今日頭條
官方微信
官方抖音
資訊頻道1 零信任正跨越鴻溝,解決市場具體問題至關重要
(1)零信任技術跨越“鴻溝”,面臨多重挑戰需克服
“跨越鴻溝”理論是杰弗里·摩爾提出的一項技術采納生命周期模型,該模型描述了新技術或新產品從創新者群體擴散至早期采納者,并最終進入大眾市場的復雜過程。在這一系列階段中,“鴻溝”階段尤為重要,它代表了新技術或產品在從早期市場向主流市場過渡時所面臨的重大障礙。目前,零信任正面臨著跨越一系列關鍵“鴻溝”的挑戰:
用戶認知方面,用戶對于零信任的認知不斷提高,但是仍有小部分用戶認為零信任與VPN之間沒有區別。中國信通院調研結果顯示,有69.44%的零信任供應側企業在拓客時感覺用戶對零信任的認知變好,無需過多解釋零信任能帶來的優勢,可直接與應用側企業進行PoC(Proof of Concept,概念驗證)或溝通落地事宜。但仍有25%的零信任供應側企業在拓客時感覺用戶對零信任的認知變化不多,仍然需要解釋零信任概念、優勢等,甚至無法區分VPN與零信任。
資金投入方面,一是預算有限,難以持續投入。零信任的部署是一個漸進式的過程,有限的預算使得用戶在持續投入和擴大零信任建設方面顯得力不從心,難以充分滿足長期建設和維護的需求。二是零信任替換成本較高,投資回報率不高。許多企業已經建立了較為完善的安全防護體系,替換為零信任意味著需要放棄原有的安全產品或和已有的安全產品進行集成,不僅會面臨技術兼容性和業務連續性等方面的挑戰,還會帶來額外的成本支出,特別是在高度集成化或自研比例較高的環境中,零信任的實施成本高,回報率未達到預期。
成效評估方面,一是客戶側對零信任的戰略認知難在高層達成共識。這主要源于零信任理念的新穎性和實踐復雜性,以及不同高層管理者對安全戰略和業務目標的認知差異,同時,零信任戰略的實施需要跨部門的緊密協作,這也增加了高層達成共識的難度。二是難以驗證零信任部署效果。安全體系的構建成效通常考慮四項能力,互聯互通、自動化編排、全局管控及快速恢復能力,然而上述四項能力難以得到驗證,互聯互通要求零信任產品與用戶環境的安全系統實現接口與消息的統一;自動化編排要求用戶環境具備智能化的安全工具與工作流程;全局管控需要全方位、多層次的監控和管理;快速恢復作為最重要的安全能力,是四項能力中需要優先實現的能力,但該能力的驗證需要對技術故障進行模擬,然而故障模擬的構造難度較大。
員工體驗方面,一是資源訪問產生延遲,流暢度降低。由于零信任架構需要實時、動態地評估用戶的身份、設備、位置和行為等因素,這可能導致在訪問資源時出現一定的延遲,影響了用戶的工作效率和流暢度。二是員工擔憂隱私泄露。零信任架構要求持續監控用戶的訪問行為和設備狀態,員工擔憂自己的個人信息和隱私被過度收集和使用,從而對零信任產生抵觸情緒。
(2)用戶或有意或不經意正在使用零信任理念解決安全問題
Gartner發布的2024年中國安全技術成熟度曲線顯示,零信任網絡訪問已進入穩步爬升的中期,與2023年(處于穩步爬升初期)和2022年(處于泡沫破裂低谷期)相比,零信任在中國的應用逐步提升。零信任從概念初現行至今日已有十多年,目標客戶也從追求技術方案革新,到以解決問題和風險為導向,期望零信任能夠解決具體場景下的業務問題。2024年中國信通院調研了零信任供應側企業主要服務的行業,調研結果顯示零信任供應側企業服務最多的行業是信息技術服務業,其次是政府機關和電信業,制造業與金融業并列第四。其中,交通業零信任供應能力增幅較大,2024年近半數零信任供應側企業能為交通業提供安全服務。此外,調研的樣本數量也有增長,表明2024年有更多企業進入零信任賽道。各零信任供應側企業也在積極拓寬自己服務能力,使用零信任產品解決行業用戶安全痛點。
