36氪新风向| 50多家公司兴奋的时候 “零信任安全”会是下一个价值洼地吗?
如果要挑选2020年安全行业的热门词汇,我们相信“零信任安全”一定是首选之一。
这个术语乍一看很难理解,但顾名思义,零信任是指一种“从不信任,总是验证”的安全概念。也就是说,当过去基于内外网分离的安全体系随着员工办公习惯、数据流通等原因的改变而变得过时时,灵活实时确定访问请求的安全理念当然更符合现状。
2017年是“零信任安全”概念的明显分水岭。当年,谷歌基于零信任安全的BeyondCorp项目获得成功,验证了大规模网络场景下零信任安全的可行性,行业开始跟进零信任的做法。
而特殊如2020年,由于疫情的爆发,远程办公中的安全问题得到重视,零信任安全理念也迎来新的分水岭。在企业方面。目前,市场上至少有50家公司声称正在开展零信托业务;投资圈也很兴奋,今年至少有8家与零信托概念挂钩的企业获得融资。
今年获得融资的零信任相关厂商(据36家不完全统计,部分数据来自田燕)
零信任概念被加速是不争的事实。也许是时候深入分析一下这个领域了。在本文中,我们将重点关注以下主题:
零信任的概念和价值;
市场参与者从技术角度分裂;
行业当前的机遇和风险;
参与者的竞争关系。
我相信,通过梳理零信任,未来安全世界的一个角落将会显现出来。
1.当我们谈论零信任时,我们在谈论什么?
1.前世
即使今年才开始火热,零信任也不是一个新词。
零信任的概念源于2004年成立的杰里科论坛,其目的是在无边界网络的趋势下寻求一种新的安全架构和解决方案。
到2010年,咨询公司弗雷斯特(Forrester)的分析师约翰金德韦格(John Kinderwig)以更详细的方式对这一概念进行了分解。金德韦格认为零信任本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。
在工业方面,随着对谷歌等公司零信任的发展,NIST在2019年至2020年的五个月内连续发布了两版《零信任架构》标准草案,这意味着零信任正在向标准化迈进。
零信任概念演变图来源:中国信息通信技术研究院
从外表到追求,零信任经历了十几年。那么,为什么是现在?
这与近年来企业业务和IT基础设施的变化有关。过去传统的安全防护是基于边界的,企业安全防护模式是搭建内网,通过物理隔离或VPN来保证“内部安全区”。
现在情况不同了:
第一,IT边界被打破。随着云计算、边缘计算等技术的普及,以及大数据和AI的广泛应用,数据流和计算环境发生了显著变化,IT边界日益模糊。
而且随着上下游合作伙伴和内部员工的增加,用户访问请求更加复杂,企业对用户的过度授权也更加普遍。
疫情更是火上浇油。当一起工作、远程办公成为新常态的时候,过去的办公习惯也就被打破了。
而物理隔离无疑是远程办公的对立面,构建和部署VPN的基本前提是企业边界的存在。显然,内外隔离的安全思维是不灵活的,不能适应新的需求。
零信任正由此兴起。其主要思想——默认企业内外任何人或事都不可信,不断验证任何试图接入网络、访问网络资源的人、事、物,从而打破了边界网络防御的思想,这是一个更适合新需求的概念。
从市场的角度来看,可能很难把零信任等基于概念的东西归类为一个具体的轨迹,这是因为零信任的兴起不能简单看做某种技术、产品的扩展,而是对固有安全思路改变。
Gartner在《零信任网络访问市场指南》中做出的假设也印证了这一点。它预测,到2022年,80%向生态合作伙伴开放的新数字商业应用将通过零信任网络获得;到2023年,60%的企业将淘汰大多数虚拟专用网络
零信任与传统安全架构的区别来自:NSFOCUS技术和开源证券研究院
2.本质:实时动态判断访问请求
和所有概念性的故事一样,零信任不能只停留在表面。它的落地往往遵循思想、框架、技术、产品、商业化几个层面。
“持续验证任何试图访问网络和访问网络资源的人、事、物”,这需要由策略决定。
从NIST给出的最新零信任架构(参见下图)可以看出,零信任架构的核心组件包括策略引擎、策略管理器和策略执行点。
简单来说,策略引擎作为大脑,决定是否授予访问请求权限,管理者依靠引擎的决策,通过与执行点的交互,给后者下达指令。
NIST零信任架构核心组件示意图来源:中国南车大中华区
目前行业内零信任的实践还在进行中,所以有一些细节不同的零信任框架。例如,在中国ICT研究院和祁安信发布的《网络安全先进技术与应用发展系列报告——零信任技术(2020版)》中,零信任架构的基本框架总结如下:
完全零信任架构