网络安全专题报告:零信任安全,数字时代的主流安全架构
- 来源:未来智库
- 发布时间:2020/08/25
- 浏览次数:35700
- 举报
一、零信任将成为数字时代主流的网络安全架构
1.1 零信任是面向数字时代的新型安全防护理念
零信任是一种以资源保护为核心的网络安全范式。《零信任网络:在不可信网络中构建安全系统》 一书对零信任安全进行了简要归纳和概况:1)网络无时无刻不处于危险的环境中;2)网络中自始 至终都存在外部或内部威胁;3)网络位置不足以决定网络的可信程度;4)所有的设备、用户和网 络流量都应当经过认证和授权;5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。 因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的,需要基 于认证和授权重构访问控制的信任基础。零信任的雏形最早源于 2004 年耶利哥论坛提出的去边界 化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的术语。经过近十年的 探索,零信任的理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。
数字时代下,旧式边界安全防护逐渐失效。传统的安全防护是以边界为核心的,基于边界构建的网 络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM 及入侵防御检测等安 全产品的组合将安全攻击阻挡在边界之外。这种建设方式一定程度上默认内网是安全的,而目前我 国多数政企仍然是围绕边界来构建安全防护体系,对于内网安全常常是缺失的,在日益频繁的网 络攻防对抗中也暴露出弊端。而云大物移智等新兴技术的应用使得 IT 基础架构发生根本性变化, 可扩展的混合 IT 环境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势,传 统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全防护效果有限。面对日益 复杂的网络安全态势,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网 络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势。
1.2 “SIM”为零信任架构的三大关键技术
零信任的本质是以身份为中心进行动态访问控制。零信任对访问主体与访问客体之间的数据访问 和认证验证进行处理,其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用 程序通信的数据平面。访问主体通过控制平面发起访问请求,经由信任评估引擎、访问控制引擎实 施身份认证及授权,获得许可后系统动态 数据平面,访问代理接受来自主体的数据,从而建立一 次可信的安全访问链接。过程中,信任评估引擎将持续进行信任评估工作,访问控制引擎对评估数 据进行零信任策略决策运算,来判断访问控制策略是否需要作出改变,若需要作出改变时,将及时 通过访问代理中断此前连接,从而有效实现对资源的保护。综上,可将零信任架构原则归纳为以下 五个:
将身份作为访问控制的基础:零信任架构对网络、设备、应用、用户等所有对象赋予数字身 份,基于身份来构建访问控制体系;
最小权限原则:零信任架构中强调资源按需分配使用,授予的是执行任务所需的最小特权, 并限制资源的可见性;
实时计算访问控制策略:零信任的授权决策根据访问主体的身份、权限等信息进行实时计算, 形成访问控制策略,一旦授权决策依据发生变化,将重新进行计算,必要时将即时变更授权 决策;
资源受控安全访问:零信任架构对所有业务场景及资源的每一个访问请求都进行强制身份识 别和授权判定,符合安全策略才予以放行,实现会话级别的细粒度访问控制,同时所有的访 问连接均须加密;
基于多源数据进行信任等级持续评估:零信任架构中访问主体的信任等级是根据实时多源数 据(如身份、权限、访问日志等)计算得出,人工智能技术提高了信任评估策略的计算效率, 实现零信任架构在安全性、可靠性、可用性及成本方面的综合平衡。
