划重点!我国数据安全产业第一期——指掌易的零信任之路
前年,我们谈论的是云计算。
去年,我们谈论的是数据安全。
今天,我们谈论的是零信任。
但其实只是经历过数年的发展,方法论在变;安全交互模式在变;客户数据安全方式在变;唯一没有变的就是沉淀和理性地维持着这一变化。
本文的撰写,采访了7家企业,他们的产品不同,受众类似,发展阶段不同,组织的形态亦是千差万别,但我们只截取部分并在他们身上寻到了一些共性思考与大家分享。
上月,工信部发布《网络安全产业高质量发展三年行动计划(2021- 2023年)(征求意见稿)》,目标是到2023年,网络安全产业结构布局更加优化,产业发展生态健康有序,产业规模超过2500亿元,年复合增长率超过15%。未来,信创产业发展将和中国网络安全产业结合愈加紧密。例如,电信等重点行业网络安全投入占信息化投入比例不低于10%。中国网络安全产业正迎来全面提速发展。
本月,2021北京网络安全大会(BCS2021)上,工业和信息化部党组成员、副部长刘烈宏透露,2015年以来产业规模年均增速超15%,远高于9%的全球平均水平。数字经济时代,网络安全已经成为护航经济发展、保障社会安全的重要基石。
作为连稿的第一期,首先为大家带来的是以北京指掌易科技有限公司为首的数据安全专家们,引用指掌易的观点:”现在市面上宣扬的安全产品五花八门,但安全的本质上无外乎两件事。第一、让企业的重要的资料别泄露出去;第二、让外面的坏人别攻击进来。”当前,随着信息化和办公模式的发展与变化,导致了传统IT架构发生了很大变化。变化体现在两点上:一方面,应用服务和数据的分布有了较大变化。云计算的发展,导致私有云和公有云上会存在大量的关键应用服务和数据的分布,这一点和传统方式相比,涉及到外部的公有云上面的服务跟数据脱离了传统的安全边界管控的范畴;另一方面,访问关键应用服务和数据的终端发生了较大变化,这其中既有终端类型的多样化(不同类型、型号、操作系统、品牌的移动终端),也有终端所有权变化(BYOD场景下的设备归属和管控问题)。访问模式的巨大变化,让企业原有IT场景安全方案面临重大挑战,尤其是通过互联网边界开放的大量服务端口,以及存在0day漏洞的VPN系统,都成为恶意攻击的主要对象。这种背景下,能否经受住“网络安全实战化攻防”的检验,或许是个问题。
指掌易谈到,当前企业办公场景下,访问模式的复杂性会带来众多安全问题。BYOD化带来的不属于企业资产的终端怎么管理?如何保障在终端上面留存使用的企业数据安全?互联网边界开放的服务端口越来越多,被恶意攻击的几率大大提升怎么办......将这些问题归类后,指掌易总结出普遍面临的三个核心诉求:一、收缩暴露面,让关键应用服务从互联网隐身,最大限度收敛互联网资产暴露面,从而缩减攻击面,降低恶意攻击和入侵风险。二、以身份验证为中心,消除隐形信任,全面实现各类主体对应用服务/数据资源的细粒度可信访问控制。三 保障数据链路安全,对应用数据流转的全链路进行有效管控,降低敏感应用数据在通信传输、终端展示和存储环节发生泄露的风险。
解决以上风险,零信任技术便是其中的关键!
我们知道,如今的零信任是从上世纪80年代防火墙的概念一路走到今天的。传统的网络安全是基于防火墙的防御,在内网是完全可信的。随着2006年首次提出云计算、到2009年美国提出大数据、以及近五年的物联网(lOT)等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。2020年8月11日NIST在美国发布了标准正式版《零信任架构》。至此,随着以5G、工业互联网为代表的新基建的不断推进, “无边界”的进程逐渐拉开帷幕。与此同时,零信任安全也在一年内迅速进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。
零信任经过这几年的沉淀,在我国有没有成熟的零信任架构下的解决方案?答案是肯定的。我们先说原理,这些网络安全风险的核心问题之一是信任过度,可接入的设备、应用之间、客户端和服务器之间、服务器之间都缺乏可靠的验证机制。而基于零信任架构的解决方案是解决此类风险的重要策略,从建立信任到基于信任的访问,再到持续的信任验证的零信任方案,是目前最为前端的安全架构。
我们了解到,目前数以百计的央企,国企,以及独角兽企业都在尝试并已经使用零信任架构的数据安全解决方案。中化国际从2019年开始采用阿里云的统一身份认证系统,目前,阿里云支撑建设的这套“永不信任,始终验证”的统一身份认证系统已经覆盖了中化国际所有主要系统。
当前网络安全市场主要以零信任框架提供安全产品的厂商还有指掌易、深信服等大厂。众多企业、集团在零信任理念转型的不同阶段都面临不同的挑战。
指掌易认为,传统IT安全架构带来冲击的原因是访问模式的变化,而无论访问模式如何变化,终端都是需要通过网络的管道来访问云端的的关键服务和数据资源,因此解决办法应着手在终端数据安全保护和可信接入层面。基于此,指掌易率先提出一种建设思路, 在终端数据防护层面使用提供移动沙箱技术,通过隔离出安全工作空间,作为业务数据在终端上的安全保护边界,以期实现控制数据泄露、同时兼顾终端设备上的个人信息保护等目的;在可信接入访问层面使用零信任SDP(软件定义边界)技术,为企业建立安全接入网关,对访问主体的身份可信度进行持续评估和动态访问控制,同时实现业务应用服务隐藏和数据安全传输。再和终端数据安全方案集合起来形成一个完整的闭环保护方案,可满足收敛暴露面、可信访问控制以及数据链路安全保障等核心诉求。
在我们采访的这几家从事安全领域的厂商,以及各种报道来看,零信任架构在众多领域的能力已得到广泛验证,一方面来自众多客户案例的成功落地,如海信集团、上汽乘用车等头部客户。另一方面今年《IDC创新者:零信任之软件定义边界与微隔离技术》报告还入选了大量指掌易的案例,目前指掌易、阿里云、深信服已经在零信任的第一梯队中脱颖而出。
随着5G产业的布局;随着被誉为“新奇点”的量子计算,全球数据安全都在不断地自我迭代,自我进化。
严格意义上讲从上世纪50年代网络概念的诞生到如今万物互联,再到我国的数字货币。无不时刻存在数据安全的话题。目前有更多的企业看到趋势并加以应用,以及工信部发布《意见稿》鼓励关键行业基础设施强化网络安全建设,零信任架构必将成为能源、金融、交通、水利、卫生医疗、教育等行业的数据安全重要手段。
那么,移动数据安全如何布局?个人云数据安全何去何从?请关注下期《移动数据安全翘楚的崛起与辉煌》。