備受關注的“零信任”安全理念再度迎來發展里程碑。近日,國際電信標準組織ITU-T正式對外發布由騰訊牽頭提報的《Guidelines for continuous protection of the service access process》(《服務訪問過程持續保護指南》)。該標準重點分析了服務訪問過程中的安全威脅,規定了檢測異常訪問活動的安全保護措施以及服務接入流程的安全要求規範等,推動零信任內涵從“持續驗證”向“持續保護”升級。
本次標準也是全球範圍內首個零信任領域的國際標準,不僅代表著中國零信任的創新實踐和技術正規化走入了全球視野,也將進一步驅動零信任理念在更多領域生根發芽,成為護航產業數字化的基石。
在雲計算、大資料、5G、物聯網等技術的推動下,IT不再像過去那樣有明確的邊界,遠端辦公、移動辦公等成為常態。這使得傳統基於防火牆的物理邊界防禦方式已不再適用,而基於IT無邊界化趨勢下興起的零信任安全理念則成為大勢所趨。自2010年零信任理念誕生以來,全球多家機構企業紛紛開始探索這一理念的內涵,並推動落地。據市場研究機構MarketsandMarkets 的報告顯示,全球零信任安全市場規模預計將從2019年的156億美元增長到 2024 年的386億美元。
然而,零信任理念在落地中仍然面臨諸多困難。由於業內廠商都基於自身技術研發和實踐經驗各自為戰,導致缺乏共通的話語體系,零信任推廣之路面臨很大阻力。面對市場秩序的混亂和技術標準的欠缺,透過標準手段構建生態,對於引導產業技術發展以及企業開展零信任實踐,都具有很強的借鑑意義和參考價值。
《服務訪問過程持續保護指南》作為首個零信任領域的國際標準,詳細界定了標準的實施範圍,零信任相關概念的定義,同時深度分析了服務訪問程序中的安全威脅,並對服務訪問流程的安全要求、參考框架進行了詳細解釋,此外還根據典型的零信任應用場景進行多維度解析。
該標準的成功釋出,推動了零信任理念的創新,即由“持續驗證”向“持續保護”內涵的升級。相較於傳統“持續驗證,永不信任”技術理念下對身份認證、資源訪問的控制,ITU-T零信任標準聚焦的範圍延展到了“事前、事中、事後”全過程全要素的安全保護。“持續保護”具體而言,包括持續強化所有相關物件的安全(如使用者、裝置、資源、網路等),檢測不安全實體、不安全行為以及動態執行授權決策和響應威脅,最大化降低安全風險。
例如,在遠端工作場景、訪問多雲服務場景、伺服器與伺服器之間通訊的三大典型應用場景中,“持續保護”使得使用者不需要維護多個訪問介面,即可實現使用一個訪問控制策略來管理不同的雲的資源,還能避免諸如分散式拒絕服務(DDoS)攻擊等各型別網路攻擊。部署“持續保護”具有諸多優勢,包括有助於做出更精確的授權決定,縮小伺服器的攻擊面,兼顧更好的使用者體驗和更強的安全性等。
本次標準的釋出,充分凝聚了中國在零信任領域的探索和實踐。在2019年,騰訊便聯合國家網際網路應急中心(CNCERT)、中國行動通訊集團設計院等零信任領域同行,共同申報零信任國際標準。經過由全球200多名專家嚴苛稽核的立項、答辯環節之後,不斷更新、精心打磨的標準得以在三年後順利透過。這是新一代企業網路安全體系背景下,中國網路安全解決方案邁向世界舞臺的一個縮影。
標準的透過,也意味著騰訊等企業探索及應用零信任的最佳實踐,正成為全行業可複製的參考樣本。騰訊作為該標準的牽頭方,自2016年起便率先在公司內部進行零信任安全解決方案的實踐。在2020年疫情期間,騰訊基於多年實戰驗證打造的騰訊零信任iOA系統,安全滿足了騰訊七萬名員工、十萬臺終端的遠端辦公需求,完整支援包括內網訪問、遠端辦公、雲資源訪問、合作及子公司職場協作辦公等各類辦公場景,為騰訊的整體職場管理運營提供安全和技術支撐。
騰訊iOA以持續訪問控制為核心,圍繞身份安全、裝置安全、應用安全、鏈路安全等要素,持續檢測關鍵物件的安全狀態,並根據安全狀態動態調整訪問許可權,同時提供對關鍵物件全生命週期的安全保護。目前,騰訊iOA已在政務、醫療、交通、金融等多個行業成功應用,支援百萬終端裝置的安全接入。同時系統支援SaaS化和私有化模式部署交付,滿足遠端辦公/運維、混合雲業務、分支安全接入、應用資料安全呼叫、統一身份與業務集中管控、全球鏈路加速訪問等多個場景的動態訪問控制需求,並透過模組化思路完美解決企業多樣化安全需求,成功護航企業安全。
來源: 東方網