零信任安全技术研讨会在北京召开腾讯安全倡导生态联动规范产业发展
12月8日,腾讯安全、天荣信、NSFOCUS在腾讯北京总部大楼联合举办“安全思维会议”——零信任安全技术研讨会。腾讯安全反病毒实验室负责人马劲松、天荣信科技集团解决方案中心副总经理谢勤、NSFOCUS科技集团有限公司高级总监刘红丽、腾讯安全终端安全业务负责人张鹏飞应邀出席,就零信任产业生态、零信任安全能力、零信任系统安全建设、零信任安全实践等议题进行深入探讨,希望推动零信任跨行业规模化发展。
传统边境安全面临泛化风险,零信任逐渐成为安全建设的“当务之急”
目前,随着云计算、物联网、移动办公等新技术和新应用的兴起,企业的业务架构和网络环境也发生了重大变化。平台、服务、用户、终端呈现多元化趋势,传统的物理网络安全边界消失,带来更多的安全风险。
天荣信科技集团解决方案中心副总经理谢勤表示,传统的企业网络安全是基于边界保护的,边界保护是基于逻辑隔离、网络访问控制等技术。然而,随着数字化转型的发展,企业网络与互联网用户和设备的交互需求不断增加,企业的应用和数据不再局限于内部网。攻击的曝光度越来越高,传统的边境安全面临巨大考验。通过引入零信任安全的概念,对用户、设备和应用的身份、环境和行为进行动态评估并做出最小授权,构建动态身份边界,可以为企业核心资源提供更准确有效的安全保护。
天荣信科技集团解决方案中心副总经理谢勤
面对日益复杂的网络安全形势,刘红丽NSFOCUS对传统安全和零信任安全进行了系统的对比分析。他认为,就保护对象、保护基础和保护理念而言,零信任安全与传统边境安全存在本质区别。传统的边界安全以网络为中心,以信任为基础,采用一次性认证的静态策略;而零信任安全以数据为中心,默认为不信任,采用持续评估和动态访问控制策略。
NSFOCUS科技集团有限公司解决方案中心高级总监刘红丽
由此可见,“零信任”这种以“持续验证、永不信任”为核心的新型安全保护理念,已经成为数字经济新发展周期下企业突破安全攻防博弈瓶颈、进行新安全建设的“迫切需要”。
值得注意的是,对于一个企业来说,建立一个零信任的安全体系是非常困难的,这需要对现有的网络进行实质性的改造。谢勤表示,年初的疫情推动全球数字产业以前所未有的速度快速发展,大量传统企业开始加快数字转型,升级信息系统,这是企业向零信任安全体系转型的大好机会。在数字化转型和构建零信任安全体系的过程中,企业遵循同步规划、同步建设、同步运营的思路,可以事半功倍。
零信任安全实践“落地之花”,继续推进产业数字化升级
自2010年零信任概念提出以来,这十年零信任安全的市场需求经历了爆炸式增长,国内外安全厂商的各种概念产品层出不穷,呈现出网络安全发展的趋势。
谢勤认为,天荣信科技集团提出的零信任网络安全体系并没有完全颠覆现有的网络安全技术体系,而是增强了现有的系统能力。企业可以根据不同场景的需求,结合零信任核心组件和现有的安全技术,形成完整的零信任网络安全体系。同时,谢勤还指出了实现零信任架构的三个关键技术:实体和资源的综合身份、基于请求的组合授权策略、持续监控和评估、信任推理。他还介绍了云计算、移动互联网、物联网、工业互联网、核心数据保护等不同需求场景下零信任安全的具体实现方法,并分析了实现难点,提出了解决方案。
与天荣信不同,NSFOCUS通过攻防演练,不断提升零信任的安全能力。与此同时,刘红丽观察到,近年来,攻防演练呈现出对抗升级的趋势,攻击手段越来越复杂、自动化和流线型,从供应链和商业链更专业的一方有所突破。刘红丽预测,随着安全防护的不断完善,2021年针对人的攻击比例将继续增加,防御探测规避也将是重点发展方向之一。
针对近期远程办公需求爆发,腾讯安全终端安全业务负责人张鹏飞以年初爆发防控为例,详细介绍了腾讯如何通过自主研发的零信任安全管理系统iOA继续践行零信任理念。截至目前,腾讯iOA已经成功为7万名员工、10万台终端的跨境、跨市远程办公场景提供安全护航,这种做法已经成功在金融、医疗、政务、教育等多个领域的客户远程办公安全防护场景中复用。
腾讯安全终端安全业务负责人张鹏飞
生态联动促进零信托业规范发展
作为一种概念而不是技术,零信任可以应用于几乎所有涉及身份认证、行为分析、区域隔离和数据访问的安全产品和体系结构。目前业界普遍认为,软件定义的边界、身份识别与访问管理、微隔离是实现零信任的三大技术路径,围绕零信任的相关产品和解决方案也是基于此。但在技术标准、安全理念、零信任方案等方面存在较大差异,零信任行业作为一个整体呈现出市场碎片化、生态分散化的特点。
腾讯安全反病毒实验室负责人马劲松表示,在这样的背景下,零信任的发展迫切需要行业生态来规范和引导。他认为,只有联合更多的产业生态形成合力,与生态伙伴携手在相应的场景和环节建立相应的保障体系,用实际行动勾勒出零信任的“大象”清晰轮廓,交付模式才能真正转型为SECaaS。
腾讯安全反病毒实验室负责人马劲松
在探索零信任生态发展的道路上,腾讯一直在付诸行动。去年9月,腾讯牵头成功制定了国际标准《服务访问流程持续保护参考框架》,这是首个零信任安全国际技术标准,对于促进全球网络安全产业健康发展、加快零信任技术和服务推广具有重要意义。
今年6月,腾讯联合零信任领域多家机构和企业,成立了中国首个“零信任行业标准工作组”,合作制作了中国首个零信任白皮书,推出了“零信任产品兼容性认证计划”,在访问、兼容性等多维度上逐步推进零信任安全标准。目前,作为该计划的部分赞助商,腾讯、天荣信和NSFOCUS已经完成了产品兼容性的相互认证,是一个imp