(《零信任接口应用白皮书(2021)》编制单位)
任重道远,零信任广泛落地仍需面对现实困难
随着云化技术发展,传统以边界防御为核心的安全模型已无法应对现代网络安全风险,围绕“Never trust,always verify”为基本原则的零信任理念给安全建设提供了新的理论支撑,被业界广泛追捧和认可。
然而,当前零信任在实际落地中仍面临诸多困难,蔷薇灵动产品总监熊瑛表示,作为专注于数据中心零信任的解决方案提供商,蔷薇灵动在其实践落地中发现两个突出问题。首先,零信任作为新安全理念,大家对其理解并不统一,业内厂商各说各话,厂商与客户间常在不统一的话语体系中沟通,更有甚者经常会搞混零信任的应用场景。第二,零信任本质是面向业务进行全要素纳管和细粒度的访问控制,就数据中心落地零信任而言,工作负载数量规模普遍较大,但是由于用户端IT管理水平参差不齐,在工作负载的管理能力上普遍薄弱,这就造成前期可能需要花费大量时间去做资产的业务角色梳理,而用户如果对于前期工作量的投入持有疑虑,将对项目推进产生很大阻力。
除此之外,与会专家也纷纷表示,很多企业目前都有比较健全的网络架构,且各企业网络架构情况各不相同,如何在现有安全建构基础上进行零信任安全能力的集成,不同厂商的安全产品与服务如何对接,遇到与现有业务运作流程冲突应如何取舍等,都是目前零信任落地中的疑难问题。而针对不同用户的问题和需求,在缺乏统一标准、接口的当下,均需要提供专门的定制化解决方案,复制难度较大,零信任落地推广之路仍面临诸多现实问题。
标准先行,统一标准是新技术推广的有力抓手
今年6月,中电标协发布了《零信任系统技术规范》团体标准。该标准由零信任标准工作组编写,明确了零信任理念、基本假设、基本原则及运用场景,重点针对用户访问资源、服务之间调用两大零信任运用场景提出了系统逻辑架构、认证、访问授权管理、传输安全、安全审计、自身安全等方面的功能、性能技术要求和相应的测试方法。作为国内首个零信任相关团体标准,《零信任系统技术规范》在建立统一标准化定义基础上,有助于行业各方进一步洞察技术框架全貌,厘清各功能边界,在产业发展和技术运用上具有很强的指导作用。
本次会议上发布的《零信任接口应用白皮书(2021)》,全面涵盖了零信任系统服务接口需求、层次划分、接口标准描述和接口应用场景等内容,重点就身份安全、威胁情报、配置管理、密码服务、访问控制、安全联动6类接口进行了详细描述。本白皮书是《零信任系统技术规范》标准基础上的进一步研究深化,通过解决零信任系统的模块架构和模块之间互联互通难题,将为零信任框架的进一步落地提供技术实践指导。
(零信任结构全景图)
以零信任与配置管理系统的对接为例,蔷薇灵动在为国内某大型互联网金融企业构建数据中心零信任项目中,其自适应微隔离安全平台通过与客户现有的CMDB系统对接,并基于统一的资产信息进行业务角色标定,在较短的时间内便完成了两地三中心数万点工作负载的微隔离部署工作,实现了安全控制与业务流程的高效融合。未来,如果微隔离系统与CMDB能够形成统一接口标准,则将极大有助于降低微隔离系统的实施成本,从而促进数据中心零信任方案快速落地推广。
(工作负载数据同步接口)
打破藩篱,开放生态是零信任高速发展的未来
随着零信任安全相关标准的推出,其框架已经得到了行业内越来越强的共识。从狭义零信任而言,被视为零信任三驾马车的身份和访问管理(IAM)、软件定义边界(SDP)、微隔离(Micro Segmentation)仅仅算是其核心的结构性要求。换言之,上述三项技术和方案的部署是开展零信任的基础。
从更广义的零信任而言,我们关注到国内外目前发布的所有零信任指导架构中都描述了更大的体系。例如,前不久发布的《零信任系统技术规范》中体现了零信任需与多类第三方支撑系统协同,以集成更为广泛的安全能力。美国国防部在《零信任参考架构》中提出“零信任能力7支柱”模型,认为零信任的安全能力需要覆盖用户、设备、网络/环境、应用、数据、可视化分析、自动化编排等方方面面,粗略统计即有30余类技术和对应产品可融入该框架。
(美国国防部《零信任参考架构》中“零信任能力7支柱”模型)
就实际情况而言,没有任何厂家的产品可以对30余类产品进行全面覆盖,而基于用户端不同网络架构及安全建设程度,所需产品及能力也各不相同,所以健康可持续发展的零信任建设需集各家之所长,在开放协作中发展。各厂商既要找准市场定位,发挥技术专长,不提断升产品性能及服务水平,也要加强生态协作和互联互通。全行业只有合力对标准及接口应用不断进行完善,构建健全的生态链,才能快速提升整个行业的交付质量,扩大零信任市场范围,促进产业良性循环及健康发展。
作为国内数据中心零信任建设的先行者和长期实践者,蔷薇灵动积极参与了《零信任系统技术规范》及《零信任接口应用白皮书(2021)》的编制工作。目前,行业标准化、接口开放化仍处在早期阶段,伴随开放生态下的协作及更多项目的成功落地,高度协同的解决方案也将得到持续完善,蔷薇灵动将为此持续贡献力量。
免责声明:市场有风险,选择需谨慎!此文仅供参考,不作买卖依据。