“SIM”,即 SDP(软件定义边界)、IAM(身份与访问管理)、MSG(微隔离)是实现零信任 架构的三大关键技术。NIST(美国国家标准委员会)在 2019 年发布的《零信任架构 ZTA》白皮书 中,总结出实现零信任架构的三大核心技术“SIM”,分别是“S”,即 SDP(软件定义边界); “I”,即 IAM(身份与访问管理);“M”,即 MSG(微隔离)。
1) SDP(软件定义边界)
SDP 技术是通过软件的方式,在“移动+云”的背景下构建起虚拟 ,利用基于身份的访问控制及 完备的权限认证机制提供有效的隐身保护。SDP 是由云安全联盟(CSA)开发的一个安全框架,其体系结构主要包括 SDP 客户端、SDP 控制器及 SDP 网关这三个组件,其中客户端主要负责验 证用户身份,将访问请求转发给网关,控制器负责身份认证及配置策略,管控全过程,网关主要保 护业务系统,防护各类网络攻击,只允许来自合法客户端的流量通过。SDP 可将所有应用程序隐 藏,访问者不知应用的具体位置,同时所有访问流量均通过加密方式传输,并在访问端与被访问端 之间点对点传输,其具备的持续认证、细粒度的上下文访问控制、信令分离等防御理念可有效解决 企业业务拓展中的安全问题,成为了零信任理念的最佳践行之一。
2)IAM(身份与访问管理)
全面身份化是零信任架构的基石,零信任所需的 IAM 技术通过围绕身份、权限、环境等信息进行 有效管控与治理,从而保证正确的身份在正确的访问环境下,基于正当理由访问正确的资源。随着 数字化转型的不断深入,业务的云化、终端的激增均使得企业 IT 环境变得更加复杂,传统静态且 封闭的身份与访问管理机制已不能适应这种变化,因此零信任中的 IAM 将更加敏捷、灵活且智能, 需要适应各种新兴的业务场景,能够采用动态的策略实现自主完善,可以不断调整以满足实际的安 全需求。
3)MSG(微隔离)
微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流 量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。当前微隔离方案主要有 三种技术路线,分别是云原生微隔离、API 对接微隔离以及主机代理微隔离,其中主机代理微隔离 更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。
1.3 零信任安全应用场景丰富
今年在疫情及新基建的双重刺激下,远程办公、云计算得到快速发展,政府大数据快速推进,对于 零信任安全建设的必要性亦大大增强。而基于零信任的安全架构可以很好地兼容云计算、大数据、 物联网等各类新兴应用场景,支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构。 如适用于远程办公的零信任安全架构,不再区分内外网,在人员、设备及业务之间构建虚拟的、基 于身份的逻辑边界,实现一体化的动态访问控制体系,不仅可以减少攻击暴露面,增强对企业应用 和数据的保护,还可通过现有工具的集成大幅降低零信任潜在建设成本。在大数据中心的应用场景 中,东西向流量大幅增加,传统以南北向业务模型为基础研发的安全产品已不适用,零信任架构可 通过微隔离技术实现有效防护。
零信任架构具备多种灵活的实现部署方式,适应多场景。现代 IT 环境下,业务场景呈现多样化趋 势,根据访问主客体、流量模型以及业务架构可将这些场景归纳为三大类:业务访问、数据交换以 及服务网格场景。其中业务访问场景是指用户访问业务应用的场景,是零信任架构的主要应用场景, 包含移动办公、PC 办公等各类子场景,成功的零信任解决方案能够满足不同访问主体(如内部员 工、临时员工以及外部人员等)、不同设备对各种应用协议的业务访问需求,在保持整体相同架构 情况下具有高度适应性。大数据时代下数据交换场景变得更加频繁,相应的零信任解决方案需要有 效应对接口多样化、运行环境多样化等挑战。服务网格场景,即数据中心内部服务器间的多方交互 场景,是对业务架构嵌入最深的场景,由于节点数量较多,对零信任架构中的动态访问控制引擎及 信任评估引擎要求更高。
二、零信任已从概念走向落地,迎来强劲风口
2.1 中美双双加码零信任安全
