日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

前言

零信任的出現(xiàn)將網(wǎng)絡(luò)防御范圍從廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到單個或小組資源，同時它也代表新一代的網(wǎng)絡(luò)安全防護理念，打破默認的“信任”，秉持“持續(xù)驗證，永不信任”原則，即默認不信任網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng)，基于身份認證和授權(quán)，重新構(gòu)建訪問控制的信任基礎(chǔ)，確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信。本文旨在通過零信任技術(shù)在國內(nèi)外的發(fā)展路線，幫助您對零信任這一安全理念有更為全面的了解。

備受關(guān)注的零信任國內(nèi)外的技術(shù)路線有何異同?

我們都知道“零信任”這一理念最早是在美國提出的，為什么最早會在美國?這與美國蓬勃發(fā)展的云計算、大數(shù)據(jù)技術(shù)是息息相關(guān)的。

隨著零信任技術(shù)體系的完善，加上不斷增長的云應(yīng)用/WEB應(yīng)用，企業(yè)對于這種動態(tài)認證和最小化權(quán)限管理事中轉(zhuǎn)事前的安全防御理念更為接受。

Google這種互聯(lián)網(wǎng)巨頭的零信任的實踐證明，更堅定了資本和廠商的投入，如今美國最大安全公司不是防火墻類傳統(tǒng)公司，而是零信任公司。

反觀國內(nèi)，移動互聯(lián)網(wǎng)業(yè)務(wù)蓬勃發(fā)展，線上支付業(yè)務(wù)的發(fā)展伴隨著移動業(yè)務(wù)的發(fā)展一起向前，線上支付的安全性是阿里巴巴、騰訊這些互聯(lián)網(wǎng)巨頭首要考慮的問題，零信任這一安全理念，也是最早在國內(nèi)互聯(lián)網(wǎng)移動支付領(lǐng)域得到實踐和實用。

隨著零信任理念在國內(nèi)的傳播，這一安全理念也逐步得到更多企事業(yè)的認可。

如移動辦公模式在疫情期間得到廣泛應(yīng)用，單一虛擬專用網(wǎng)接入保障在這期間出現(xiàn)了不少的安全事件，如何提高遠程辦公、遠程接入以及業(yè)務(wù)應(yīng)用的安全性，讓更多企事業(yè)客戶選擇了零信任安全理念，一時間零信任安全廠商如雨后春筍般涌現(xiàn)。

本文旨在通過零信任技術(shù)在國內(nèi)外的發(fā)展路線，幫助您對零信任這一安全理念有更為全面的了解。

1. 國外零信任SaaS技術(shù)路線

美國零信任SaaS化發(fā)展迅猛，已經(jīng)實施零信任SaaS超過30%，還有44%客戶正準備實施。

零信任SaaS假設(shè)所有人不可信，先驗證身份再授權(quán)訪問資源;以身份為中心，經(jīng)過“預驗證”“預授權(quán)”才能獲得訪問系統(tǒng)的單次通道;最小權(quán)限原則，每次賦予用戶所能完成工作的最小訪問權(quán)限;動態(tài)訪問控制，所有訪問通道都是單次的，動態(tài)訪問控制策略。

根據(jù)Forrester報告,零信任SaaS系統(tǒng)商要對零信任有深刻的認識、較強的微隔離能力、廣泛的集成和API能力、識別并監(jiān)控任何可能帶來風險的身份的能力(不僅是IAM)。

如零信任巨頭OKTA采用SaaS訂閱模式，零信任SaaS深入企業(yè)業(yè)務(wù)流程和人員，收入續(xù)費率在120%。零信任SaaS要求企業(yè)掌握微隔離、數(shù)據(jù)安全等技術(shù)，領(lǐng)軍公司通常對網(wǎng)絡(luò)管理、防火墻、云安全有深刻理解。

