今日頭條
官方微信
官方抖音
資訊頻道1 零信任正跨越鴻溝,解決市場具體問題至關(guān)重要
(1)零信任技術(shù)跨越“鴻溝”,面臨多重挑戰(zhàn)需克服
“跨越鴻溝”理論是杰弗里·摩爾提出的一項技術(shù)采納生命周期模型,該模型描述了新技術(shù)或新產(chǎn)品從創(chuàng)新者群體擴(kuò)散至早期采納者,并最終進(jìn)入大眾市場的復(fù)雜過程。在這一系列階段中,“鴻溝”階段尤為重要,它代表了新技術(shù)或產(chǎn)品在從早期市場向主流市場過渡時所面臨的重大障礙。目前,零信任正面臨著跨越一系列關(guān)鍵“鴻溝”的挑戰(zhàn):
用戶認(rèn)知方面,用戶對于零信任的認(rèn)知不斷提高,但是仍有小部分用戶認(rèn)為零信任與VPN之間沒有區(qū)別。中國信通院調(diào)研結(jié)果顯示,有69.44%的零信任供應(yīng)側(cè)企業(yè)在拓客時感覺用戶對零信任的認(rèn)知變好,無需過多解釋零信任能帶來的優(yōu)勢,可直接與應(yīng)用側(cè)企業(yè)進(jìn)行PoC(Proof of Concept,概念驗證)或溝通落地事宜。但仍有25%的零信任供應(yīng)側(cè)企業(yè)在拓客時感覺用戶對零信任的認(rèn)知變化不多,仍然需要解釋零信任概念、優(yōu)勢等,甚至無法區(qū)分VPN與零信任。
資金投入方面,一是預(yù)算有限,難以持續(xù)投入。零信任的部署是一個漸進(jìn)式的過程,有限的預(yù)算使得用戶在持續(xù)投入和擴(kuò)大零信任建設(shè)方面顯得力不從心,難以充分滿足長期建設(shè)和維護(hù)的需求。二是零信任替換成本較高,投資回報率不高。許多企業(yè)已經(jīng)建立了較為完善的安全防護(hù)體系,替換為零信任意味著需要放棄原有的安全產(chǎn)品或和已有的安全產(chǎn)品進(jìn)行集成,不僅會面臨技術(shù)兼容性和業(yè)務(wù)連續(xù)性等方面的挑戰(zhàn),還會帶來額外的成本支出,特別是在高度集成化或自研比例較高的環(huán)境中,零信任的實施成本高,回報率未達(dá)到預(yù)期。
成效評估方面,一是客戶側(cè)對零信任的戰(zhàn)略認(rèn)知難在高層達(dá)成共識。這主要源于零信任理念的新穎性和實踐復(fù)雜性,以及不同高層管理者對安全戰(zhàn)略和業(yè)務(wù)目標(biāo)的認(rèn)知差異,同時,零信任戰(zhàn)略的實施需要跨部門的緊密協(xié)作,這也增加了高層達(dá)成共識的難度。二是難以驗證零信任部署效果。安全體系的構(gòu)建成效通常考慮四項能力,互聯(lián)互通、自動化編排、全局管控及快速恢復(fù)能力,然而上述四項能力難以得到驗證,互聯(lián)互通要求零信任產(chǎn)品與用戶環(huán)境的安全系統(tǒng)實現(xiàn)接口與消息的統(tǒng)一;自動化編排要求用戶環(huán)境具備智能化的安全工具與工作流程;全局管控需要全方位、多層次的監(jiān)控和管理;快速恢復(fù)作為最重要的安全能力,是四項能力中需要優(yōu)先實現(xiàn)的能力,但該能力的驗證需要對技術(shù)故障進(jìn)行模擬,然而故障模擬的構(gòu)造難度較大。
員工體驗方面,一是資源訪問產(chǎn)生延遲,流暢度降低。由于零信任架構(gòu)需要實時、動態(tài)地評估用戶的身份、設(shè)備、位置和行為等因素,這可能導(dǎo)致在訪問資源時出現(xiàn)一定的延遲,影響了用戶的工作效率和流暢度。二是員工擔(dān)憂隱私泄露。零信任架構(gòu)要求持續(xù)監(jiān)控用戶的訪問行為和設(shè)備狀態(tài),員工擔(dān)憂自己的個人信息和隱私被過度收集和使用,從而對零信任產(chǎn)生抵觸情緒。
(2)用戶或有意或不經(jīng)意正在使用零信任理念解決安全問題
