零信任的出現(xiàn)將網(wǎng)絡(luò)防御范圍從廣泛的網(wǎng)絡(luò)邊界轉(zhuǎn)移到單個(gè)或小組資源,同時(shí)它也代表新一代的網(wǎng)絡(luò)安全防護(hù)理念,打破默認(rèn)的“信任”,秉持“持續(xù)驗(yàn)證,永不信任”原則,即默認(rèn)不信任網(wǎng)絡(luò)內(nèi)外的任何人、設(shè)備和系統(tǒng),基于身份認(rèn)證和授權(quán),重新構(gòu)建訪問(wèn)控制的信任基礎(chǔ),確保身份可信、設(shè)備可信、應(yīng)用可信和鏈路可信。本文旨在通過(guò)闡釋為什么零信任建設(shè)需要“靈”及介紹擁有融合、敏捷、持續(xù)、彈性四大特色的啟明星辰集團(tuán)“靈”信任,幫助您對(duì)零信任這一安全理念有更為全面的了解。
近年來(lái),由于傳統(tǒng)安全架構(gòu)設(shè)計(jì)的邊界防護(hù)已無(wú)法確保內(nèi)部系統(tǒng)的安全性,推動(dòng)了零信任安全架構(gòu)時(shí)代的到來(lái),然而大量的政企客戶已經(jīng)建立了以縱深防御為主的安全防護(hù)體系,有的甚至已經(jīng)完成了立體跨區(qū)域和多層級(jí)的安全防護(hù)體系。
在很多用戶的安全管理者看來(lái),零信任理念在這樣的體系中落地,往往要面對(duì)“顛覆”性安全架構(gòu)和“重建”安全體系的考量,主要的安全防護(hù)體系甚至要面臨“推倒重來(lái)”的困擾,以至于落地零信任成為一件“傷筋動(dòng)骨”的過(guò)程,而啟明星辰集團(tuán)“靈”信任以融合、敏捷、持續(xù)、彈性四大特色,讓客戶無(wú)需“拆墻”便可實(shí)現(xiàn)輕松落地,成為零信任領(lǐng)域的分水嶺。
海納百川
有“融”乃大
大海之所以浩瀚無(wú)邊,是因?yàn)樗軌蛉菁{河流之水。啟明星辰“靈”信任其“融”的機(jī)制在于讓信息安全的大海與原有、未來(lái)安全的河流保持充分流動(dòng),因此“靈”信任架構(gòu)需要以動(dòng)態(tài)、發(fā)展的眼光統(tǒng)籌布局,建立融合成長(zhǎng)機(jī)制,著力做好與原有縱深防御安全、未來(lái)安全趨勢(shì)的有機(jī)融合,方可生生不息,保證信息安全大海的風(fēng)平浪靜。
“靈”信任架構(gòu)與縱深防御安全的融合
啟明星辰集團(tuán)在業(yè)內(nèi)最長(zhǎng)的信息安全產(chǎn)品線積累的基礎(chǔ)上,其零信任采用了獨(dú)有的FE架構(gòu)(Fusion Extended architecture, 融合擴(kuò)展架構(gòu)),為用戶量體裁衣,既能充分發(fā)揮原有縱深防御的建設(shè)基礎(chǔ),又能落地零信任理念,化被動(dòng)防御為主動(dòng)防御。
在FE架構(gòu)下,啟明星辰集團(tuán)的零信任架構(gòu)著力于實(shí)現(xiàn)網(wǎng)絡(luò)內(nèi)的感知計(jì)算、策略判斷和動(dòng)作執(zhí)行,以及整體的貫通運(yùn)行,也會(huì)對(duì)用戶原有的縱深防御的安全防護(hù)能力進(jìn)行評(píng)估并融合,融合用戶原有的主機(jī)安全、EDR、態(tài)勢(shì)感知等為其進(jìn)行安全感知能力;融合用戶原有的堡壘機(jī)、統(tǒng)一門(mén)戶(含SSO)安全準(zhǔn)入、VPN以及安全網(wǎng)關(guān)(FW、UTM等)為其安全動(dòng)作執(zhí)行能力,在縱深防御體系上進(jìn)行逐層的訪問(wèn)控制;融合態(tài)勢(shì)感知、IAM等平臺(tái)為其進(jìn)行安全屬性,并結(jié)合原有的安全閉環(huán)機(jī)制,進(jìn)行全網(wǎng)的零信任架構(gòu)落地。
