8月12日���,由“網(wǎng)安一哥”奇安信主辦的2020北京網(wǎng)絡(luò)安全大會零信任安全論壇如期召開。該論壇以“零信任之路”為主題�����,中國信息通信研究院安全研究所所長魏亮����、“零信任之父” John Kindervag、CSA GCR主席兼研究院院長李雨航�、奇安信集團身份安全事業(yè)部總經(jīng)理張澤洲以及多位客戶代表應(yīng)邀出席并發(fā)表了主題演講,詳細(xì)闡述零信任理念從提出到全面落地的發(fā)展歷程��。奇安信集團副總裁左英男作為主持人出席了該論壇�。
零信任的發(fā)展——從網(wǎng)絡(luò)邊界到身份邊界
隨著云計算、大數(shù)據(jù)�����、5G等技術(shù)的發(fā)展����,傳統(tǒng)的基于邊界的網(wǎng)路安全架構(gòu)����,已經(jīng)無法滿足現(xiàn)代信息技術(shù)設(shè)施的安全性要求�,同時外掛式的安全產(chǎn)品與解決方案也常常被認(rèn)為會阻礙業(yè)務(wù)的發(fā)展和體驗。
“因此���,當(dāng)零信任架構(gòu)這一安全理念進入到業(yè)界視野中來時�����,我們驚喜地發(fā)現(xiàn)��,其創(chuàng)新性的“從不信任并始終驗證”的原則��,以及其“基于身份進行動態(tài)訪問控制”的本質(zhì)內(nèi)涵��,零信任作為可支撐未來發(fā)展的最佳業(yè)務(wù)安全防護方式���,逐漸成為我國網(wǎng)絡(luò)安全界的焦點。”魏亮在致辭中說道�。
圖:中國信通院安全研究所所長魏亮
與此同時,魏亮還代表中國信通院安全研究所和奇安信集團零信任白皮書聯(lián)合工作組�,在現(xiàn)場發(fā)布了《網(wǎng)絡(luò)安全先進技術(shù)與應(yīng)用發(fā)展系列報告——零信任技術(shù)(Zero Trust)》白皮書。白皮書指出����,零信任作為一種新的網(wǎng)絡(luò)安全思維逐步走入公眾視野,其創(chuàng)新性的安全理念契合新基建技術(shù)特點�����,著力提升信息化系統(tǒng)和網(wǎng)絡(luò)的整體安全性���,受到了廣泛關(guān)注����,并被寄予厚望��。
事實上�,零信任作為一種全新的安全理念,最早由時任Forrester的首席分析師John Kindervag在2010年正式提出����,其核心思想是在默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng),需要基于認(rèn)證和授權(quán)重構(gòu)訪問控制的信任基礎(chǔ)�。John Kindervag作為“零信任之父”,參與了零信任安全論壇并發(fā)表致辭���,他表示�,技術(shù)的進步可以確保零信任的建設(shè)變得更加容易,無論是在公共云�、私有云、還是本地部署��。
圖:“零信任之父” John Kindervag
John Kindervag的發(fā)言為所有致力于推動零信任安全發(fā)展的參與者��,打了一針“強心劑”����。單就國內(nèi)而言,零信任安全已經(jīng)相當(dāng)火熱����。在2020安全創(chuàng)客匯十強企業(yè)中,至少有兩家專注于零信任的創(chuàng)業(yè)企業(yè)��。
“需要記住的一點是�����,零信任不是零訪問��,而是更安全訪問被防護的資源�,這才是零信任真正的內(nèi)涵。”李雨航強調(diào)說�,“零信任落地是企業(yè)一把手工程����,而不是單純的購買產(chǎn)品服務(wù)��。與此同時�,“零信任是一個持續(xù)進化的旅程�,而不是一個結(jié)果。當(dāng)真正落地部署零信任的時候�����,將會使政企機構(gòu)在降低風(fēng)險��、降低成本��、業(yè)務(wù)敏捷����、安全合規(guī)、有效控制以及改善管理方面����,獲得極大的改善。”
圖:CSA GCR主席兼研究院院長李雨航
不過��,零信任之路充滿了各種各樣的挑戰(zhàn),比如如何獲得高層認(rèn)可���,如何評估和構(gòu)建零信任能力體系��,如何確定零信任建設(shè)的切入場景和建設(shè)路線����,如何構(gòu)建架構(gòu)體系��,如何設(shè)計可持續(xù)的場景化零信任方案���,如何評價零信任項目的進展和成效等等諸多方面�。對此張澤洲表示�,需要用工程思維和框架思維應(yīng)對零信任落地挑戰(zhàn),選擇規(guī)劃先行和分步建設(shè)的思路���,將零信任能力和架構(gòu)與目標(biāo)運行環(huán)境進行聚合�����,將安全能力內(nèi)生到各業(yè)務(wù)場景�,才能真正為企業(yè)的數(shù)字化轉(zhuǎn)型保駕護航,使得零信任之路越走越平坦�。
圖:奇安信集團身份安全事業(yè)部總經(jīng)理張澤洲
零信任的落地——重塑信任與訪問控制體系
歷經(jīng)十年的發(fā)展,經(jīng)過社會各界的不懈努力���,零信任安全終于開始“開花結(jié)果”���,谷歌、微軟等大型IT公司都已完成了零信任架構(gòu)的部署�。聚焦國內(nèi),國網(wǎng)山東電力���、中通快遞、中興通訊等組織與企業(yè)也紛紛開啟了自己的“零信任之路”�。