Gartner發(fā)布的2024年中國安全技術(shù)成熟度曲線顯示,零信任網(wǎng)絡(luò)訪問已進(jìn)入穩(wěn)步爬升的中期,與2023年(處于穩(wěn)步爬升初期)和2022年(處于泡沫破裂低谷期)相比,零信任在中國的應(yīng)用逐步提升。零信任從概念初現(xiàn)行至今日已有十多年,目標(biāo)客戶也從追求技術(shù)方案革新,到以解決問題和風(fēng)險為導(dǎo)向,期望零信任能夠解決具體場景下的業(yè)務(wù)問題。2024年中國信通院調(diào)研了零信任供應(yīng)側(cè)企業(yè)主要服務(wù)的行業(yè),調(diào)研結(jié)果顯示零信任供應(yīng)側(cè)企業(yè)服務(wù)最多的行業(yè)是信息技術(shù)服務(wù)業(yè),其次是政府機(jī)關(guān)和電信業(yè),制造業(yè)與金融業(yè)并列第四。其中,交通業(yè)零信任供應(yīng)能力增幅較大,2024年近半數(shù)零信任供應(yīng)側(cè)企業(yè)能為交通業(yè)提供安全服務(wù)。此外,調(diào)研的樣本數(shù)量也有增長,表明2024年有更多企業(yè)進(jìn)入零信任賽道。各零信任供應(yīng)側(cè)企業(yè)也在積極拓寬自己服務(wù)能力,使用零信任產(chǎn)品解決行業(yè)用戶安全痛點。
來源:中國信通院
圖1 2021年與2024年零信任供應(yīng)側(cè)企業(yè)解決方案主要服務(wù)的行業(yè)對比
用戶并不一定期望其安全架構(gòu)徹底變?yōu)榱阈湃危菑那袑嵭枨蟪霭l(fā)選擇零信任。從廣義的實現(xiàn)“零信任”理念方面來看,用戶未必一定要使用SDP、增強(qiáng)的IAM、MSG等技術(shù),只要遵循最小權(quán)限授權(quán)、基于身份授權(quán)等原則實現(xiàn)即可,過去很多用戶是按照這樣的原則規(guī)劃訪問控制、隔離或授權(quán)體系。然而,專業(yè)的零信任產(chǎn)品所提供的核心能力,可以幫助用戶解決過去依靠手工難以解決、無法持續(xù)的問題,使得安全體系在零信任的框架下得以運(yùn)行下去。一是在全面精細(xì)可視的基礎(chǔ)上,通過零信任策略對脆弱性風(fēng)險進(jìn)行最大程度的緩解。銀行業(yè)受業(yè)務(wù)運(yùn)行限制漏洞無法全量修補(bǔ),高危端口無法盡數(shù)封禁,解決辦法是使用白名單網(wǎng)絡(luò)策略限制“帶洞運(yùn)行”資產(chǎn)的訪問,需要零信任“可視化”能力的輔助,微隔離可以提供細(xì)粒度的連接信息和訪問控制,令用戶可以在“近源”“近站”側(cè)全面、精準(zhǔn)地學(xué)習(xí)流量、最小權(quán)限地控制流量,輔助用戶生成收斂漏洞攻擊面的最小權(quán)限策略。二是解決動態(tài)的邊界防護(hù)需求。能源央企核心業(yè)務(wù)系統(tǒng)與其他業(yè)務(wù)系統(tǒng)混部部署,初時,上百個工作負(fù)載手動下發(fā)主機(jī)防火墻策略,然而在彈性需求增多的當(dāng)下并不適用,彈性擴(kuò)容的環(huán)境中,零信任可以“基于業(yè)務(wù)屬性標(biāo)識資產(chǎn)身份”,基于資產(chǎn)的身份自動將拉起后的工作負(fù)載動態(tài)的劃入至其應(yīng)屬的防護(hù)邊界內(nèi)部。三是解決策略統(tǒng)一管理需求。制造業(yè)企業(yè)工控上位機(jī)(生產(chǎn)線上控制機(jī)械臂的電腦)被勒索后導(dǎo)致全面停工,初期通過手工定義策略的方式下發(fā)黑名單策略封禁端口,后期為了追求更佳效果,8人團(tuán)隊耗費(fèi)18個月將黑名單轉(zhuǎn)換為白名單模式,然而后續(xù)的人力、精力無法支撐。而零信任的策略決策點能夠批量、自動編排多個策略執(zhí)行點上的策略,從而提升運(yùn)維效率,確保安全策略可落地、可持續(xù)。
2 國內(nèi)外相關(guān)政策與標(biāo)準(zhǔn)涌現(xiàn),驅(qū)動產(chǎn)業(yè)規(guī)范發(fā)展
面對不斷演變的網(wǎng)絡(luò)安全形勢和業(yè)務(wù)需求,零信任在政策的推動、市場的引導(dǎo)以及廠商的積極實踐下,不斷拓寬應(yīng)用邊界,釋放出獨(dú)有的價值,為數(shù)字經(jīng)濟(jì)的發(fā)展提供安全保障,為企業(yè)的數(shù)字化轉(zhuǎn)型保駕護(hù)航。