“靈”信任架構(gòu)與安全需求趨勢(shì)的融合
啟明星辰集團(tuán)還將靈信任架構(gòu)的理念與新的信息安全需求趨勢(shì)充分結(jié)合,融合落地?cái)?shù)據(jù)安全、云安全和物聯(lián)網(wǎng)安全的能力,以身份為中心,持續(xù)認(rèn)證、動(dòng)態(tài)授權(quán)的技術(shù)架構(gòu),可自適應(yīng)于不同基礎(chǔ)架構(gòu)和業(yè)務(wù)變化,從而讓安全更智能。
“靈”信任架構(gòu)與數(shù)據(jù)安全的融合
數(shù)據(jù)作為用戶網(wǎng)絡(luò)被訪問(wèn)的重要的對(duì)象之一,是數(shù)字經(jīng)濟(jì)時(shí)代的戰(zhàn)略性資源。數(shù)據(jù)只有流動(dòng)起來(lái),才能發(fā)揮其價(jià)值,而沒(méi)有數(shù)據(jù)安全,一切就是無(wú)本之源,啟明星辰“靈”信任架構(gòu)通過(guò)將數(shù)據(jù)分級(jí)分類、數(shù)據(jù)脫敏、數(shù)據(jù)的API訪問(wèn)、數(shù)據(jù)水印等能力充分融合,以身份為核心,針對(duì)結(jié)構(gòu)化和非結(jié)構(gòu)化數(shù)據(jù)的根據(jù)數(shù)據(jù)安全策略進(jìn)行安全管控。
針對(duì)業(yè)務(wù)訪問(wèn)、辦公訪問(wèn)、運(yùn)維訪問(wèn)等不同場(chǎng)景,啟明星辰“靈”信任從數(shù)據(jù)的采集、存儲(chǔ)、傳輸、處理、交換、銷毀等維度,采用能夠根據(jù)數(shù)據(jù)的敏感程度和重要程度進(jìn)行細(xì)粒度的授權(quán),并結(jié)合人員的行為分析和訪問(wèn)的環(huán)境狀態(tài)動(dòng)態(tài)授權(quán),在不影響效率的前提下,確保數(shù)據(jù)訪問(wèn)權(quán)限最小化原則,避免因?yàn)闄?quán)限不當(dāng)導(dǎo)致的數(shù)據(jù)泄露,從而讓數(shù)據(jù)更安全。
“靈”信任架構(gòu)與云安全的融合
云計(jì)算在“新基建”背景下,在用戶網(wǎng)絡(luò)中的部署應(yīng)用更加普遍,云內(nèi)的算力按需擴(kuò)展、物理邊界模糊,都適用于零信任架構(gòu)的安全防護(hù)理念,可以有效整合,在SDN技術(shù)支撐下的云安全資源的靈活編排,東西向流量的訪問(wèn)控制,以及云負(fù)載安全(Cloud Workload Protection Platforms, CWPP)云上安全策略的落地。
“靈”信任架構(gòu)與物聯(lián)網(wǎng)安全的融合