隨著零信任市場的火熱發(fā)展，在美國有更多公司加入到零信任商業(yè)活動中來，我們把美國的零信任商業(yè)公司分為三類：

• 一是自用轉(zhuǎn)外銷型。代表企業(yè)如：Google、Akamai、Microsoft等;
• 二是收購建能型。代表企業(yè)如：Cisco、Symantec、Palo Alto Network、Unisys、Proofpoint等;
• 三是技術(shù)初創(chuàng)型。代表企業(yè)如：Zscaler、Okta、Cloudflare、Illumio、Cyxtera等。

在美國未來市場，很多機構(gòu)都給予了很高的期望，根據(jù)Cybersecurity Insider的調(diào)查，15%的受訪IT團隊已經(jīng)實施零信任SaaS，44%表示準備部署。

根據(jù)Gartner估計，到2022年，面向生態(tài)系統(tǒng)合作伙伴開放的80%新數(shù)字業(yè)務(wù)應(yīng)用程序?qū)⑼ㄟ^零信任網(wǎng)絡(luò)(ZTNA)進行訪問。到2023年，60%的企業(yè)將淘汰大部分遠程訪問虛擬專用網(wǎng)絡(luò)，轉(zhuǎn)而使用零信任SaaS。

2. 國內(nèi)互聯(lián)網(wǎng)廠商技術(shù)實踐

隨著國內(nèi)互聯(lián)網(wǎng)的快速發(fā)展，互聯(lián)網(wǎng)企業(yè)的信息化程度、移動化程度的不斷提高，企業(yè)“內(nèi)部業(yè)務(wù)系統(tǒng)”逐步成為組織的核心資產(chǎn)，隨時隨地處理企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)變得越來越普遍。

但是分布在全國/全球的多個分支子公司或辦事處不一定有專線到集團內(nèi)網(wǎng)，經(jīng)常通過公網(wǎng)虛擬專用網(wǎng)連接，存在安全性不足和訪問效率低等問題。同時，并購公司、合作公司的網(wǎng)絡(luò)安全管理機制與集團公司很難保持一致，其訪問集團內(nèi)網(wǎng)資源時，存在人員身份校驗和設(shè)備安全可信等問題。

基于此需求，騰訊從2015年開始自主設(shè)計、研發(fā)并在內(nèi)部實踐落地了一套零信任安全管理系統(tǒng)-騰訊ioA，實現(xiàn)了身份安全可信、設(shè)備安全可信、應(yīng)用進程可信、鏈路保護與加速優(yōu)化等多種功能，能夠滿足無邊界辦公/運維、混合云業(yè)務(wù)、分支安全接入、應(yīng)用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務(wù)集中管控、全球鏈路加速訪問等六大場景的動態(tài)訪問控制需求，為企業(yè)達到無邊界的最小權(quán)限安全訪問控制，實現(xiàn)安全管理升級提供一站式的零信任安全方案。

阿里云推出辦公零信任解決方案，類似谷歌的BeyondCorp簡化版本。通過Agent終端管控，SPG(Service Provide Gateway)應(yīng)用接入和IDaaS身份認證齊頭并進，可以提供靈活的組合方案從而滿足企業(yè)的要求。

該方案可概括為“可信”、“動態(tài)”兩個關(guān)鍵字，包含兩個核心的模塊和組件。第一個模塊是遠程終端安全管理，是對遠程終端進行可信的認證以及身份的管理，能實時而非靜態(tài)的判斷路網(wǎng)設(shè)備的安全性。第二個模塊是云端的動態(tài)決策管控，一方面對所有用戶身份進行統(tǒng)一的高強度安全認證，另一方面，系統(tǒng)可結(jié)合各種安全因子來動態(tài)分配用戶權(quán)限。

3. 國內(nèi)安全廠商的技術(shù)路線

國內(nèi)零信任技術(shù)的炒作從2015年開始逐步在各個行業(yè)市場展開，由于零信任安全技術(shù)從國外的云廠商以及咨詢機構(gòu)逐步傳遞進來，國內(nèi)安全廠家都從各自公司的產(chǎn)品優(yōu)勢出發(fā)，優(yōu)先宣傳解決方案，2019年開始逐步有可參考的案例出現(xiàn)。