(1)國際零信任政策推動全球網(wǎng)絡(luò)安全戰(zhàn)略加速實施
全球加速布局零信任安全戰(zhàn)略,推動網(wǎng)絡(luò)安全領(lǐng)域深刻變革。如表1所示,自2019年起,美國陸續(xù)發(fā)布零信任指導(dǎo)建議、計劃等推動零信任在美落地,其他國家也紛紛在零信任領(lǐng)域展開布局,提升各自的網(wǎng)絡(luò)安全防護(hù)能力。美國方面,近兩年,美國在零信任戰(zhàn)略的實施上取得了顯著進(jìn)展,2023年2月7日,DoD(美國國防部)發(fā)布了第五版《國防部網(wǎng)絡(luò)安全參考架構(gòu)(CSRA)》,制定了與國防部零信任戰(zhàn)略密切相關(guān)的新目標(biāo);2024年6月4日,DoD發(fā)布了《國防部零信任覆蓋》文件,是DoD為實現(xiàn)零信任戰(zhàn)略而發(fā)布的重要指導(dǎo)文件,該文件首次對DoD在國防企業(yè)范圍內(nèi)實施零信任的方式進(jìn)行了標(biāo)準(zhǔn)化,全面描述了實施路徑、控制措施以及預(yù)期成果,規(guī)定實施零信任控制的分階段方法,并指導(dǎo)系統(tǒng)架構(gòu)師和授權(quán)官員開展零信任差距分析;2024年10月31日,美國聯(lián)邦政府發(fā)布了《聯(lián)邦零信任數(shù)據(jù)安全指南》,該指南強(qiáng)調(diào)以保護(hù)數(shù)據(jù)本身為中心,而非保護(hù)數(shù)據(jù)邊界,匯集了30多個聯(lián)邦機(jī)構(gòu)和部門的數(shù)據(jù)和安全專家的意見,提供了零信任數(shù)據(jù)安全原則,并給出了實施指導(dǎo)和風(fēng)險管理方法,旨在幫助聯(lián)邦機(jī)構(gòu)保護(hù)其敏感數(shù)據(jù)資產(chǎn),并降低數(shù)據(jù)泄露和其他安全事件的風(fēng)險。歐盟方面,2023年1月13日,《關(guān)于在歐盟全境實現(xiàn)高度統(tǒng)一網(wǎng)絡(luò)安全措施的指令》(NIS2指令)正式生效,指令中提出所有關(guān)鍵實體應(yīng)實施零信任安全模型,包括身份驗證、授權(quán)和訪問控制等措施,并制定了執(zhí)法和制裁措施。英國方面,2023年2月,NCSC(英國國家網(wǎng)絡(luò)安全中心)發(fā)布了《零信任:構(gòu)建混合資產(chǎn)指南1.0》,為解決零信任不兼容問題提出建構(gòu)一種新的“混合資產(chǎn)架構(gòu)”,通過零信任代理和托管虛擬專用網(wǎng)絡(luò)兩種方法實現(xiàn)其訪問,保持整個系統(tǒng)的零信任安全優(yōu)勢。澳大利亞方面,2023年10月,澳大利亞政府發(fā)布《2023-2030年網(wǎng)絡(luò)安全戰(zhàn)略》,將零信任作為網(wǎng)絡(luò)安全的核心戰(zhàn)略,保護(hù)政府?dāng)?shù)據(jù)和數(shù)字資產(chǎn)。上述舉措體現(xiàn)了各實體正通過政策引導(dǎo)和技術(shù)實踐,加速推進(jìn)零信任的應(yīng)用,以應(yīng)對日益復(fù)雜的網(wǎng)絡(luò)安全挑戰(zhàn)。
表1 國外零信任相關(guān)政策
(2)國內(nèi)加大政策推動,多層級標(biāo)準(zhǔn)建立產(chǎn)業(yè)規(guī)范