來源:中國信通院
圖1 2021年與2024年零信任供應側企業解決方案主要服務的行業對比
用戶并不一定期望其安全架構徹底變為零信任,而是從切實需求出發選擇零信任。從廣義的實現“零信任”理念方面來看,用戶未必一定要使用SDP、增強的IAM、MSG等技術,只要遵循最小權限授權、基于身份授權等原則實現即可,過去很多用戶是按照這樣的原則規劃訪問控制、隔離或授權體系。然而,專業的零信任產品所提供的核心能力,可以幫助用戶解決過去依靠手工難以解決、無法持續的問題,使得安全體系在零信任的框架下得以運行下去。一是在全面精細可視的基礎上,通過零信任策略對脆弱性風險進行最大程度的緩解。銀行業受業務運行限制漏洞無法全量修補,高危端口無法盡數封禁,解決辦法是使用白名單網絡策略限制“帶洞運行”資產的訪問,需要零信任“可視化”能力的輔助,微隔離可以提供細粒度的連接信息和訪問控制,令用戶可以在“近源”“近站”側全面、精準地學習流量、最小權限地控制流量,輔助用戶生成收斂漏洞攻擊面的最小權限策略。二是解決動態的邊界防護需求。能源央企核心業務系統與其他業務系統混部部署,初時,上百個工作負載手動下發主機防火墻策略,然而在彈性需求增多的當下并不適用,彈性擴容的環境中,零信任可以“基于業務屬性標識資產身份”,基于資產的身份自動將拉起后的工作負載動態的劃入至其應屬的防護邊界內部。三是解決策略統一管理需求。制造業企業工控上位機(生產線上控制機械臂的電腦)被勒索后導致全面停工,初期通過手工定義策略的方式下發黑名單策略封禁端口,后期為了追求更佳效果,8人團隊耗費18個月將黑名單轉換為白名單模式,然而后續的人力、精力無法支撐。而零信任的策略決策點能夠批量、自動編排多個策略執行點上的策略,從而提升運維效率,確保安全策略可落地、可持續。
2 國內外相關政策與標準涌現,驅動產業規范發展
面對不斷演變的網絡安全形勢和業務需求,零信任在政策的推動、市場的引導以及廠商的積極實踐下,不斷拓寬應用邊界,釋放出獨有的價值,為數字經濟的發展提供安全保障,為企業的數字化轉型保駕護航。
(1)國際零信任政策推動全球網絡安全戰略加速實施
全球加速布局零信任安全戰略,推動網絡安全領域深刻變革。如表1所示,自2019年起,美國陸續發布零信任指導建議、計劃等推動零信任在美落地,其他國家也紛紛在零信任領域展開布局,提升各自的網絡安全防護能力。美國方面,近兩年,美國在零信任戰略的實施上取得了顯著進展,2023年2月7日,DoD(美國國防部)發布了第五版《國防部網絡安全參考架構(CSRA)》,制定了與國防部零信任戰略密切相關的新目標;2024年6月4日,DoD發布了《國防部零信任覆蓋》文件,是DoD為實現零信任戰略而發布的重要指導文件,該文件首次對DoD在國防企業范圍內實施零信任的方式進行了標準化,全面描述了實施路徑、控制措施以及預期成果,規定實施零信任控制的分階段方法,并指導系統架構師和授權官員開展零信任差距分析;2024年10月31日,美國聯邦政府發布了《聯邦零信任數據安全指南》,該指南強調以保護數據本身為中心,而非保護數據邊界,匯集了30多個聯邦機構和部門的數據和安全專家的意見,提供了零信任數據安全原則,并給出了實施指導和風險管理方法,旨在幫助聯邦機構保護其敏感數據資產,并降低數據泄露和其他安全事件的風險。