若要挑選2020年安全行業熱詞,相信「零信任安全」一定是首選之一。
這一名詞乍聽之下不易理解,不過顧名思義,零信任指的是一種「從不信任、永遠驗證」的安全理念。也就是說,當過去以內外網分隔為主的安全體系隨著員工辦公習慣、數據流通方式改變等原因漸漸過時,能靈活、實時判定訪問請求的安全理念當然更契合如今現狀。
對「零信任安全理念」來說,2017年是一個明顯的分水嶺,當年Google基於零信任安全的BeyondCorp項目取得成功,驗證了零信任安全在大型網絡場景下的可行性,業界也開始跟進零信任實踐。
而特殊如2020年,由於疫情的爆發,遠程辦公中的安全問題得到重視,零信任安全理念也迎來新的分水嶺。在企業端,目前市面上至少有50家公司聲稱在開展零信任業務;投資圈也聞風而動,今年至少有8家和零信任理念掛鈎的企業獲得融資。
今年獲得融資的零信任相關廠商(據36氪不完全統計,部分數據來自天眼查)
零信任理念被加速認知已是不爭事實,或許是時候對這一領域進行深度剖析。在本文中,我們將重點討論以下話題:
零信任的概念、價值;從技術角度拆分的市場參與者;行業當前的機遇與風險;參與者的競合關係。相信通過對零信任的梳理,未來安全世界的一角也會得以揭示。
一. 當我們談論零信任,我們在談些什麼?
1. 前世今生
即使今年才開始大熱,但零信任其實並不是新鮮詞彙。
零信任理念,雛形最早源於2004年成立的耶哥論壇(Jericho Forum),其成立的目的是尋求網絡無邊界化趨勢下的全新安全架構及解決方案。
到2010年,諮詢公司 Forrester 的分析師約翰·金德維格將這一理念進行了更細化的拆分——金德維格認為,零信任本質是以身份為基石的動態訪問控制,即以身份為基礎,通過動態訪問控制技術,以細粒度的應用、接口、數據為核心保護對象,遵循最小權限原則,構築端到端的身份邊界。
在產業端,隨著谷歌等公司在零信任上的進展,2019-2020年,NIST在5個月內連續發布兩版《零信任架構》標準草案,意味著零信任正向標準化進展。
零信任概念演進歷程圖 來源:中國信通院
從出現到追捧,零信任已走過十餘年時間。那麼,為什麼是現在?
這和近年來企業的業務、IT基礎設施變化相關。過去,傳統的安全防護基於邊界,企業安全防護模式是構建一個內網,通過物理隔離或VPN等設施保證「內部安全區」。
今時情況不同往日:
首先,IT邊界被打破。雲計算、邊緣計算等技術普及,加之大數據與AI的廣泛應用,讓數據流動與計算環境都發生了顯著變化,IT邊界變得越來越模糊。並且,當前企業上下遊夥伴和內部員工增多,用戶訪問請求更加複雜,成企業對用戶過分授權的情況也更普遍。疫情推波助瀾,當多地協同辦公、遠程辦公成為新常態,過去的辦公習慣也被打破。而物理隔離無疑站在遠程辦公的對立面,構建並部署 VPN 的基本前提就是存在企業邊界。顯然,內外隔離的安全思路是不靈活的,也無法適應新的需求。
零信任由此起勢。其主要思想——默認企業內、外部的任何人、事均不可信,對任何試圖接入網絡和訪問網絡資源的人、事、物進行持續驗證,打破了邊界化的網絡防禦思路,是一種更適應新需求的理念。
站在市場維度,或許很難把零信任這類以理念為基礎的事物劃歸為某個具體賽道,這是因為零信任的興起不能簡單看做某種技術、產品的擴展,而是對固有安全思路改變。
Gartner在《零信任網絡訪問市場指南》做出的假設也側面印證了這一觀察——其預測到2022年,80%向生態合作夥伴開放的新數字業務應用將通過零信任網絡訪問接入;到2023年,將有60%的企業淘汰大部分VPN,而使用零信任訪問。
零信任和傳統安全架構的區別 來源:綠盟科技、開源證券研究所
2. 實質:實時、動態地判斷訪問請求
和所有的理念型故事一樣,零信任不能僅停留在表面,其落地往往遵循著思想、框架、技術、產品、商業化幾個層面。
「對任何試圖接入網絡和訪問網絡資源的人、事、物進行持續驗證」,這件事需要通過策略判定。
