零信任是一种全新的网络安全防护理念。
零信任基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。它是一个全面的安全模型,它涵盖了网络安全、应用安全、数据安全等各个方面,致力于构建一个以身份为中心的策略模型以实现动态的访问控制。
简而言之,零信任将每个人和一切都视为敌对,在零信任模式下,企业网络内外的任何人、设备和系统都需要“持续验证,永不信任”,基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全和访问控制安全。
万物互联时代,网络边界泛化带来诸多的安全风险,零信任“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型,通过零信任,可以防止恶意用户在企业边界内部访问私有资源、防止数据泄露以及恶意操作,因此其受到追捧。
零信任的三大核心技术是软件定义边界、身份权限管理、微隔离。
一直以来,IT 行业一直是用周边安全策略保护例如用户数据和知识产权这类最有价值的资源。这些安全策略主要是通过使用防火墙和其他基于网络的工具来检查和验证进出网络的用户。
随着云计算、大数据、物联网等新兴技术的不断兴起,企业 IT 架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。各个企业有成千上万的个人从家中电脑进行连接,脱离了 IT 部门的掌控。而且 ,用户、数据和资源分布在全球各地,难以快速、安全地连接起来。而脱离了传统本地基础结构的保护,员工的家中环境更易受受到攻击,从而给业务带来风险。
零信任就可以解决这种数据驱动的混合云环境的安全需求。它可以为各个企业提供了自适应的持续保护,还能够主动管理威胁。
零信任的发展
在 2010 年,Forrester 的一位分析师提出了零信任的概念。其工作原理是假设每一个连接和端点都被视为威胁。
谷歌是最早投入零信任安全架构研发与实践的公司。2020 年 4 月,谷歌宣布完成其内部使用的远程安全访问零信任方案 BeyondCorp 的产品化,并在谷歌云服务上发布销售。
近年来,国内的零信任市场也风头强劲。
- 腾讯也选择了自用转外销,从 2015 年开始自主设计、研发并在内部实践落地了一套零信任安全管理系统-腾讯 ioA,通过 SaaS 模式和私有化部署交付。
- 阿里云也推出办公零信任解决方案,类似谷歌的 BeyondCorp 简化版本。
目前国内做零信任的安全厂商有几大流派:
- 一些公司,如奇安信、竹云是从身份认证角度切入;
- 一些公司则是从传统远程办公,也就是 VPN 角度切入,如深信服推出了零信任 VPN;
- 一些公司从传统网络安全层面切入,如华为下沉到了网络层面的防护;
- 还有一些公司从微隔离角度切入。