歐盟方面,2023年1月13日,《關于在歐盟全境實現高度統一網絡安全措施的指令》(NIS2指令)正式生效,指令中提出所有關鍵實體應實施零信任安全模型,包括身份驗證、授權和訪問控制等措施,并制定了執法和制裁措施。英國方面,2023年2月,NCSC(英國國家網絡安全中心)發布了《零信任:構建混合資產指南1.0》,為解決零信任不兼容問題提出建構一種新的“混合資產架構”,通過零信任代理和托管虛擬專用網絡兩種方法實現其訪問,保持整個系統的零信任安全優勢。澳大利亞方面,2023年10月,澳大利亞政府發布《2023-2030年網絡安全戰略》,將零信任作為網絡安全的核心戰略,保護政府數據和數字資產。上述舉措體現了各實體正通過政策引導和技術實踐,加速推進零信任的應用,以應對日益復雜的網絡安全挑戰。
表1 國外零信任相關政策
(2)國內加大政策推動,多層級標準建立產業規范
國家政策支持為零信任發展提供方向指引。目前我國正在從政策層面積極地推動零信任技術的發展與應用,通過發布一系列指導意見,加快相關標準的研制,為零信任技術的普及與深化提供了堅實的政策保障與支持,具體表現為:標準推動方面,2024年5月17日,中央網信辦、公安部、交通運輸部、應急管理部等10部門聯合印發《關于實施公共安全標準化筑底工程的指導意見》,提出針對新技術新應用帶來的風險挑戰和具體問題,加快研制人工智能安全、云安全技術、安全可信認證、區塊鏈共識機制、零信任等標準。技術創新方面,2024年9月27日,國家數據局發布《關于促進數據產業高質量發展的指導意見(征求意見稿)》,提出在數據安全方面,要加強多因子身份認證、端到端加密、零信任安全等技術創新,發展數據安全監測預警、數據合規檢測、人工智能數據安全等服務業態。
多省份將零信任技術視為數字建設的關鍵,用以強化數據安全防護。據不完全統計,近年來我國各省市在數字建設與發展規劃中均強調零信任安全技術的運用,如表2所示。一是強化關鍵領域數據安全,從北京市的智慧城市行動綱要,到山東省、湖南省、遼寧省等多地的數字發展規劃,均明確提出探索或應用零信任機制以增強數據安全與網絡防護,各地政策不僅強調探索零信任安全機制,還積極推動其在金融、政務、工業互聯網等關鍵領域的部署應用。二是提升數據安全防護效能,福建省、河南省等地區計劃建設基于零信任的數字身份與訪問管理安全設施,并積極推動這一新技術在各業務場景中的實際應用,通過持續的技術優化和場景適配,不斷提升數據安全防護的效能與智能化水平。零信任安全技術已成為我國數字建設的重要一環,對保障數據安全、提升網絡防護能力起到了關鍵作用。
表2 國內各省市零信任相關政策
我國已從多層級啟動零信任標準研究,協助建立產業規范。為落實國家網絡信息安全相關要求,我國已從多層級開展零信任標準研究。國家標準方面,我國網絡安全領域首個規范零信任理念的國家標準GB/T43696-2024《網絡安全技術零信任參考體系架構》,2024年11月1日正式施行。行業標準方面,一是由中華人民共和國工業和信息化部發布的行業標準《零信任安全技術參考框架》《面向云計算的零信任體系第1部分:總體架構》《面向云計算的零信任體系第2部分:關鍵能力要求》《面向云計算的零信任體系第3部分:安全訪問服務邊緣能力要求》和《面向云計算的零信任體系第6部分:數字身份安全能力要求》均已開始實施。二是中國通信標準化協會正在開展《面向云計算的零信任成熟度評價模型》標準的研究工作。
摘自:中國通信標準化協會—云計算標準和開源推進委員會和中國信息通信研究院《零信任發展洞察報告》
摘自《自動化博覽》2025年1月刊
北京市公安局海淀分局備案號:11010802023656號