2019 年起美国相关组织陆续发布了多项零信任相关的报告或标准。2019 年 4 月,ACT-IAC(美 国技术委员会—行业咨询委员会)发布了《零信任网络安全当前趋势》,对当前零信任的技术成熟 度及可用性进行评估,随后 DIB(国防创新委员会)、NIST(美国国家标准委员会)均发表了零信任相关 的报告或标准,其中《零信任架构》标准正式版也于今年 8 月 11 日发布,此外,Forrester 在《 2019 年度预 测:转型走向务实》中明确指出零信任将在美国某些特定的领域成为标准的、阶段性的网络安全架构。
值得注意的是,美国国防部已明确将零信任实施列为最高优先事项。无论是 DIB(国防创新委员会) 提出的《零信任架构(ZTA)建议》还是 2019 年美国的《国防部数字现代化战略》中,均将零信任实施列为 最高优先事项,侧面反映出美国政府及军队对于零信任架构的深刻认知和重视。
我国零信任亦紧锣密鼓地展开,标准及应用案例逐渐落地。2019 年 9 月,工信部发布的《关于促 进网络安全产业发展的指导意见(征求意见稿)》中将“零信任安全”列入需要“着力突破的网络 安全关键技术”。2019 年 7 月腾讯牵头提交的《零信任安全技术—参考框架》行业标准通过评审,成为我国首个立项的零信任安全技术行业标准。此外,奇安信发起的零信任首个国家标准《信息安 全技术零信任 参考体系架构》已成功立项。同时,自 2019 年起国内部分机构也开始将零信任作 为新建 IT 基础设施的安全架构,能源、银行、通信等行业也针对新型业务场景开展零信任技术的 研究及试点工作。
2.2 零信任安全正在普及应用
零信任架构成为企业 IT 安全建设的必然选择。2019 年底,Cybersecurity Insiders 联合 Zscaler 发布 的《2019 零信任安全市场普及行业报告》指出,62%的受访者表示目前最大的应用程序安全挑战是 确保对分布在数据中心和云环境中的私有应用程序的访问安全,对此企业所采用的安全措施主要 是身份和访问管理(72%)、数据丢失预防(51%)、BYOD/移动安全(50%)等,这些措施均与 零信任相关。报告指出,78%的 IT 安全团队希望在未来应用零信任架构,19%的受访者正积极实施 零信任,而 15%的受访者已经实施了零信任,零信任安全正迅速流行起来。
此外,受访者表示零信任被看重的优点在于零信任安全访问能够提供最低权限的访问来保护私有 应用程序(66%)、应用程序不再暴露给未经授权的用户或互联网(55%)以及访问私有应用程序 不再需要网络访问(44%)。而通过落地的零信任应用领域看,主要集中在安全访问运行在混合和 公共云环境中的私有应用程序(37%)、使用现代远程访问服务取代 VPN(33%),以及控制对私 有应用程序的第三方访问(18%)。
零信任作为全新的安全理念,需要基于业务需求、安全运营现状、技术发展趋势等对零信任能力进 行持续完善和演进。零信任的迁移并不是一蹴而就,需要结合企业现状、同一目标和愿景进行妥善 规划和分布建设。Gartner 的《零信任访问指南》认为到 2022 年,在向生态合作伙伴开放的新数 字业务应用程序中,80%将通过零信任进行网络访问,到 2023 年,60%的企业将采用零信任替代 大部分远程访问虚拟专用网(VPN)。
2.3 海外零信任产业已初具规模,国内即将步入建设高峰
海外零信任起步较早,目前已初具规模。Google、Microsoft 等巨头率先在企业内部实践零信任并 推出了完整的解决方案;OKTA、Centrify、Ping Identity 等为代表的身份安全厂商推出“以身份为 中心”的零信任方案;Cisco、Symantec、VMware、F5 等公司推出了偏重于网络实施方式的零信 任方案;此外 Vidder、Cryptzone、Zscaler、Illumio 等创业公司亦表现。 根据 Forrester 在 2020 年二季度对于零信任产业的统计数据,按照零信任解决方案收入规模,市场的供应商可分为三类, 其中零信任相关营收超过 1.9 亿美元的厂商已超过 10 家,海外零信任已经进入规模化产业发展 阶段。
国内安全厂商积极布局零信任。尽管 Forrester Wave 的零信任扩展的生态系统平台提供商矩阵中 未见国内安全厂商身影,但奇安信、深信服、启明星辰、绿盟科技等厂商始终关注国际网络安全技 术发展趋势,均推出了相应的零信任整体解决方案。此外,山石网科、云深互联等厂商亦积极推动 SDP、微隔离等零信任技术方案的落地应用。在零信任快速普及的背景均有望迎来良好的发展机 遇。