“為了應(yīng)對新的安全形勢,山東電力構(gòu)建了以四梁八柱為核心框架的網(wǎng)絡(luò)安全體系���。” 國網(wǎng)山東省電力公司互聯(lián)網(wǎng)部建設(shè)技術(shù)運安處處長王勇說���,“所謂四梁,即管理�����、技防��、運營、隊伍四個方面;八柱即終端��、數(shù)據(jù)�、系統(tǒng)、工控�、研發(fā)、運行���、作業(yè)�、攻防八個安全��。四梁為橫��,構(gòu)建安全上層建筑;八柱為縱����,筑牢網(wǎng)絡(luò)安全之基。” 采用零信任及縱深防御的安全理念����,山東電力在終端統(tǒng)一安裝數(shù)據(jù)防泄漏工具,并做好控制日志��、應(yīng)用訪問流量與終端DLP日志匯總關(guān)聯(lián)分析,構(gòu)建“沒有授權(quán)進不去�,未經(jīng)許可拿不走、數(shù)據(jù)泄密賴不掉”的零信任數(shù)據(jù)安全防護系統(tǒng)�。
圖:國網(wǎng)山東省電力公司互聯(lián)網(wǎng)部建設(shè)技術(shù)運安處處長王勇
中通快遞集團面臨的安全挑戰(zhàn)是非常大的,據(jù)了解��,目前中通快遞擁有1000+異構(gòu)業(yè)務(wù)應(yīng)用�、30w+變動頻繁的員工以及大量的設(shè)備的組織、4億+在線用戶和4w+全球業(yè)務(wù)網(wǎng)點�����。中通快遞集團信息安全負(fù)責(zé)人伏明明表示�����,中通對于零信任的理解包括四個關(guān)鍵點:第一����,默認(rèn)不信任(網(wǎng)絡(luò)�����、應(yīng)用);第二���,動態(tài)多維度的信任評估;第三���,依據(jù)授權(quán)�����、已有策略集�����、信任評估結(jié)果等生成最新策略;第四�����,應(yīng)用層根據(jù)最新策略執(zhí)行���。基于這四點基本策略�����,中通已經(jīng)實現(xiàn)了近千應(yīng)用的全球接入和動態(tài)實時風(fēng)險評估����。在未來���,中通還將基于零信任,構(gòu)建云���、邊����、端安全協(xié)作體系��,支持多云混合云部署架構(gòu)�����,打造軟件定義的安全云平臺�,迎接5G萬物互聯(lián)時代。
圖:中通快遞集團信息安全負(fù)責(zé)人伏明明
“通過三點一面的零信任安全設(shè)計組合�,中興通訊打造了自適應(yīng)、自生長�����、自調(diào)整的內(nèi)生安全體系�����。”中興通訊網(wǎng)絡(luò)安全產(chǎn)品總監(jiān)郝振武說��,“這個體系包含三部分:安全控制器�,即全網(wǎng)安全控制中樞,通過能力開放引擎�����,向應(yīng)用開放切片的安全控制功能����,實現(xiàn)端到端安全策略的自動下發(fā),各安全資源的動態(tài)調(diào)度���,靈活組合;安全執(zhí)行器�,即安全策略執(zhí)行單元�����,在控制器的統(tǒng)一調(diào)度下����,執(zhí)行具體的安全功能;安全分析器,通過能力開放引擎�,收集切片的安全事件�����,感知���、實現(xiàn)全網(wǎng)安全事件集中處理,發(fā)現(xiàn)和定位各種攻擊來源����,并上報給控制器,通過策略聯(lián)動�,實現(xiàn)端到端的閉環(huán)控制。”
圖:中興通訊網(wǎng)絡(luò)安全產(chǎn)品總監(jiān)郝振武
內(nèi)外部威脅愈演愈烈�����,僅僅依靠邊界防護難以應(yīng)對身份���、權(quán)限���、系統(tǒng)漏洞等維度的攻擊向量,
安全架構(gòu)亟需升級!零信任作為一種內(nèi)生安全機制�,從理念走向落地,將會給企業(yè)網(wǎng)絡(luò)安全體系建設(shè)尤其是在訪問控制領(lǐng)域����,帶來更多積極的變化,為用戶帶來真實的業(yè)務(wù)收益與安全收益��。
據(jù)介紹�,BCS 2020是由中國電子信息產(chǎn)業(yè)集團有限公司指導(dǎo),中國互聯(lián)網(wǎng)協(xié)會���、中國網(wǎng)絡(luò)空間安全協(xié)會�、中國通信學(xué)會�、中國友誼促進會和奇安信集團主辦的安全行業(yè)國際級峰會。大會設(shè)立16檔超100場特色欄目與活動���,包括三大頂級網(wǎng)絡(luò)安全大賽:已連續(xù)舉辦四屆����,獲得12億融資的網(wǎng)絡(luò)安全領(lǐng)域?qū)I(yè)創(chuàng)投平臺——安全創(chuàng)客匯;國內(nèi)唯一警院界的網(wǎng)絡(luò)安全大賽——“藍(lán)帽杯”全國大學(xué)生網(wǎng)絡(luò)安全技能大賽;聯(lián)合清華���、北大��、中科大等30多所知名高校共同舉辦的DataCon大數(shù)據(jù)安全比賽等�,另有“大咖說安全”“安全新視角”“TSD talk”“嘶吼安全四人行夜話”等多檔精彩直播欄目����,觀眾可與欄目組全方位互動�����。大會還建立了3D云展廳����,開展10×24小時的網(wǎng)絡(luò)安全交易博覽會���,300多家安全廠商與專業(yè)機構(gòu)參展�����,北京冬奧各大贊助商也在此亮相參展�����。
文章內(nèi)容僅供閱讀�����,不構(gòu)成投資建議���,請謹(jǐn)慎對待��。投資者據(jù)此操作���,風(fēng)險自擔(dān)�。
京公網(wǎng)安備 11010502041587號