物聯(lián)網(wǎng)技術(shù)在工業(yè)互聯(lián)網(wǎng)的大力推進(jìn)下持續(xù)發(fā)展,邊緣計(jì)算、5G、邊云協(xié)同體系導(dǎo)致了物聯(lián)網(wǎng)網(wǎng)絡(luò)安全域的邊界蔓延,使得物聯(lián)網(wǎng)安全體系正逐步從檢測(cè)惡意攻擊,轉(zhuǎn)變?yōu)榘踩尚诺慕尤牒陀?jì)算,整合物聯(lián)網(wǎng)的安全接入,軟件定義邊界和面向大規(guī)模物聯(lián)終端的安全策略管理,與物聯(lián)網(wǎng)安全充分融合,保障用戶的物聯(lián)網(wǎng)安全。
敏捷開(kāi)發(fā)
“靈”動(dòng)從容
《孫子兵法》有言:“兵無(wú)常勢(shì),水無(wú)常形。能因敵變化而取勝者,謂之神。”指用兵作戰(zhàn)要根據(jù)敵情的變化來(lái)采取靈活機(jī)動(dòng)的戰(zhàn)略戰(zhàn)術(shù),不能墨守某種作戰(zhàn)方法,能依據(jù)敵情的變化而取勝的,就稱得上用兵如神了。敏捷開(kāi)發(fā)也是同樣的道理,“敏捷”概念的引入IT最先是從軟件開(kāi)發(fā)領(lǐng)域引入的,是一種應(yīng)對(duì)快速變化的需求的一種軟件開(kāi)發(fā)思想。相對(duì)于傳統(tǒng)開(kāi)發(fā)流程,更強(qiáng)調(diào)快速、靈活變化的開(kāi)發(fā)過(guò)程。
道高一尺,魔高一丈,安全始終處于動(dòng)態(tài)變化與不確定性的狀態(tài),面對(duì)不斷變化的安全需求,啟明星辰“靈”信任架構(gòu)擯棄了傳統(tǒng)網(wǎng)絡(luò)安全防護(hù)體系的固化、慢速檢查方式,以敏捷能力采取靈活變動(dòng)的戰(zhàn)術(shù),對(duì)傳統(tǒng)網(wǎng)絡(luò)安全動(dòng)態(tài)防御能力不足進(jìn)行有力補(bǔ)充,結(jié)合在AI領(lǐng)域中成熟的機(jī)器學(xué)習(xí)技術(shù),實(shí)時(shí)感知風(fēng)險(xiǎn),應(yīng)對(duì)在訪問(wèn)控制過(guò)程中出現(xiàn)的風(fēng)險(xiǎn)。
持續(xù)驗(yàn)證
永不信任
持續(xù)是一個(gè)長(zhǎng)期維持、連續(xù)不斷的過(guò)程。零信任的關(guān)鍵在于持續(xù)不斷的去分析或是證明網(wǎng)絡(luò)中“我是我”(這個(gè)“我”指的是網(wǎng)絡(luò)中存在的訪問(wèn)主體)的問(wèn)題,它通過(guò)一系列的動(dòng)作或參數(shù)去評(píng)估網(wǎng)絡(luò)中的“我”是否是“我”,是否是“我”在操作,“我”是否有權(quán)限操作等的問(wèn)題。總體概括就是一個(gè)認(rèn)證和授權(quán)的過(guò)程。
零信任通過(guò)改變?cè)械撵o態(tài)認(rèn)證和靜態(tài)的權(quán)限控制的方法,用一種新的持續(xù)的可度量的風(fēng)險(xiǎn)參數(shù)作為評(píng)判的依據(jù),加入到訪問(wèn)主體的過(guò)程中,以達(dá)到網(wǎng)絡(luò)訪問(wèn)的可信,實(shí)現(xiàn)整個(gè)零信任架構(gòu)的建設(shè)。
