当前已经进入零信任的下半场,市面上各种“零信任”解决方案将会进行一次洗牌,大浪淘沙,革命性的技术和产品会超越当前市面上各种“零信任”解决方案将会出现并迅速成为主流,进而从根本上改变当前的网络安全态势、IT基础架构,乃至各种组织的形态及安全运行方式。
零信任在国内的几个阶段(仅代表个人观点)
萌芽(2016-2020):
在我从事零信任的这些年里,零信任的概念在国内逐渐从萌芽阶段发展起来。市场上百花齐放,几乎所有安全供应商都将自己的产品贴上了零信任标签,网络安全市场因此变得非常热闹。资本的投入也进一步推动了这个概念,使零信任成为网络安全行业最热门的话题。
混沌(2021-2022):
市场上各种安全产品供应商纷纷将自己的产品贴上零信任标签,从数据库防火墙、堡垒机、云桌面、传统VPN都在宣称自身通过零信任理念完善了功能等等。这种现象既合理又不合理,合理是因为零信任只是一个理念,在现有产品中应用该理念增加的功能是合理的,不合理的是其实零信任理念在业内认可的场景是访问控制,对应的产品是SDP、IAM或微隔离,这个时期就形成了一种混乱的局面。这个现象就导致甲方说不清楚自己的需求,我遇到过甲方找我们交流,发现其实是想买个数据库防火墙,这种情况时有发生。
质疑(2023-2024):
大家公认零信任的核心是以身份为中心的防御体系,这让部分甲方用户一开始就选择了IAM这条道路,要做精细化的权限控制和授权管理涉及到业务方配合改造。也有一些厂家要卖全家桶给客户,要让客户一口吃成胖子,最后项目推进不下去,甚至烂尾,就导致市面上出现一个声音:实施零信任的成本很高,业务系统对接工作量很大这个结论,也让甲方怀疑零信任到底能不能落地。进一步地怀疑实施零信任的成本是否过高以及所带来的安全效果是否有提升等等。
逐渐地,零信任的热度回归到了正常状态。曾经不少贴上零信任标签的公司逐渐降低了市场“音量”,不再主动去规划或演进产品。而那些一开始就专注于零信任创业厂商在脚踏实地迭代产品的同时也在保持对未来的思考。从这里开始,我认为是零信任的下半场。
救赎(2024至今):
用“救赎”这个词或许有点夸张,但确实需要重新证明零信任体系的价值。让零信任真正的全面落地,让市场重拾信心是科技型企业的使命,在网络安全行业更加重要。通过创新,可以让零信任理念打造的具象化产品更智能、易落地、能提升用户整体安全防护水平,而不是蹭概念。即使是在风口,能飞起来的也是一只身手敏捷的猪。
影响零信任全面落地的关键因素
目前,从招标网站上看到国内零信任落地场景主要是替换用户现网的VPN。而在国外市场,自Google 完成“BeyondCorp“项目后,办公安全成为海外落地零信任的主旋律。近两年,Fortinet、Zscaler、Palo Alto等安全厂商开始将零信任延伸到OT领域,去解决工业物联网场景下的安全访问场景。
影响零信任全面落地的因素有很多,工程化维度涉及业务杂,系统对接多,改造周期长等;投资回报率维度,如何证明零信任架构所带来的安全效果?技术创新维度,零信任在创新上的局限性让用户的信心也不足。这里重点探讨影响零信任全面落地的技术因素。
当前存在的挑战
1、身份威胁带来的挑战
现在各种安全产品尤其是访问控制类产品对身份验证主要来判断账密的准确性以及登录这个账号的设备是不是绑定的设备,但是人-机识别不等于“好”“坏”识别,即使访问者采用了合法账密、纳管设备进行的访问,但无法保障访问行为的合法性和正当性,也就是无法解决特权账号滥用、凭证盗用等威胁场景;
预分配的权限在不同场景中容易出现过度授权,无法满足最小权限原则。
2、缺少基于上下文的威胁检测,管控措施的合理性和及时性挑战
持续信任评估数据源有限,单一维度数据策略命中效率高但带来过度干预;
缺少基于用户视角而不是网络流量视角的实时上下文分析。
3、安全防护手段依赖人工配置的静态规则
依赖人工或专家经验预配置静态规则,无法满足企业所需的扩展性和灵活性;
预置规则是基于已知风险制定,无法发现并处置未知威胁。
这次先开个头,下篇文章将介绍在零信任中应用哪些创新技术来解决这些问题。
4A评测 - 免责申明
本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。
不得将上述内容用于商业或者非法用途,否则一切后果请用户自负。
本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑或手机中彻底删除上述内容。
如果您喜欢该程序,请支持正版,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解!
程序来源网络,不确保不包含木马病毒等危险内容,请在确保安全的情况下或使用虚拟机使用。
侵权违规投诉邮箱:4ablog168#gmail.com(#换成@)