CDN加速

资讯速递 > 正文

零信任安全的2022:产业迎来爆发期,“去虚向实”将成行业共识

2022-03-04

来源:21世纪经济报道

继2021年之后,“零信任”这一安全概念又入选成为2022年产业互联网安全十大趋势之一。只不过,与2021年提出的“零信任架构迈入落地应用推广期”不同,近日发布的《2022产业互联网安全十大趋势》(简称“报告”)提出,零信任产品化将更重实效,反泛化、滥化、概念化。

报告称,零信任作为一个体系和方向,对产业安全进行了范式上的颠覆,打破了传统网络安全的边界概念,并引导产业安全体系架构从网络中心化向身份中心化转变。

截至目前,除了谷歌、微软、思科等欧美IT企业,国内的腾讯安全、奇安信、深信服、网宿科技等也相继围绕零信任重磅加码。

Forrester最新发布的《New Tech:2021年第二季度零信任网络访问》显示,由于企业寻求更安全的解决方案,零信任网络访问已成为标志性的安全技术,众多安全厂商推出了零信任相关解决方案和产品。因此接下来,零信任有望成为产业安全下一轮爆发点。

爆发期来临

“零信任”,是Forrester的首席分析师John Kindervag在2010年提出的一种安全概念,它的核心思想是默认情况下不信任企业网络内外的任何人、设备和系统,需要基于身份认证和授权重新构建访问控制的信任基础。

简单来说,零信任的策略就是“持续验证、永不信任”。现有传统的访问验证模型只需知道IP地址或者主机信息等即可,但在“零信任”模型中,需要更加明确的信息才可以,不知道用户身份或者不清楚授权途径的请求一律拒绝。

虽然零信任概念由来已久,但真正在业内开始推广,始于2017年。当时,Google基于零信任安全的项目成功实施,验证了零信任安全在大型网络场景下的可行性,随后业内开始了一系列零信任实践。

2019年,在工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,零信任安全首次被列入网络安全需要突破的关键技术。

近两年,随着远程办公成为社会常态,零信任安全也得到提速发展。事实上,大规模的远程接入,终端设备的不安全性、网络环境的薄弱性,使得网络攻击面激增。如何确保远程办公安全成为企业的首要难题,也成为安全厂商的新蓝海,而零信任正是通往新蓝海的钥匙。

网宿科技副总裁、首席安全官吕士表告诉21世纪经济报道,“零信任作为全新的安全理念,近两年已加速被市场采纳,客户对零信任的需求不断增长,我们预计零信任市场将在2023年爆发。”

根据MarketsandMarkets的数据,全球零信任安全市场规模预计将从2020年的196亿美元增长到2026年的516亿美元。IDC预测,到2024年,安全远程访问解决方案将以260亿美元价值占据全球网络安全市场12.5%的份额,零信任相关产品和解决方案将在其中占据重要地位。

去虚向实

展望2022年,报告认为零信任将带动网络安全行业发生诸多显著变化。首先,大批安全厂商将会密集推出零信任安全产品,并在政企用户中实现一定范围的落地应用。

其次,多维度身份属性代理技术需要深入研究。比如综合用户信息、设备状态、网络地址、业务上下文以及访问时间、空间位置等各个维度的身份实体属性作为实施授权的依据,且申请授权时按需临时产生,定期失效。

此前,便有业内安全专家向21世纪经济报道记者提出,零信任安全在发展过程中遇到的一个重大挑战,就是如何论证其安全性。如果能通过多维度身份属性增强身份认证的安全性,就能够有效降低访问授权的漏洞风险,从而提升零信任安全整体的安全性。

报告还提到可变信任评估技术,认为基于该技术对网络代理提供的多维度实时属性信息进行实时信任评估和分析,通过持续量化评估网络活动风险等级,可为访问授权提供判断依据。

除此之外,云计算业务将更需要零信任技术。云计算的快速发展和普及应用,包括应用云化、基础架构的异构化和混合化、业务的数字生态化以及接入网络及设备的多元化等因素推动了更多企业开始通过部署零信任架构来建立能够适应云时代的全新安全体系。

目前,多云混合模式下远程办公和移动办公常态化,使网络攻击者开始瞄准身份和访问管理功能以实现长期潜伏,这也使得以身份为中心的网络安全机制逐渐引发重视。

因此,未来会有更多组织采用零信任安全模型。报告称,零信任正从最初的原型概念向主流安全技术架构演进,从最初的网络控制平面的微分段向涵盖云边端的访问控制与网络防护全场景演进,零信任的兴起不能简单看作某种技术、产品的扩展, 而是对固有安全思路的改变,这是它的核心价值点。

不过,零信任安全的发展也并非一帆风顺。报告便指出,虽然目前大到政府,小到企业,都已经有了应用零信任的实例,但零信任实施过程的各种坑点和布置难度,仍让不少人望而却步。

总体来看,零信任根据不同的需求场景,在局部有了一些应用,但整体上尚未实现整体化,在部分场景中的应用难度也很高。

同时,在零信任热度骤增的过程中,行业也呈现出“鱼龙混杂”的特性,基于客户对新概念、新趋势的欢迎,有大量安全服务商采取“新瓶装旧酒”的手段,将一些旧产品冠以零信任的概念重新打包兜售,实际上并未为行业提供增量服务价值和产品技术创新。

因此,报告认为,2022年,基于零信任思路的产品化探索,会基于客户的需求更重实效,以解决现实诉求为目标获取市场。同时,行业共同反对零信任的泛化、滥化和概念化也将会成为共识。