持續(xù)有兩重含義,一方面主要體現(xiàn)在“靈”信任自身的架構(gòu)特點(diǎn)上,持續(xù)認(rèn)證和持續(xù)授權(quán),持續(xù)的概念關(guān)鍵在于信任評(píng)估中,信任評(píng)估的數(shù)據(jù)來(lái)源于終端、網(wǎng)絡(luò)、主體行為審計(jì)中,通過(guò)一系列信任評(píng)估算法,持續(xù)判斷主體行為的可信;另一方面主要體現(xiàn)在“靈”信任的落地建設(shè)方面,“靈”信任是一種安全理念和架構(gòu)思維,它的落地并不是推翻現(xiàn)有安全建設(shè)架構(gòu)重構(gòu)安全的過(guò)程,而是需要在現(xiàn)有安全技術(shù)沉淀、積累和不斷改善的過(guò)程,通過(guò)與現(xiàn)狀對(duì)比,查漏補(bǔ)缺,持續(xù)不斷的調(diào)整,最終形成一套完善的“靈”信任架構(gòu)建設(shè)體系。
彈性賦能
無(wú)限調(diào)節(jié)
老子說(shuō)“上善若水”和孔子說(shuō)“無(wú)可無(wú)不可”,老子用道家的方式說(shuō),孔子用儒家的方式說(shuō),但他們所說(shuō)的含義是一樣的。為人處世我們需要保持彈性、不僵化的價(jià)值觀,才能以不變應(yīng)萬(wàn)變。
網(wǎng)絡(luò)安全也是同樣的道理,我們做網(wǎng)絡(luò)安全產(chǎn)品始終致力于做強(qiáng),但強(qiáng)并不意味著剛硬,只有建立彈性的機(jī)制,才能平穩(wěn)自如應(yīng)對(duì)變幻莫測(cè)的安全威脅。
啟明星辰“靈”信任里的彈性是指從不幸或變化中恢復(fù)或調(diào)整的能力。應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿威脅,外部和內(nèi)部威脅每時(shí)每刻都充斥著網(wǎng)絡(luò)——不可預(yù)見(jiàn)的情況一定會(huì)發(fā)生。“靈”信任架構(gòu)必須對(duì)變化做出響應(yīng),為此,需要監(jiān)視整個(gè)網(wǎng)絡(luò)并及早發(fā)現(xiàn)變化。例如在運(yùn)行時(shí)分析和學(xué)習(xí)正常行為,并在偏離時(shí)檢測(cè)異常行為,即使在不可預(yù)見(jiàn)的情況下也能提供早期預(yù)警,還可以觸發(fā)自動(dòng)校正或緩解措施,阻止事態(tài)的進(jìn)一步發(fā)展。擁有彈性特點(diǎn)的“靈”信任架構(gòu),能夠?yàn)橐粋€(gè)可無(wú)限可調(diào)節(jié)的彈性網(wǎng)絡(luò)提供基于策略的“軟件定義”安全訪問(wèn)。因此,通過(guò)彈性賦能,啟明星辰集團(tuán)“靈”信任架構(gòu)可以在業(yè)務(wù)遭到攻擊的情況下,依然可保障業(yè)務(wù)提供正常的服務(wù)。
根據(jù)MarketsandMarkets的數(shù)據(jù),全球零信任安全市場(chǎng)規(guī)模預(yù)計(jì)將從2020年的196億美元增長(zhǎng)到2026年的516億美元,從2020年到2026年的復(fù)合年增長(zhǎng)率(CAGR)為17.4%。零信任其創(chuàng)新的安全思維因契合數(shù)字基建新技術(shù)特點(diǎn),著力提升信息化系統(tǒng)和網(wǎng)絡(luò)的整體安全性,被寄予厚望成為網(wǎng)絡(luò)安全保障體系升級(jí)的中流砥柱。
啟明星辰集團(tuán)“靈”信任以融合、敏捷、持續(xù)、彈性的優(yōu)勢(shì),讓零信任落地告別“傷筋動(dòng)骨”,實(shí)現(xiàn)輕松落地,攜手客戶共同擁抱零信任安全架構(gòu)時(shí)代的到來(lái)。