零信任相關的機制和標準,涵蓋從雲到邊、端的各種場景,包括遠程辦公、業務訪問、分支安全接入、數據交換、大數據中心、雲平台、物聯網等。作為新安全範式,對安全廠商和用戶,如何真正落地零信任?空講概念不如枚舉場景,場景是決定如何實施零信任的最重要考量,拋開場景來談零信任的框架只會是空中樓閣。前文談到的美國《聯邦零信任戰略》,列舉的五大場景目標,就是身份、設備、網絡、應用和數據,並對每個場景都提出了相關的實現機制基線。新冠疫情給全世界都帶來了遠程辦公的剛需,也帶來了對零信任關注的升溫。目前,VPN 幾乎是所有 IT 人員解決遠程接入需求的第一選項,但是在超大規模和應用精細化的要求下,VPN 表現的捉襟見肘。儘管 VPN 一定程度上滿足了遠程接入需求,但其「接入即安全」的模式,往往給予過多的隱含權限,這正好是零信任原則的對立面,所以,取代 VPN 成為零信任應用最經典的場景之一。但更重要的是,企業的安全機制需要的是平穩過渡,客戶絕不會接受立刻關閉VPN。因此,零信任落地的正確路線是「大膽假設,小心求證」。從 2014 年創立以來,志翔科技就以「無邊界安全」和「零信任原則」作為產品和方案的理念基礎,把握去邊界化的趨勢,在特定場景中實現零信任機制。針對企業的現實情況和需求,志翔結合自身產品能力,找到與企業現有 VPN 形成最佳補充的場景來入手。例如,企業用戶如何安全訪問企業應用,即零信任網絡接入;企業工作負載之間的精細化保護等。企業客戶首先會關注自己的數字資產和業務如何管理,後疫情時代則更關注如何遠程安全的訪問這些業務。志翔與客戶共同探索出的方法,是逐步建立身份化的體系,然後從大顆粒開始,通過諸如志翔「至安盾」零信任網關等形式,建立不影響當前業務管控的基本框架,再基於行為做精細化管控和持續優化。在服務端逐步引入基於用戶身份的微隔離比如志翔「至明」安全探針等,對服務器、虛擬機、容器等工作負載進行更精細化的監測、保護以及安全可視化。在設備側通過引入主機安全管理,保證設備的安全基線合規並檢測響應安全事件。當然,挑戰永遠存在。接入側的場景非常複雜,用戶行為差異化很明顯,需要不斷積累場景才能提升產品通用性。服務側的穩定性和業務敏捷是一對矛盾體,如何隔離和協調異種工作負載等都是難題。可以說,零信任承擔的責任,對安全而言就是演進的大挑戰。無論政策、標準、運維、安全可視化和安全管理,還是南北向和東西向的網絡、基礎架構、身份安全、數據安全等,零信任面臨的機遇和挑戰並存共生,這也恰是其魅力所在。(本文刊登於《中國信息安全》雜誌2022年第2期)
留言列表
留言列表