國家政策支持為零信任發(fā)展提供方向指引。目前我國正在從政策層面積極地推動零信任技術(shù)的發(fā)展與應(yīng)用,通過發(fā)布一系列指導(dǎo)意見,加快相關(guān)標(biāo)準(zhǔn)的研制,為零信任技術(shù)的普及與深化提供了堅實的政策保障與支持,具體表現(xiàn)為:標(biāo)準(zhǔn)推動方面,2024年5月17日,中央網(wǎng)信辦、公安部、交通運(yùn)輸部、應(yīng)急管理部等10部門聯(lián)合印發(fā)《關(guān)于實施公共安全標(biāo)準(zhǔn)化筑底工程的指導(dǎo)意見》,提出針對新技術(shù)新應(yīng)用帶來的風(fēng)險挑戰(zhàn)和具體問題,加快研制人工智能安全、云安全技術(shù)、安全可信認(rèn)證、區(qū)塊鏈共識機(jī)制、零信任等標(biāo)準(zhǔn)。技術(shù)創(chuàng)新方面,2024年9月27日,國家數(shù)據(jù)局發(fā)布《關(guān)于促進(jìn)數(shù)據(jù)產(chǎn)業(yè)高質(zhì)量發(fā)展的指導(dǎo)意見(征求意見稿)》,提出在數(shù)據(jù)安全方面,要加強(qiáng)多因子身份認(rèn)證、端到端加密、零信任安全等技術(shù)創(chuàng)新,發(fā)展數(shù)據(jù)安全監(jiān)測預(yù)警、數(shù)據(jù)合規(guī)檢測、人工智能數(shù)據(jù)安全等服務(wù)業(yè)態(tài)。
多省份將零信任技術(shù)視為數(shù)字建設(shè)的關(guān)鍵,用以強(qiáng)化數(shù)據(jù)安全防護(hù)。據(jù)不完全統(tǒng)計,近年來我國各省市在數(shù)字建設(shè)與發(fā)展規(guī)劃中均強(qiáng)調(diào)零信任安全技術(shù)的運(yùn)用,如表2所示。一是強(qiáng)化關(guān)鍵領(lǐng)域數(shù)據(jù)安全,從北京市的智慧城市行動綱要,到山東省、湖南省、遼寧省等多地的數(shù)字發(fā)展規(guī)劃,均明確提出探索或應(yīng)用零信任機(jī)制以增強(qiáng)數(shù)據(jù)安全與網(wǎng)絡(luò)防護(hù),各地政策不僅強(qiáng)調(diào)探索零信任安全機(jī)制,還積極推動其在金融、政務(wù)、工業(yè)互聯(lián)網(wǎng)等關(guān)鍵領(lǐng)域的部署應(yīng)用。二是提升數(shù)據(jù)安全防護(hù)效能,福建省、河南省等地區(qū)計劃建設(shè)基于零信任的數(shù)字身份與訪問管理安全設(shè)施,并積極推動這一新技術(shù)在各業(yè)務(wù)場景中的實際應(yīng)用,通過持續(xù)的技術(shù)優(yōu)化和場景適配,不斷提升數(shù)據(jù)安全防護(hù)的效能與智能化水平。零信任安全技術(shù)已成為我國數(shù)字建設(shè)的重要一環(huán),對保障數(shù)據(jù)安全、提升網(wǎng)絡(luò)防護(hù)能力起到了關(guān)鍵作用。
表2 國內(nèi)各省市零信任相關(guān)政策
我國已從多層級啟動零信任標(biāo)準(zhǔn)研究,協(xié)助建立產(chǎn)業(yè)規(guī)范。為落實國家網(wǎng)絡(luò)信息安全相關(guān)要求,我國已從多層級開展零信任標(biāo)準(zhǔn)研究。國家標(biāo)準(zhǔn)方面,我國網(wǎng)絡(luò)安全領(lǐng)域首個規(guī)范零信任理念的國家標(biāo)準(zhǔn)GB/T43696-2024《網(wǎng)絡(luò)安全技術(shù)零信任參考體系架構(gòu)》,2024年11月1日正式施行。行業(yè)標(biāo)準(zhǔn)方面,一是由中華人民共和國工業(yè)和信息化部發(fā)布的行業(yè)標(biāo)準(zhǔn)《零信任安全技術(shù)參考框架》《面向云計算的零信任體系第1部分:總體架構(gòu)》《面向云計算的零信任體系第2部分:關(guān)鍵能力要求》《面向云計算的零信任體系第3部分:安全訪問服務(wù)邊緣能力要求》和《面向云計算的零信任體系第6部分:數(shù)字身份安全能力要求》均已開始實施。二是中國通信標(biāo)準(zhǔn)化協(xié)會正在開展《面向云計算的零信任成熟度評價模型》標(biāo)準(zhǔn)的研究工作。
摘自:中國通信標(biāo)準(zhǔn)化協(xié)會—云計算標(biāo)準(zhǔn)和開源推進(jìn)委員會和中國信息通信研究院《零信任發(fā)展洞察報告》
摘自《自動化博覽》2025年1月刊
北京市公安局海淀分局備案號:11010802023656號