8月12日,2020北京网络安全大会零信任安全论坛如期召开。该论坛以“零信任之路”为主题,中国信息通信研究院安全研究所所长魏亮、“零信任之父” John Kindervag、CSA GCR主席兼研究院院长李雨航、奇安信集团身份安全事业部总经理张泽洲以及多位客户代表应邀出席并发表了主题演讲,详细阐述零信任理念从提出到全面落地的发展历程。奇安信集团副总裁左英男作为主持人出席了该论坛。
“因此,当零信任架构这一安全理念进入到业界视野中来时,我们惊喜地发现,其创新性的“从不信任并始终验证”的原则,以及其“基于身份进行动态访问控制”的本质内涵,零信任作为可支撑未来发展的最佳业务安全防护方式,逐渐成为我国网络安全界的焦点。”中国信息通信研究院安全研究所所长魏亮在致辞中说道。
图 中国信通院安全研究所所长魏亮
与此同时,魏亮还代表中国信通院安全研究所和奇安信集团零信任白皮书联合工作组,在现场发布了《网络安全先进技术与应用发展系列报告——零信任技术(Zero Trust)》白皮书。
白皮书指出,零信任作为一种新的网络安全思维逐步走入公众视野,其创新性的安全理念契合新基建技术特点,着力提升信息化系统和网络的整体安全性,受到了广泛关注,并被寄予厚望。
事实上,零信任作为一种全新的安全理念,最早由时任Forrester的首席分析师John Kindervag在2010年正式提出,其核心思想是在默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。
John Kindervag作为“零信任之父”,参与了零信任安全论坛并发表致辞,他表示,技术的进步可以确保零信任的建设变得更加容易,无论是在公共云、私有云、还是本地部署。
图 “零信任之父” John Kindervag
John Kindervag的发言为所有致力于推动零信任安全发展的参与者,打了一针“强心剂”。单就国内而言,零信任安全已经相当火热。在2020安全创客汇十强企业中,至少有两家专注于零信任的创业企业。
“需要记住的一点是,零信任不是零访问,而是更安全访问被防护的资源,这才是零信任真正的内涵。”李雨航强调说,“零信任落地是企业一把手工程,而不是单纯的购买产品服务。
与此同时,“零信任是一个持续进化的旅程,而不是一个结果。当真正落地部署零信任的时候,将会使政企机构在降低风险、降低成本、业务敏捷、安全合规、有效控制以及改善管理方面,获得极大的改善。”
图 CSA GCR主席兼研究院院长李雨航
不过,零信任之路充满了各种各样的挑战,比如如何获得高层认可,如何评估和构建零信任能力体系,如何确定零信任建设的切入场景和建设路线,如何构建架构体系,如何设计可持续的场景化零信任方案,如何评价零信任项目的进展和成效等等诸多方面。
对此张泽洲表示,需要用工程思维和框架思维应对零信任落地挑战,选择规划先行和分步建设的思路,将零信任能力和架构与目标运行环境进行聚合,将安全能力内生到各业务场景,才能真正为企业的数字化转型保驾护航,使得零信任之路越走越平坦。
图 奇安信集团身份安全事业部总经理张泽洲
历经十年的发展,经过社会各界的不懈努力,零信任安全终于开始“开花结果”,谷歌、微软等大型IT公司都已完成了零信任架构的部署。聚焦国内,国网山东电力、中通快递、中兴通讯等组织与企业也纷纷开启了自己的“零信任之路”。
“为了应对新的安全形势,山东电力构建了以四梁八柱为核心框架的网络安全体系。” 国网山东省电力公司互联网部建设技术运安处处长王勇说,“所谓四梁,即管理、技防、运营、队伍四个方面;八柱即终端、数据、系统、工控、研发、运行、作业、攻防八个安全。四梁为横,构建安全上层建筑;八柱为纵,筑牢网络安全之基。” 采用零信任及纵深防御的安全理念,山东电力在终端统一安装数据防泄漏工具,并做好控制日志、应用访问流量与终端DLP日志汇总关联分析,构建“没有授权进不去,未经许可拿不走、数据泄密赖不掉”的零信任数据安全防护系统。
图 国网山东省电力公司互联网部建设技术运安处处长王勇
中通快递集团面临的安全挑战是非常大的,据了解,目前中通快递拥有1000+异构业务应用、30w+变动频繁的员工以及大量的设备的组织、4亿+在线用户和4w+全球业务网点。
基于这四点基本策略,中通已经实现了近千应用的全球接入和动态实时风险评估。
在未来,中通还将基于零信任,构建云、边、端安全协作体系,支持多云混合云部署架构,打造软件定义的安全云平台,迎接5G万物互联时代。
图 中通快递集团信息安全负责人伏明明
“通过三点一面的零信任安全设计组合,中兴通讯打造了自适应、自生长、自调整的内生安全体系。”中兴通讯网络安全产品总监郝振武说,“这个体系包含三部分:安全控制器,即全网安全控制中枢,通过能力开放引擎,向应用开放切片的安全控制功能,实现端到端安全策略的自动下发,各安全资源的动态调度,灵活组合;安全执行器,即安全策略执行单元,在控制器的统一调度下,执行具体的安全功能;安全分析器,通过能力开放引擎,收集切片的安全事件,感知、实现全网安全事件集中处理,发现和定位各种攻击来源,并上报给控制器,通过策略联动,实现端到端的闭环控制。”
图 中兴通讯网络安全产品总监郝振武