從NIST給出的最新零信任架構(參照下圖)可以看出,零信任架構的核心組件包括策略引擎、策略管理器和策略執行點。
簡單來說,策略引擎作為一個大腦,對訪問請求做出「是否賦予權限」的決策,管理器依賴於引擎的決定,通過和執行點的互動,向後者下達指令。
NIST零信任架構核心組件示意圖 來源:CSA大中華區
當前業界對零信任的實踐還在過程中,所以也出現了一些細節不同的零信任框架。比如在中國信通院和奇安信發布的《網絡安全先進技術與應用發展系列報告——零信任技術(2020版)》中,零信任架構的基本框架歸納如下圖:
零信任架構總體框架圖 來源:《網絡安全先進技術與應用發展系列報告——零信任技術(Zero Trust)》
雖然各類框架有細節差異,但其實不論是哪種框架,都在論證實時、動態地對訪問請求進行判斷,以契合「從不信任、永遠驗證」的理念。
二. 參與者:從技術視角劃分
有意思的是,如果今年詢問一家安全公司是否正開展「零信任」業務,可能會收穫模稜兩可的回答:我們是否在做零信任,取決於如何定義它。
這有些無釐頭的反應似乎又不無道理。
零信任是一種理念。理論上講,只要在一些場景實現「從不信任、永遠驗證」的目的,誰都能說自己在做零信任,這正是現在零信任廠商繁多、技術路線不同的原因之一。
在具體數據上,專業人士指出當前號稱開展零信任業務的公司在50家以上。我們決定選取一些明確提供零信任安全產品/解決方案的公司略作展示(排名不分先後)。
部分參與者概覽(經36氪整理)
零信任的參與者背景不一,無論是剛成立不到一年的早期安全公司,還是成立數年的大型上市企業,亦或不斷延伸觸角的公有雲廠商,均已置身零信任浪潮。為避免「霧裡看花」,從技術分類入手或是進一步理解零信任的思路。
如今相對普遍的共識是,零信任的主流技術分為三種:即SIM,S為SDP(Software Defined Perimeter, 軟體定義邊界)、I為IAM(Identity and Access Management,身份識別與訪問管理系統),M為MSG(Micro-Segmentation,微隔離),上圖中也可看到三種技術不斷交疊出現。不過需要提前強調的是,目前也有企業希望通過其他思路達成「零信任」目的,以下技術路線並不代表全部。
1. 身份識別與訪問管理(IAM)
身份識別與訪問管理(IAM)是網絡安全領域中的一個細分方向。從效果上來看,IAM產品可以定義和管理用戶的角色和訪問權限,即決定了誰可以訪問,如何進行訪問,訪問後可以執行哪些操作等。
根據Gartner的定義,IAM的核心主題圍繞以下幾個方向展開:
認證 ,指的是通過確認實體(包含人與設備等)的身份,建立信任,這其中的概念包括多因素認證等。訪問控制,確定實體通過認證之後,匹配怎樣的權限,訪問怎樣的系統。身份治理,對實體在整個生命周期內(如員工入職、轉正、調崗、離職等身份變更過程)進行身份管理,匹配正確的權限。特權身份管理,指的是對管理員等權限較高的帳戶等進行進一步管理。在零信任廣泛普及之前,IAM已經是一個獨立賽道。不過如今零信任理念中的IAM指的是增強型IAM。過去的IAM認證體系較為僵化,只要有統一的權限管理即可,但增強型IAM強調持續的自適應認證,即在整個訪問請求的周期內進行持續智能驗證。
總而言之,以身份為基礎,實時、動態地對訪問請求進行判斷,是實現零信任的手段。目前IAM相關公司有「派拉軟體」、「竹雲科技」、「芯盾時代」等。
2. 軟體定義邊界(SDP)
軟體定義邊界(SDP)是被雲安全聯盟採納並推崇的一種方案。這種方案還有一個更為形象的別名——「黑雲」。
之所以被稱為黑雲,和其預期達到的效果有關。SDP可以為企業建立虛擬邊界,利用基於身份的訪問控制和權限認證機制,讓企業應用和服務「隱身」。當黑客試圖進行攻擊時,會發現看不到目標而無法攻擊,只有獲得權限的業務人員可以正常訪問。
