全球首個零信任國際標準發(fā)布 解決了哪些關鍵問題？

標準化，是為了在一定的范圍內獲得最佳秩序，經協(xié)商一致制定并由公認機構批準，共同使用和重復使用的一種規(guī)范性文件。這是三大國際標準組織ISO、IEC、ITU共同給標準下的定義。在任何領域，某項技術想要具備行業(yè)乃至世界影響力，“標準化”是必不可少條件。

日前，網絡安全行業(yè)最為火爆的零信任理念迎來了由騰訊牽頭的全球首個國際標準——《服務訪問過程持續(xù)保護指南》。這意味著零信任理念及相關技術在全球范圍內首次建立了統(tǒng)一的話語體系和實踐規(guī)范，將推動全球零信任產業(yè)邁向更加開放和健全的生態(tài)協(xié)作模式，進一步夯實全球數字經濟發(fā)展的安全底座。

十年探索實踐 零信任已成公認未來發(fā)展方向

零信任的概念起源于十年前，Forrester分析師約翰·金德維格指出了“默認信任是安全的致命弱點”這一事實，并提出了不再以一個清晰的邊界來劃分信任或不信任的設備;不再有信任或不信任的網絡;不再有信任或不信任的用戶的核心理念。

而零信任真正開始被廣泛認知，來自于谷歌的BeyondCorp項目。彼時，隨著云技術越來越普及，大量員工在外網辦公，大量手機、PAD等新設備出現，外協(xié)、臨時員工的加入，使得邊界變得沒有意義。谷歌破除內外網概念，通過與設備為中心的認證、授權工作流，實現員工任何地點對資源的訪問，谷歌的做法也成為了眾多企業(yè)開展零信任實踐的參考。

時至今日，傳統(tǒng)網絡邊界已經消失殆盡，零信任理念也被更多行業(yè)、組織認為是解決新時代網絡安全問題的“萬全之策”。尤其是經過2020年疫情的催化，讓零信任需求進一步爆發(fā)。

騰訊企業(yè) IT 安全架構師蔡東赟表示：“從安全趨勢上看，內網安全基于邊界的安全已經不是那么牢不可破，數字化辦公發(fā)展導致沒有邊界內網。核心的爆發(fā)點還是來自于疫情帶來的物理隔斷，大家遠程辦公，這是最基本的適用場景，人們已經不得不使用零信任架構。”

據知名咨詢機構Gartner曾預測，到2023年，60%企業(yè)會逐步淘汰虛擬專用網(VPN)方式，采用零信任網絡訪問來進行的遠程方案，從政府組織到商業(yè)實體，零信任架構在全球范圍內迅速擴張。

目前美國政府已經正式開啟零信任戰(zhàn)略。2021年5月，美國總統(tǒng)簽署了行政命令，強制要求政府部門全面邁向零信任架構。在隨后的《2022財年預算案》中，美國國防部要求撥款6.15億美元用于與零信任網絡安全架構相關的工作。

在資本市場，海外已有多家零信任SaaS公司上市。其中的龍頭企業(yè)Okta，股價在過去四年間翻了十倍，市值從2017年上市首日的21億美元，達到如今的390億美元。

在國內，眾多安全廠商也紛紛布局零信任。其中，騰訊自2016年起在內部自主設計、落地零信任安全管理系統(tǒng)——騰訊iOA，在多年的實踐錘煉中，零信任安全管理方案實現了內網零事故的戰(zhàn)績，尤其是在2020年初疫情期間，騰訊iOA系統(tǒng)安全支持騰訊內部7萬名員工和10萬臺服務終端跨境、跨城辦公需求。

從理念到落地 統(tǒng)一標準規(guī)范是重中之重

“經過十余年的技術發(fā)展以及疫情遠程安全辦公應用需求的催化，零信任已經從概念走向了實施落地階段，接下來企業(yè)用戶最關注的其實是零信任如何落地的問題。” 零信任產業(yè)標準工作組首席標準專家劉海濤表示。對于大多數企業(yè)來說，零信任架構的“落地”時機和方法依然存在諸多疑慮和爭議。

首先零信任并不是一種具體的技術，而是一種理念，實現零信任有多種框架和路徑，同時在市場的熱推下，有許多安全產品都打著零信任的幌子進行宣傳，這導致許多企業(yè)對零信任安全認知比較割裂，且千差萬別。

騰訊安全團隊在對外輸出零信任安全實踐時就遇到了這樣的問題。“大家認為的零信任根本不是一碼事。有人覺得這就是IAM，有人覺得零信任是動態(tài)口令，有人說是數據沙盒，甚至有拿上網行為管理系統(tǒng)的技術指標說要招標零信任產品。”