同時，國內(nèi)的信息安全市場有別于國外歐美市場，目前國內(nèi)網(wǎng)絡(luò)安全市場需求主要集中于政府部委級和大的行業(yè)(如金融、運營商、能源等)，這些客戶目前私有云或混合云已經(jīng)建成，頭部客戶基于自身業(yè)務(wù)出發(fā)，對零信任這一先進安全理念更為接受。

國外成功商業(yè)模式的誘導和國內(nèi)頭部客戶的切實需求，共同驅(qū)動著國內(nèi)資本和安全廠商在零信任這一領(lǐng)域加大投入，目前國內(nèi)廠商技術(shù)路線主要由零信任SDP技術(shù)路線、零信任IAM技術(shù)路線、BeyondCorp技術(shù)路線三種類型組成。

(1) 零信任SDP技術(shù)路線

云安全聯(lián)盟在2014年發(fā)布了《SDP標準規(guī)范V1.0》英文版，中文版于2019年發(fā)布。Gartner將SDP定義為零信任的最佳實踐，加上SDP標準的發(fā)布，讓國內(nèi)更多廠商在SDP方案上有了更明確的方向，每家廠商根據(jù)自已技術(shù)積累的不同，在SDP方案上形成了不同的特色。

(2) 零信任IAM技術(shù)路線

IAM(Identity and Access Management 身份與訪問管理)是網(wǎng)絡(luò)安全領(lǐng)域中的一個細分方向。

從效果上來看，IAM產(chǎn)品可以定義和管理用戶的角色和訪問權(quán)限，即決定了誰可以訪問，如何進行訪問，訪問后可以執(zhí)行哪些操作等。

IAM解決方案也包含了4A特性：賬號、認證、授權(quán)、審計。這些特性，在零信任安全中都具備且為關(guān)鍵特性，這個特點也導致IAM廠家進行零信任安全架構(gòu)遷移的成本更低，效率更明顯。IAM細分市場，主要解決用戶的應(yīng)用訪問和權(quán)限控制問題，因此該類零信任技術(shù)方案更側(cè)重于用戶的應(yīng)用側(cè)和數(shù)據(jù)側(cè)訪問，對于網(wǎng)絡(luò)接入和遠程訪問場景下的技術(shù)覆蓋度不高。

(3) BeyondCorp技術(shù)路線

谷歌的BeyongCorp是較早落地的零信任項目。BeyondCorp實現(xiàn)的核心是引入或擴展網(wǎng)絡(luò)組件，例如單點登錄，訪問代理，訪問控制引擎，用戶清單，設(shè)備清單，安全策略和信任庫。這些組件協(xié)同工作，以維護三個指導原則：

• 特定的網(wǎng)絡(luò)連接不得確定用戶可以訪問哪些服務(wù);
• 根據(jù)對用戶和設(shè)備的了解來授予對服務(wù)的訪問權(quán)限;
• 所有對服務(wù)的訪問都必須經(jīng)過認證，授權(quán)和加密。

通過對比國內(nèi)外零信任的技術(shù)路線，我們可以看到國內(nèi)外零信任各有特色、各呈風采。

當前，在產(chǎn)業(yè)數(shù)字化升級與業(yè)務(wù)上云的發(fā)展趨勢下，傳統(tǒng)企業(yè)保護邊界逐漸被瓦解，以身份為中心的進行訪問控制的零信任安全，得到了越來越多行業(yè)客戶的認可與肯定，毋庸置疑零信任將成為網(wǎng)絡(luò)安全行業(yè)發(fā)展的未來趨勢。

本文標題：國內(nèi)外零信任：我們不一樣
文章鏈接：http://www.dlmjj.cn/article/dpegesj.html