企业博客
零信任——作为2020年网络安全行业最火的名词,到底是什么意思?
相信大家在使用众多的互联网应用时,一定遇到过包括设备验证、短信验证、滑动条验证等各种验证方式。而无论是工作场景还是社交需求,我们都身处一个处处需要身份验证的互联网世界,只有向系统证明了自己的“身份”,我们才能“自由”地访问应用资源。
当身份验证、登录成功后,此时的系统默认只要通过一次身份验证,整个网络访问的过程就是安全的。但如果我们上网到中途需要离开怎么办?此时的系统会始终默认电脑的这一端,就一定是安全的访问者吗?
1993年《纽约客》刊登的一则漫画曾戏谑道:“在互联网上没人知道你是一条狗。”寓意在电脑的另一端,你永远不知道你将面对的是什么,现如今是不是狗或许都不重要,怕的是电脑的另一端是蓄谋已久的黑客和互联网内外无处不在的威胁。因此除了账号密码登录、短信验证、滑动验证等这类“一次性”验证方式,我们还需要在访问过程中不断验证访问者身份信息,才能确保网络访问的安全。而零信任的核心也正是如此:永不信任,始终验证。
在《零信任网络:在不可信网络中构建完全系统》一书中,作者曾用五句话对零信任进行了抽象的概括:
简单来说,零信任作为一种全新的安全理念和架构,其核心思想就是:在默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。而这里的人、事、物,通常指的是发起网络访问的用户、终端设备以及访问过程中的所有行为。
零信任的雏形最早源于2004年成立的Jericho Forum耶利哥公益论坛,当时是为了寻求网络无边界化趋势下的全新安全架构及解决方案,首次在论坛上提出了去边界化安全的理念。直到2010年,著名机构Forrester的首席分析师约翰·金德瓦格才正式提出“零信任”一词。
而零信任最早的实践者是Google,据说Google一名雇员在工作时不小心点了一封恶意邮件,导致内部重要信息泄露。于是Google在2011年前后开展了BeyondCorp项目,并在2014年发表了著名的BeyondCorp零信任安全模型系列论文。直到今天,BeyondCorp系列论文仍是企业或组织践行零信任安全架构必不可少的理论基础。
而后CSA云安全联盟和NIST美国国家标准与技术研究院出版了一系列标准,大力推动零信任安全理念的落地与实用化。业界也对零信任理论和实践不断完善,推动零信任从原型概念向主流网络安全技术架构逐步演进,现已逐渐演变成覆盖云环境、大数据中心等多种场景的新一代安全架构。
2020年疫情期间,我国有超过3亿人远程居家办公。简单的协同沟通、视频会议、文档交付等工作可以解决,但工作内容一旦涉及远程开发、远程运维、内部数据和业务系统访问等场景时该如何解决?远程办公过程中将面临的企业资源暴露、数据泄露、访问设备的安全问题又该怎样解决?我们又该怎样解决不同工作场景及业务需求下对远程办公所提出的更高要求?
这一系列问题,零信任安全架构都能给出答案,它不仅能保护公司内网所有数据资源,也能保证在不同业务场景下的工作人员拥有与之匹配的用户权限。2020年,网络安全人士Pulse Secure发布的一份关于零信任的报告中指出,零信任在实际应用中最受关注的三大功能分别是:
面对不同的应用环境和业务场景,零信任安全架构有多种灵活的实现方式和部署模式。除了可以实现远程办公、远程访问数据中心、连接云计算平台,零信任安全架构在未来将更加适用于物联网、5G应用以及数字经济、数字产业转型等多种场景。其中,随着5G技术和应用的不断发展,Gartner在其行业报告中更是将零信任安全列为5G安全战略三大支柱之一。
说了这么多,你懂到底什么是零信任了吗?网络安全行业专业人士杰克·伯班克解释了目前零信任实施和规划的现实,他认为:“零信任不是单一产品,也不是单一的方法或技术。对于一个企业或组织来说,更是一种态度,一种决心将网络安全放到优先事项,进而通过资源支撑起来的安全架构。”在这里,云山雾隐总结了到底什么是零信任:
1.零信任不是一种具体的产品或技术,而是一种安全理念,目的是为了建立更好的网络安全秩序;
2.零信任默认网络内外,时时刻刻都充满了威胁;
3.零信任认为一次性验证、静态验证都是不可靠的,应当采取的是动态安全验证。
同时还需要注意的是,对于一个企业或组织来说零信任安全架构的实现往往需要较长的时间和整体布局,但零信任产品却是实现零信任安全架构必不可少的工具,也是企业或组织践行零信任安全架构的第一步。
端隐零信任安全系列产品
点击“立即咨询”,了解/购买云山雾隐的产品、解决方案及服务。