根據云安全聯盟的定義,SDP的主要組件包括發起主機(客戶端),接受主機(服務端)和SDP控制器,客戶端和服務端都會連接到這些控制器。二者間的連接通過SDP控制器與安全控制信道的交互來管理。
資料來源:CSA大中華區
當前,國內有多家公司主打SDP,以曾入選Gartner零信任安全產品全球代表廠商的「雲深互聯」為例,其SDP包含三個組件——深雲SDP客戶端、安全大腦、隱盾網關。
深雲SDP客戶端:在深雲SDP中,深雲SDP客戶端用來做各種的身份驗證,包括硬體身份,軟體身份,生物身份等。深雲SDP安全大腦:深雲SDP安全大腦是一個管理控制臺,對所有的深雲SDP客戶端進行管理,制定安全策略。深雲SDP安全大腦還可以與企業已有的身份管理系統對接。深雲隱盾網關:所有對業務系統的訪問都要經過 SDP網關的驗證和過濾,實現業務系統的「網絡隱身」效果。
深雲SDP示意圖
在「雲深互聯」之外,國內的相關公司還有「易安聯」、「安幾網安」等。其中,「易安聯」在今年宣布完成B輪融資。
3. 微隔離(MSG)
微隔離,又稱軟體定義隔離、微分段,最早由 Gartner提出。
微隔離主要解決數據中心的東西向(內部伺服器彼此互相訪問)流量之間的安全問題,當前主要應用於數據中心,該技術的面向群體並非用戶。
用形象語言表述,微隔離類似疫情時期的口罩,每個人帶上口罩後,互相隔離以防止病毒傳播。
微隔離技術把伺服器之間做了隔離,一個伺服器訪問另一個伺服器的資源之前,首先要認證身份。認證通過後,網關才會放行業務系統去獲取數據資源,否則會被網關攔截。從效果看,在實現微隔離之前,攻擊者會攻擊到所有的伺服器,而實現微隔離後攻擊範圍將大大減少。
這種技術的難點在於計算量和自動化——數據中心往往包括海量節點,頻繁變化帶來的工作量不可預估,傳統的人工配置模式已無法滿足管理需求,自動適應業務變化的策略計算引擎是微隔離成功的關鍵。
當前國外已出現較成熟的微隔離廠商,即美國公司Illumio。這家公司成立於2013年,在2019年已完成E輪融資,是全球13家安全行業獨角獸公司之一。客戶包括Salesforce、摩根史坦利、法國巴黎銀行和Oracle NetSuite等。
國內微隔離的典型廠商是「薔薇靈動」。公司創始人嚴雷曾透露,「薔薇靈動」於2017年開始商業化探索,2019年營收達到千萬級別。在融資進展上,天眼查數據顯示其在今年先後完成兩輪融資。
4.SIM相輔相成
NIST認為,一個完整的零信任架構需要三者結合,這或許是由於三種技術各自的擅長之處不一,可以「組團」發揮所長。
其中,對身份的判斷是零信任的基石。這也是今年在創投市場中,以身份為主要業務的公司,即IAM廠商頗受追捧的原因之一——「派拉軟體」於今年9月宣布完成C輪近3億元融資,同月宣布的還有「芯盾時代」完成數億元C+輪融資的消息,10月初,「竹雲科技」也宣布完成3億元C輪戰略增資。
SDP解決南北向流量(通過網關進入數據中心的流量)的安全問題,那麼微隔離則主要解決數據中心的東西向(內部伺服器彼此互相訪問)流量之間的安全問題。由於三種技術的差別,當前市場中主打IAM、SDP和微隔離業務的廠商並不完全重合,各家或會以既有的技術、產品優勢為基礎,向前延展形成較完備的零信任方案。
比如,天融信在介紹其SDP架構時曾指出,為了強化用戶認證與權限管理部分,可提供增強組件IAM實現更細緻的身份管控功能(如下圖),這也說明了各種技術路線的互相延展的可能。
天融信SDP技術架構包括客戶端、控制器、網關架構圖 來源:CSA大中華區
這不是孤例,在日前CSA大中華區發布的《2020中國零信任全景圖》中,同樣可以看到多家廠商分別出現在不同技術分類中。
為何廠商能在短時間內滲透多個技術路線?主要原因是相關廠商早前已有所積累,尤其是IAM和SDP,它們在中國並非橫空出世的新技術。總體而言,零信任最難跨過的門檻也許並不在技術,而在於工程化落地。
