。当存在这种标准时,用户才能拥有一个可参考的范本,才能对零信任树立信心,并对厂商提出更高的要求。
刘志诚表示,单靠标准也不能完全推动零信任产业发展,因为很少有标准能够放之四海而皆准的。因此,乐信集团在建设零信任的过程中,对其供应商提出了很多修改意见,通过不断地磨合和整改,最终实现了整体的零信任架构。他表示,业界对于零信任理念是一致的,但在产品实现和落地方面,往往会因为设计或具体场景的不同产生偏差,这就需要通过运营来使供应商的零信任进一步贴合企业的需求。
除此之外,零信任还需要发展的时间。作为一种概念和思想,零信任的起源其实很早。早在2004年,零信任概念就在耶利哥论坛上提出,当时该论坛成立的目的是定义无边界趋势下的网络安全问题并寻求解决方案。2010年,Forrester的分析师约翰·金德维格首次提出了零信任安全的概念,其核心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。此后,在谷歌的实践和推广下,零信任开始全面在市场普及。
国内零信任产业起步虽然较晚,但发展速度很快。2017年,Gartner在安全与风险管理峰会上发布CARTA模型(持续自适应风险与信任评估)并提出零信任是实现CARTA宏图的初始步骤。与此同时,国内不少安全厂商注意到了这一点,很多厂商将零信任视为新的增长点,将零信任概念纳入到传统安全产品中。2020年,美国国家标准与技术研究院NIST发布《零信任架构标准》正式版。同年,国内零信任开始迅猛增长。2019RSA大会上,零信任厂商仅有39家,到了2020年,RSA大会上的零信任厂商多达91家,仅仅一年时间,零信任行业的发展速度就增加了133%。
“零信任的步子迈的太快了”某金融科技信息安全专家蔚晨在采访中提到。他认为,零信任发展的时间太短,步伐太快,使整个产业过于浮躁。当下愈发激烈的网络安全环境逼迫着企业寻求零信任这种更细粒度的安全策略,同时,厂商为了寻求新的增长点,开始朝着零信任布局。看似一拍即合的双方,却因为对零信任的认知不同以及过度碎片化的市场导致质疑声不断。
除此之外,近年来推出的AI安全、算法安全乃至机器语言安全都表明了信息安全一直在外延和扩展。如此广泛的领域让很多大的概念在提出时没有一个确切的落脚点,零信任就是一个大的概念。蔚晨表示,零信任现在就处于盲人摸象的阶段,每一个参与者都在凭借自己的认知和经验来定义零信任,因此,零信任想要成熟还需要一个大浪淘沙的过程,这也是每一个安全技术发展的必经之路。
03
零信任已死?
从当前阶段看来,零信任已死这句话有些夸张。据Gartner预测,中国的零信任市场成熟度即将迎来攀升期。对此张晓东表示,此前的疫情对甲方和乙方都有很大的影响,各个行业的预算都有一定的削减,同时,零信任产品的迭代和规划也不得不放缓。但现在,疫情已经消散,市场正在逐步的复苏,无论是甲方还是乙方都能够进行面对面的沟通和交流,同时,很多搁置的项目也会再一次启动,整个零信任产业也必将迎来新一轮的发展。
但是,趋势不代表现实,零信任目前缺乏标准,也缺乏实践,想要脱离空中楼阁,那么就必须要先打好地基。什么是地基?张晓东认为零信任的地基来自于厂商将零信任真正的安全价值发挥出来。“不要让零信任的领先性只局限于理念。”他表示,现在需要有大量的从业者花费大量的精力去企业中,认真发掘零信任产品和架构在落地时有哪些问题。只有当所有厂商都在为这一件事情努力时,才能让零信任在更多的行业和场景落地,才能实现真正的价值。
刘志诚表示,零信任需要进一步的开放和兼容,将其从紧耦合的状态拆解成一个个原子能力,形成类似于云原生的微服务解决方案。企业通过与供应商的磨合,将零信任的一个个原子能力适配到各个场景的具体需求,并通过精细化的运营来使其完全发挥出价值。“对于企业来说,通过运营来实现零信任才是一个较为理想的结构。”
蔚晨表示,零信任产业的发展也不能单单依靠厂商,而是产业上的每一环节的每一个参与者一起努力,共同挖掘和实现零信任的价值。“零信任需要的是脚踏实地的实践者,而不是站在山头上喊口号。”
回过头来看,2023年或许是零信任产业发展的转折点,在越来越多的实践案例促进下,零信任产业或许能够在每一位参与者励精图治中,让舆论调头,让价值提升。
