经历新冠肺炎后,企业管理者更为直观地感受到数字化转型的重要性,企业预防不可抗力的忧患意识明显增强。同时,随着云计算、大数据、移动互联网、物联网、5G等技术广泛应用到企业信息化建设和业务发展中,远程办公、业务协同、分支互联等业务需求快速发展。企业员工、设备、合作伙伴以及客户需要通过多种方式灵活接入企业业务系统,以提高工作效率、增强用户体验,而无需考虑这些系统是位于企业内部网络、云平台还是开放网络环境,企业原有的网络边界逐渐泛化。
IDC认为,以区块链为底座,由风险、安全、合规、伦理、社会责任和隐私五大要素构成的未来信任体系将为广大企业打造可信的未来商业环境提供指引。IDC的调研发现,疫情期间,因为企业用户开始不断要求工作场所中的IT体验可以等同或优于私人环境中的IT体验,但是传统VPN远程解决方案存在缺陷,所以VPN问题成为了企业IT投诉的第二大来源。因此,IDC提出软件定义安全访问(SDSA)的概念。IDC认为,软件定义安全访问是一种新的访问安全和控制解决方案,包括软件定义边界(SDP)、身份感知代理(IAP)和Internet Overlay。SDSA为认证用户和授权应用程序建立基于上下文感知、身份感知和设备感知策略的安全连接。SDSA解决方案摒弃了静态的网络边界,更适用于数字化转型的组织。SDSA建立在以应用和用户为中心的分布式完整性原则以及最小权限访问基础之上,从而阻止未经认证的用户连接,或者向未经授权的应用程序发送任何网络流量。
零信任是SDSA概念的重要组成部分,该理念坚守“永不信任,始终验证”的原则,要求每个访问请求在授予访问之前都应进行完全身份验证、授权和加密,能够有效提升企业网络安全防护的细粒度和动态性,并且正在成为全球技术提供商及企业级客户重点关注的网络安全防护防护理念。IDC使用以下术语介绍零信任理念:
数字信任是一个重要的战略组织概念,它将组织和最终用户之间的信任从技术层面整合到广泛的感知和基于声誉的层面。
数字化转型(DX)安全模型是一种通用的安全方法,它属于数字信任的范畴,并在身份、漏洞、信任和威胁管理等功能服务下组织数字转换的新技术和流程——所有这些都与IDC DX平台模型相关。
分布式完整性模型是网络安全架构模型,它关注的是用户和设备如何访问应用程序和处理数据。在这个模型中,有三种常见的能力——软件定义边界(SDP)、增强身份认证(IAM)和微隔离(MSG)——构成了零信任架构的主要技术能力。
结合以上市场背景和客户需求,IDC于2021年6月发布了《IDC特殊研究:中国网络安全市场新趋势——零信任市场研究》研究报告(#CHC47929221)。该报告中结合IDC提出的软件定义安全访问(SDSA)概念,针对中国零信任相关市场的客户需求、技术发展的现状和未来趋势进行了广泛的调研。最终选取了(按公司拼音首字母排序)安恒信息、迪普科技、华为云、绿盟科技、奇安信、启明星辰集团、蔷薇灵动、深信服、腾讯安全、芯盾时代、新华三、指掌易等多个颇具特色的零信任理念相关产品或解决方案提供商,对其技术实力和方案特点进行了客观介绍。同时在报告中对海信集团、上海汽车乘用车公司、某钢铁集团、某知名物流公司等最终客户的零信任网络架构建设情况进行了具体描述,力求为同行业企业选择和建设零信任体系时提供参考。(更多企业级用户零信任案例可参考《IDC PeerScape: CIO视角-中国零信任市场研究》报告(#CHC46327021)。)
IDC认为,零信任理念在未来几年仍将是全球网络安全市场关注的热点,也将会有更多的安全技术提供商投入到零信任的浪潮中。企业在选择和建设零信任架构时需要从多个维度综合考量:
零信任架构的建设不是“一键切换”能够简单实现的,需要长期规划和建设,企业不应因为零信任建设而降低企业原有安全防护体系的投入。无论是出于网络安全建设合规性还是网络安全防护完整性考虑,大多数企业将在未来几年的时间内保持传统边界防御和零信任架构同时建设的混合运营模式。
企业需要结合自身业务长远规划整体评估零信任架构在企业网络安全体系建设中的必要性和可行性,并向企业管理团队汇报,帮助管理团队坚定零信任网络建设的战略,以获取企业的政策和资源支持。建立一个由企业管理者亲自挂帅,自上而下的项目管理体系,往往能够促进零信任项目的顺利推进。
企业需要意识到零信任的实现是一个复杂的工程,很少有单一的服务商能够提供所有零信任所需的能力或产品,安全服务商围绕零信任框架打造的合作生态能够帮助企业构建更为完善的零信任体系。
零信任体系的运营与规划、建设同等重要。零信任体系需要安全运营人员(可能来自专业安全厂商,也可能来自企业自建安全团队)结合企业现实业务的发展和系统使用过程中出现的切实问题持续优化模型和策略,并对攻击事件进行深入分析和溯源。因此,人仍然是零信任架构实践过程中最关键的因素。
IDC中国网络安全市场研究经理赵卫京认为:“当前,零信任理念已经在全球范围得到了安全厂商及最终用户的广泛关注和认可,软件定义边界(SDP)、增强身份认证(IAM)和微隔离(MSG)成为众多技术提供商实现零信任的重要途径。当前国内外网络安全市场声称具备零信任框架建设能力的技术提供商众多,企业需要结合自身业务特点进行全面评估和测试,并认清零信任理念与传统网络安全防护方法的区别和联系。同时,零信任越来越多地在用户侧的应用实践也是一个大浪淘沙的过程,具备领先技术、优质服务、能够高度适配用户业务场景的零信任架构必将脱颖而出,并获得越来越多企业客户的认可。”
IDC软件定义安全访问(SDSA)的概念包括:
SDP——是由云安全联盟开发的一个安全框架,通过软件的方式提供了一个集成的安全体系结构,允许控制器(部署在云或本地)建立从终端到应用程序的安全连接。
IAP——将网络流量重定向到云代理,基于以身份为中心的安全策略将用户连接到特定的应用程序。
Internet Overlay——要求组织将网络流量路由到云平台,并在云平台制定和执行路由和安全(包括访问控制)决策,从而实现收敛企业网络边界,对企业网络流量进行全面安全监控的目的。该方式以网络为中心,主要涵盖SD-WAN和SaaS化安全功能。
声明:本文来自IDC咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。