三. 機會與陷阱
目前由於零信任在國內風頭剛起,打造完整、易用的解決方案還在進程中。這一理念要經受商業化考驗,對客戶的話語權非常重要,這和零信任的目標以及實施中的改造成本均有關聯。
1. 誰在規定最小權限
各方在討論零信任時不斷強調的一點是,零信任是一種理念,而非具體的技術、產品。理念雖聽起來有些「虛無」,但也明確了目標——就如金德維格所說,零信任是以身份為基石的動態訪問控制,即以身份為基礎,通過動態訪問控制技術,以細粒度的應用、接口、數據為核心保護對象,遵循最小權限原則,構築端到端的身份邊界。
再精簡一些,或許可以理解為對訪問請求以最小權限原則進行動態管理。身份的判定是用權限進行動態管理的基礎,上文不管是IAM、SDP亦或微隔離都提到了判斷策略或者引擎。但另一個核心——最小權限,卻甚少被討論。
最小權限存在的意義是,對通過基礎安全審核的訪問請求進行嚴格管理。然而如何規定最小權限,或許目前還沒有統一的標準。往下深究,最小權限是一個動態概念,需要針對不同客戶、不同場景進行判斷,所以其標準也很難界定。
也正由於標準不清晰,一位安全行業觀察者調侃零信任的現狀是,「誰都能說自己在做(零信任),但又或許誰都沒做」。
舉個極端些的例子,如果客戶的安全基礎設施僅停留在內外網範疇,對內網內的系統、數據並未進行分類分級,那麼僅基於初步身份權限的分類,已是現有條件下的最小權限。但如果客戶本身需要更細粒度的權限管控,單純基於初步的身份管理,並不符合最小權限原則。所以,判斷最小權限的話語權歸結於客戶。
而廠商需要找出某類目標客戶對零信任的通用性要求,降低工程化成本。從這個角度,有深度服務目標客戶經驗,並能切入較通用場景的廠商或更易開展零信任業務。
根據《2020中國零信任全景圖》的統計,目前國內零信任的目標客戶主要集中在政企、金融、能源、網際網路、運營商、教育、醫療、電力、交通、公安、製造業、軍工、民航、軍隊、零售等行業。基中50%以上的零信任廠商都認為政企、金融、能源、網際網路、運營商、教育、 醫療、電力、交通、公安、製造業是他們的主要目標行業。
零信任目標行業分布圖 來源:《2020中國零信任全景圖》
可以看到,政企、金融和能源佔據了目標客戶前三甲的席位,此類客戶也是過往安全廠商的重點客戶,或許意味著客戶在選擇供應商時會有所傾向。
2. 改造成本有多高
關於這三種技術傾向,NIST認為,零信任廠商在落地過程中可能會發現客戶已有所選擇,但這並不是說其他方案一定會失效,而是認為其他方案對該企業而言意味著已有流程的改變,所以更難實施。
更難實施體現在零信任的改造成本。對客戶而言,零信任的改造成本也和其自身的基礎設施情況相關。如果客戶內部的系統非常繁多,那麼一個個接入其中會使得實施周期漫長;如果客戶此前的安全能力薄弱,則需要彌補的模塊更多;如果要做全面的零信任改造,對企業現有流程也會造成些許影響。在此基礎上,有觀點認為如果一家廠商此前已經將自己的安全產品滲透入足夠多的客戶中,或會降低改造成本。
如果舉例對比,傳統的網絡安全模型就像用一個城牆把所有人保護在一起。那零信任可能就像城門大開,但每個人都會配備一個士兵保護,這種點到點的防護策略會更加安全,成本也更高。不過,正和許多安全措施一樣,改造是提高安全性的前提條件,如果改造成本較低,也意味著安全性或不理想。在很多場景下,安全是一個具備灰度的名詞,需要根據客戶的業務性質、要求綜合考量。
36氪了解到,當前也有一些綜合實力較強的廠商希望從合規角度出發,把零信任的要求落實到規定中。
眾所周知,安全行業以合規要求和業務需求為雙重驅動力。隨著內外網絡邊界的消失,客戶對零信任的業務需求已逐漸凸顯,若加上嚴格而有效的合規要求,即使改造成本大,零信任都會加速落地。從競爭角度,這種以合規切入的視角至少在To G市場中稱得上降維打擊。
四. 「陣營外」的競合