另外，零信任的落地需要對現有的安全體系進行改造，客戶從原有網絡架構升級到零信任架構，完全重構成本極高，且許多機構的安全建設已有多年積累，在進行零信任改造時，對于如何與企業(yè)現有安全架構、安全產品/設備結合，充分利舊，具有強烈的訴求。

騰訊企業(yè)IT安全架構師蔡東赟表示：“去適配每個客戶千差萬別的協(xié)議標簽會非常麻煩。通過標準化以及生態(tài)協(xié)同的助力，推動接口聯動，將大大提升服務商和客戶之間的合作效率，避免走彎路，同時還能減少后來者進入行業(yè)的難度，促進產業(yè)持續(xù)繁榮。”

最后，從安全廠商的角度來說，零信任安全生態(tài)建設，不可能由一個公司或者某幾個公司完全主導，要發(fā)揮整個行業(yè)的力量。“行業(yè)需要統(tǒng)一的標準為各個廠商確定技術邊界，服務商各自發(fā)揮自己擅長的技術并進行深入研究，促進整個生態(tài)的發(fā)展。”上海派拉軟件研發(fā)總監(jiān)茆正華說道。

從“持續(xù)驗證”到“持續(xù)保護”不止換個詞那么簡單

從理念到落地，零信任的未來發(fā)展不完全是技術或產品層面的問題，它同時跟企業(yè)的經營、規(guī)劃、長期發(fā)展的管理強相關，并且是一個持續(xù)優(yōu)化的過程。技術與業(yè)務需求將雙輪驅動零信任產品的未來發(fā)展，制定匯聚產業(yè)共識的標準規(guī)范將能更好的促進產業(yè)協(xié)同發(fā)展。

通常來說，標準往往需要具備權威、普適、科學、實用四個特性。首先，必須由行業(yè)認可的權威機構批準發(fā)布;其次，制定要經過利益相關方充分協(xié)商，并聽取各方意見;另外，標準來源于人類社會活動，其產生的基礎是科學研究和科技進步的成果，是實踐經驗的總結;最后制定目的是為了解決現實問題或潛在問題，在一定的范圍內獲得最佳秩序，實現最大效益。

此次由騰訊牽頭的全球首個零信任國際標準《服務訪問過程持續(xù)保護指南》，由國際三大標準機構之一的ITU-T批準發(fā)布，在前期標準立項以及二次答辯過程中，均經受了眾多世界頂尖安全專家的審查，具備充分的權威性和普適性。

從科學性上來說，《服務訪問過程持續(xù)保護指南》源自于騰訊等多家中國企業(yè)落地零信任的最佳實踐經驗及技術總結。就騰訊而言，其自2016年就開始在內部展開零信任實踐，多年來實現了內網安全零事故并成功經受了疫情考驗，與此同時騰訊零信任解決方案已經在政務、醫(yī)療、交通、金融等多個行業(yè)成功應用，支持百萬終端設備的安全接入。

最后，從實用性上，首個零信任國際標準的建立，對零信任理念及相關技術在世界范圍內的普及無疑具有重要的推動作用。而且，基于中國特色的零信任實踐總結，此次標準發(fā)布還推動了零信任理念從“持續(xù)驗證”到“持續(xù)保護”內涵的升級。

具體來看，標準提出的零信任安全理念核心部分，打破了傳統(tǒng)基于網絡區(qū)域位置的特權訪問保護方式，重在持續(xù)識別企業(yè)用戶在網絡訪問過程中受到的安全威脅，保持訪問行為的合理性，以不信任網絡內外部任何人/設備/系統(tǒng)，基于持續(xù)的身份認證和安全評估對訪問進行授權控制，實現對訪問主體、訪問鏈路、訪問客體(服務)的整個訪問過程的多維度持續(xù)安全保護。

例如，在遠程工作場景、訪問多云服務場景、服務器與服務器之間通信的三大典型應用場景中，“持續(xù)保護”使得用戶不需要維護多個訪問接口，即可實現使用一個訪問控制策略來管理不同的云的資源，還能避免諸如分布式拒絕服務(DDoS)攻擊等各類型網絡攻擊。部署“持續(xù)保護”具有諸多優(yōu)勢，包括有助于做出更精確的授權決定，縮小服務器的攻擊面，兼顧更好的用戶體驗和更強的安全性等。

標準化的過程本身就意味著生態(tài)的建立，面對產業(yè)互聯網時代更加嚴峻的安全挑戰(zhàn)，安全行業(yè)依然需要更加體系化的安全標準，來促進生態(tài)共建，加快構筑新一代網絡安全體系。為產業(yè)數字化夯實安全基礎，依然任重而道遠。

（免責聲明：本網站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網站出現的信息，均僅供參考。本網站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網站中的網頁或鏈接內容可能涉嫌侵犯其知識產權或存在不實內容時，應及時向本網站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網站在收到上述法律文件后，將會依法盡快聯系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。 ）