科技云报道原创。
三年的国内疫情防控,让很多行业已经习惯了远程办公。从疫情刚爆发时的手忙脚乱,到如今的淡定管理,远程办公已经内化为企业办公的一种常态模式。
但随着越来越多的员工以远程方式接入,访问公司内部的办公和生产系统,企业在传统办公模式下的安全边界瞬间被打破了。由于员工的访问行为不再局限于企业内网,接入设备也再不局限于企业资产,企业数据会在不同设备、内外网之间频繁流动,大大增加了企业应用安全和数据泄露风险。
如何保障远程办公的安全问题,成为疫情下众多行业的关注焦点。
零信任在国内迎来高速发展
据IDC研究显示,随着远程办公、业务协同、分支互联等业务需求快速发展,企业的员工、设备、合作伙伴以及客户需要通过多种方式灵活接入企业业务系统,导致基于边界的传统安全架构不再可靠,零信任成为一个必选项。
近几年零信任理念在技术圈非常火爆,以“持续验证,永不信任”为核心理念的零信任成为全球网络安全领域的热点话题,国内外无论是政府还是企业,都开展着大量的零信任研究和实践。
据ResearchAndMarkets研究报告显示,2020年,美国零信任安全市场规模约为54亿美元,预计在2020年-2027年,年复合增长率约为19%;作为世界第二大经济体中国,预计到2027年零信任将达到111亿美元的市场规模。
巨大的市场潜力,吸引了腾讯、阿里、华为、深信服、奇安信、绿盟等国内互联网和安全厂商的纷纷布局,同时也诞生了近百家以零信任为基础的初创安全公司。
零信任市场的欣欣向荣,让不少人认为2021年是国内零信任发展的元年。
但反观用户市场,对于零信任的落地却不那么笃定。
业界普遍认为零信任落地难点表现在几个方面:一是,难以找准落地场景;二是,难以改造现有安全体系;三是,成本高、投入大,难以持续管理;四是,难以评估实施效果和价值;五是,用户的使用习惯要改变。
总的来说,零信任的成功落地需要“找准落地场景”,“厘清零信任与安全、业务的关系”,不仅需要用户侧对于业务和场景的理解,还需要零信任方案对传统网络安全框架有便捷的适配,并用轻量化的方式降低用户的建设和维护成本,帮助用户完成新一代网络安全框架的转型。
但从目前国内零信任行业发展水平看,实属鱼龙混杂。很多产品算不上真正的零信任解决方案,只是传统的安全产品换了个包装;还有一些厂商暂时处于产品自用的阶段,并没有真正实现商业化,还在探索如何去落地外部客户。
这种行业乱象也在一定程度上加深了企业用户对于零信任的“不确定感”。
远程办公成为零信任的最佳切入点
尽管零信任在国内存在“供给偏热,需求偏少”的现状,但作为一种备受认可的技术趋势,零信任已在一些行业实现了落地应用。
据中国信通院调查显示,政府机关、信息技术服务业、金融业、制造业作为排头兵,零信任应用试点占比靠前,总占比达 53%。
其中,远程访问是当前企业实施零信任的主要驱动和优先选择,供应商的产品也更聚焦在该领域,远程办公、远程分支机构接入、远程运维三大场景占比居于前三,总占比达 46%。
在远程办公场景,零信任能够应对多样化终端设备远程接入带来的安全风险。一方面,零信任不再根据网络位置来验证身份和提供权限,而是基于多源数据进行权限判定,保证只有安全合法的访问行为被放行;另一方面,零信任强调按需分配和最小权限原则,大大降低了资源的可见性,减少远程攻击。
在远程运维场景,企业通过传统VPN和堡垒机对内网进行运维,存在身份冒用、权限管理混乱、审计薄弱等安全风险,若涉及公有云、私有云、混合云等多个环境的运维,需要切换VPN连接,效率低、体验差。
零信任安全以运维访问中的人和设备组合状态构建访问主体,为其设定满足需求的最小资源和最小权限,统一安全网关,在动态风险感知和安全控制下,高效地解决运维场景下面临的安全问题。
不难发现,以远程办公为代表的远程访问场景,正在成为零信任落地的最佳切入口。
高灯科技副总裁兼安全负责人莫晓盛在采访中表示,突如其来的疫情让公司远程办公需求猛增,每名员工的PC终端上要安装多个客户端,且不同厂商的客户端之间缺乏安全联动,无法发挥最大的安全效果。传统VPN产品也爆出高危漏洞,在远程办公需求量暴增的背景下扩容非常不便。基于这种情况,高灯科技开始测试并使用腾讯iOA零信任解决方案。
“如果按照传统方式,我们要部署多家厂商的安全产品,电脑上可能要安装七、八个终端,但是腾讯iOA给我们带来了一整套的防病毒、终端安全管控、VPN转入、数据防泄露等功能的综合性安全平台,一个运维人员就可以管理多个平台和系统,防护效果还比传统部署方式要好”,莫晓盛表示。
事实上,和高灯科技面临同样困境的政企机构不在少数。自疫情持续爆发以来,远程办公就成为国内政企机构业务运转的常态,从而使得零信任的发展迎来了新的分水岭。
近日,腾讯宣布iOA零信任解决方案落地终端突破100万端,成为国内首个突破百万终端的零信任产品,这也从侧面印证了零信任在国内的进一步成熟和落地。
零信任广泛落地更需本土化
从国家层面看,零信任在国内也迎来了“最好的时代”。
工信部2019年发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》,已将“零信任安全”列入需要“着力突破的网络安全关键技术”。
在经历了三年的政策引导和市场培育,目前国内零信任技术发展到了什么阶段?在落地方面还存在哪些挑战?