當前,也有許多本該成為客戶的公司在自行進行零信任改造。這類公司一般是大型網際網路公司(Google正是一個典型),它們對業務安全性的需求較高,同時IT資產、權限配置複雜。在具備技術實力的基礎上自發進行零信任落地,對這類企業來說既省去和供應商的磨合成本,在有餘力的基礎上還可形成解決方案對外輸出,這也是更大的想像力。
在向外界輸出的類型中,典例是阿里、騰訊以及華為。這是由於,零信任也屬於雲安全中的一環,雲廠商必然不能放過這一市場,目前三家也都有相關解決方案提供。
其中,阿里雲在今年9月發布遠程辦公零信任解決方案,阿里巴巴企業智能也已推出「聯唄」終端訪問控制系統。根據介紹,在今年疫情期間,阿里巴巴企業智能支撐了數十萬員工的遠程安全入網及雲辦公。目前「聯唄」已通過遠程辦公零信任解決方案服務政務、教育、醫療、新零售、製造等多個行業客戶,幫助客戶管理數十萬終端的安全準入。
雲棲大會中發布的阿里雲發布遠程辦公零信任解決方案
騰訊在零信任上更是動作頻頻。
從在2019年7月發起《零信任安全技術參考框架》行業標準立項,到今年5月底騰訊安全發布《零信任解決方案白皮書》,騰訊一直在輸出其對零信任的理解。白皮書中提及,騰訊基於ZTA架構模型,參考谷歌BeyondCorp實踐,結合自身經驗形成了「騰訊零信任」的解決方案,於2016年在公司內部實踐,目前已經過6萬多員工的實踐驗證。
騰訊零信任方案架構圖
另外,華為也在其官網上展示了HUAWEI HiSec零信任安全解決方案。
華為零信任安全解決方案架構圖
保障租戶的資產安全是公有雲廠商的職責,過去這類廠商在雲安全領域已取得一定進展。以騰訊為例,其發布的2020年度第三季財報顯示,騰訊企業級安全業務前三季度收入同比增長133%,零信任安全產品同比增長64%。當成績單擺在眼前,很多人的第一反應是傳統安全領域中的零信任公司會遭受巨大衝擊,但若仔細拆分公有雲廠商的業務邏輯,也會有些新發現。
在華為的零信任案例中,可以看到IAM廠商「竹雲科技」是其可信代理控制服務、認證服務、權限服務組件的供應商,並且在部署方案中被劃入必選選項。這從側面反映了公有雲廠商和安全廠商在零信任領域中的競合關係——公有雲廠商無疑需要生態的力量補足能力,各種各樣的供應商是生態中不可或缺的一環。
誰能和公有雲廠商合作,考驗的是獨立廠商的價值。在技術上,許多安全公司在自己領域中深耕已久,比如IAM廠商「派拉軟體」和「竹雲科技」分別成立於2008年和2009年,在身份領域中積累了深厚的產品、解決方案經驗,它們自然是有價值的合作對象。另外從市場端,公有雲廠商更擅長做標準化業務,而中國的大B、大G客戶對個性化需求較高,安全公司若可以抓住這類客戶,既有利於提升競爭的「底氣」,也可以獲得較豐厚的收益,和公有雲廠商合作或能成為一個可選項。
不過另外需要提及的是,當前不同客戶的業務性質不同,對權限的要求也不同,過多的場景會讓廠商難以交付。不論是哪種類型的廠商,都需要找到儘量通用化的場景,避免切入過於狹窄的領域,同時也降低定製化帶來的風險。
結語
長遠來看,零信任「從不信任、持續驗證」的理念契合了去邊界化的安全狀況。
Cybersecurity在2019年底的調查顯示,現在網絡安全最大的挑戰是私有應用程式的訪問埠十分分散,以及內部用戶權限過多,這兩方面正是零信任理念可以解決的問題。另一個有趣的現象是,調查對象中有78%的安全團隊希望在未來實現零信任網絡訪問,但幾乎一半的安全團隊對他們使用當前安全技術提供零信任的能力缺乏信心。
這個例子再次印證了零信任的火熱,但不可否認,即使客戶已經意識到以往安全思路的狹隘,零信任作為一種新事物是否能獲得廣泛落地,還取決於市場和供應商的成熟。
一切才剛剛開始。
————————————————
註:36氪對零信任領域保持持續關注,通過和數位行業人士溝通,以及多方收集資料完成了本文。但由於資源、視角有限,本文難免出現錯誤、片面等問題,歡迎各位讀者指正交流。