三、重点企业分析(详见报告原文)
数字时代下,云大物移等新兴技术的融合与发展使得传统边界安全防护理念逐渐失效,而零信任 安全建立以身份为中心进行动态访问控制,必将成为数字时代下主流的网络安全架构。当前海外 零信任产业已进入规模化发展阶段,国内厂商已陆续推出自身的零信任产品或解决方案。在零信任 安全逐渐普及的背景下,我们认为两类厂商最为受益:一是综合实力强劲并已有相应产品或解决方 案推出的网络安全公司;二是在 SDP、IAM、MSG 或是某一应用场景具备突出优势的厂商。
……
(报告观点属于原作者,仅供参考。报告来源:东方证券)
如需完整报告请登录【未来智库官网】。
(本文仅供参考,不代表我们的任何投资建议。如需使用相关信息,请参阅报告原文。)
- 相关标签
- 相关专题
- 相关文档
- 相关文章
- 全部热门
- 本年热门
- 本季热门
- 1 网络安全行业深度研究报告:七大核心赛道全面梳理.pdf
- 2 网络安全行业深度研究:驱动因素、竞争格局、未来趋势.pdf
- 3 网络安全服务行业研究报告:网络安全行业的制高点
- 4 网络安全专题报告:零信任安全,数字时代的主流安全架构.pdf
- 5 网络安全行业深度报告:拐点之时,格局之变.pdf
- 6 信息安全产业专题报告:零信任,重塑网络安全理念.pdf
- 7 网络安全深度报告:密码行业专题及PKI系统分析.pdf
- 8 信息安全行业专题:信息安全的边界与未来.pdf
- 9 网络安全专题报告:新兴安全及服务成为增长风口.pdf
- 10 新型智慧城市产业图谱研究报告(2021年).pdf
- 1 人工智能行业研究报告:AI浪潮下的网络安全产业变革.pdf
- 2 网络安全行业研究报告:关注网安行业需求改善,看好AI带来的行业新机遇.pdf
- 3 2023年中国网络安全市场与企业竞争力分析报告.pdf
- 4 2023年中国网络安全运营市场研究报告.pdf
- 5 汽车网络安全运营中心(VSOC)白皮书:如何重塑智能网联汽车安全.pdf
- 6 中国网络安全产业分析报告(2023年).pdf
- 7 2023网络安全人才市场状况研究报告.pdf
- 8 数控机床网络安全研究报告(2023年).pdf
- 9 中国网络安全行业新势力调查报告:甲方认可的30家网络安全创业公司.pdf
- 10 毕马威-2024网络安全行业重要趋势.pdf
- 全部热门
- 本年热门
- 本季热门
- 1 网络安全行业发展现状和未来前景分析
- 2 人工智能行业发展现状和未来前景分析
- 3 网络安全行业市场规模和竞争格局分析
- 4 人工智能行业市场规模和竞争格局分析
- 5 网络安全行业发展现状和市场供需格局分析
- 6 人工智能行业市场环境和未来投资机会分析
- 7 人工智能行业发展现状和上下游产业链分析
- 8 网络安全行业发展现状和商业模式分析
- 9 网络安全行业市场环境和未来投资机会分析
- 10 网络安全行业发展现状和上下游产业链分析
- 最新文档
- 最新精读
- 1 汽车行业财报总结:乘用车盈利表现分化,零部件仍处于规模盈利快速增长阶段.pdf
- 2 汽车&通信&电子&军工行业分析:产业变革持续进行,连接器国产替代有望加速.pdf
- 3 美容护理行业23年&24Q1财报总结:格局优化,盈利改善,龙头更具增长韧性.pdf
- 4 交通运输行业2023年报及2024年一季报业绩综述:油运跨境物流高景气,公路平稳铁路超预期.pdf
- 5 计算机行业专题报告:大模型进展2.0.pdf
- 6 基础化工行业2023年年报及2024年一季报总结:行业景气下行,静待需求修复.pdf
- 7 光伏行业2023年年报及2024年一季报总结:持仓集中度提升,挖掘行业机遇.pdf
- 8 港口航运危化品物流财报综述:港口吞吐稳增高分红,航运运费维稳有弹性.pdf
- 9 风电23年&24Q1总结:风电整机盈利承压,零部件分化明显.pdf
- 10 纺织服装行业2023年报及2024Q1季报总结:黄金珠宝板块派息率提升,看好纺织制造全年业绩确定性.pdf