腾讯零信任产品总经理杨育斌表示,中美在零信任的技术层面其实已经没有太大区别,更多是使用场景上的区别。
“欧美国家在企业上云、云原生上已经走得非常靠前,所以他们的零信任更多是基于资产在云上的保护措施。但中国的应用场景会更复杂,在落地过程中需要做很多思考和变通,去不断适应本土企业的一些要求”,杨育斌表示。
最明显的一个场景是VPN替代。
在国内,部分政企机构出于合规的要求,远程接入必须通过VPN。即使企业非常认可零信任的解决方案,但在合规要求下,零信任的接入也必须通过VPN,因此腾讯iOA的做法是在合规体系内兼容VPN协议,与VPN进行融合。
此外,零信任的落地部署,也需考虑本土企业应用场景的复杂程度。
例如,针对中小企业的远程办公,基本上小时级就可以实现基于云的零信任接入访问;但是针对大中型企业,由于内部数据交换场景复杂,需要和企业的业务系统、身份系统、审计系统进行接口对接,同时整个解决方案也需要进行全面规划、分期建设,落地周期会长达几个月乃至一年。
从企业角度看,落地零信任时主要面临平衡安全性与成本效益的挑战。
高灯科技信息安全专家王凯表示,零信任能够释放出原先比较冗余的IT安全工程师的资源,长远看这部分成本能够被缩减掉。从整体防护效果看,腾讯iOA零信任方案比传统安全部署方案要更好,同时还能节省系统资源占用,带来审计的便捷性,对于企业来说有比较可观的促进作用。
不过面对市场上琳琅满目的零信任方案,企业在选择适合自身方案落地时,仍需从技术、方案、案例、成本、使用体验等多个方面去考量。毕竟零信任并不是一个产品,而是一套整体的解决方案,背后体现的是厂商的综合实力。
以近两年发展迅猛的腾讯iOA为例,依托腾讯10 余年技术沉淀,结合了哈勃、TAV,内容安全、云检测四大安全引擎,井集成腾讯威胁情报中心,加上腾讯安全联合实验室矩阵的技术支持,在安全能力上百余次获得全球七大权威机构最高评级。同时,腾讯iOA具备腾讯云的连接能力,以及大型案例落地的丰富经验,体现了其零信任方案背后的综合实力。
值得一提的是,腾讯零信任标准工作组制定的接口标准,已实现了同18个行业安全厂商的对接,接口标准化促进了企业安全办公体系的融合,也进一步优化了办公体验。
结语
Gartner曾预测,到2023年,60%企业会逐步淘汰虚拟专用网(VPN)方式,采用零信任网络访问来进行远程方案。
国内疫情下的常态化远程办公,再一次将零信任推向应用的高潮,进一步催化着市场和供应商的成熟。零信任的大规模落地,已近在眼前。
来源:科技云报道
免责声明:此文内容为第三方自媒体作者发布的观察或评论性文章,所有文字和图片版权归作者所有,且仅代表作者个人观点,与极客网无关。文章仅供读者参考,并请自行核实相关内容。投诉邮箱:editor@fromgeek.com。
免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。