圖片來(lái)源@視覺(jué)中國(guó)

文 | 菠蘿財(cái)經(jīng)

歲末年關(guān)，網(wǎng)絡(luò)安全領(lǐng)域再次展示了它“不安全”的一面。

近日，美國(guó)網(wǎng)絡(luò)安全公司FireEye 發(fā)布分析報(bào)告稱，SolarWinds 旗下的Orion 基礎(chǔ)設(shè)施管理平臺(tái)的發(fā)布環(huán)境遭到攻擊者入侵，產(chǎn)品被攻擊者植入后門(mén)，受到了嚴(yán)重的供應(yīng)鏈攻擊。所謂的“供應(yīng)鏈攻擊”，是攻擊者將惡意代碼隱藏在第三方提供的合法軟件的一種攻擊方式，通過(guò)這種供應(yīng)鏈隱藏，其可以獲取目標(biāo)系統(tǒng)的訪問(wèn)權(quán)限，從而竊取系統(tǒng)和平臺(tái)上的敏感數(shù)據(jù)。

把此次“Solarwinds供應(yīng)鏈攻擊事件”列為2020年十大網(wǎng)絡(luò)安全事件一點(diǎn)都不為過(guò)。要知道連美軍五大部隊(duì)、美國(guó)國(guó)務(wù)院、NASA、NSA、美國(guó)總統(tǒng)辦公室等等都是Solarwinds的客戶，其波及范圍可想而知。

實(shí)際上，SolarWinds自己本身就是一家主營(yíng)網(wǎng)絡(luò)安全管理軟件產(chǎn)品的公司。縱使是這樣，仍舊發(fā)生了“網(wǎng)絡(luò)安全公司”自己被攻擊的事件，這種“黑色幽默”也讓人充分意識(shí)到了，當(dāng)今網(wǎng)絡(luò)世界絲毫都不安全的現(xiàn)實(shí)。

當(dāng)前，隨著云服務(wù)、邊緣終端、便攜設(shè)備、移動(dòng)辦公等新技術(shù)的普及，企業(yè)內(nèi)外網(wǎng)的邊界逐漸模糊。傳統(tǒng)基于邊界的安全防護(hù)邏輯開(kāi)始逐步失效。網(wǎng)絡(luò)安全行業(yè)亟需一種“永遠(yuǎn)信任，始終要驗(yàn)證”的零信任安全架構(gòu)。

可以預(yù)測(cè)，從“有邊界防護(hù)”到“無(wú)邊界管控”，零信任安全的這種全新邏輯，將給整個(gè)網(wǎng)絡(luò)安全行業(yè)帶來(lái)極大的顛覆，其或?qū)⒅貥?gòu)整個(gè)網(wǎng)絡(luò)安全的格局。那些能夠敏捷轉(zhuǎn)身、順勢(shì)而為者，很有可能會(huì)在全球越發(fā)重視網(wǎng)絡(luò)安全的當(dāng)下，快速地崛起。

全球安全事件頻發(fā)，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)錯(cuò)在“太老了”

從委內(nèi)瑞拉國(guó)家電網(wǎng)干線受攻擊，造成全國(guó)大面積停電，到丹麥126萬(wàn)公民的納稅人身份證號(hào)碼被意外曝光；從美國(guó)天然氣管道商遭攻擊，被迫關(guān)閉壓縮設(shè)施，到葡萄牙能源巨頭EDP遭網(wǎng)絡(luò)攻擊，被勒索近1,000萬(wàn)歐元……即將結(jié)束的2020年，依舊是網(wǎng)絡(luò)安全事件頻頻發(fā)生的一年。

相比于上述大部分案例，此次Solarwinds供應(yīng)鏈攻擊事件，無(wú)論從波及面還是影響程度來(lái)說(shuō)，都要嚴(yán)重得多。消息顯示，此次事件的受害者遍及北美、歐洲、亞洲和中東地區(qū)的政府、科技公司和電信公司，覆蓋軍工、能源等多個(gè)涉及國(guó)家安全的行業(yè)。

SolarWinds此前曾坦誠(chéng)，“有‘少于18,000 家’企業(yè)受到了影響。”話音剛落，在這18,000家企業(yè)里面，越來(lái)越多的企業(yè)就被“確定”，這其中不乏思科、英特爾、英偉達(dá)、VMware等知名企業(yè)。

美國(guó)聯(lián)邦政府已宣布旗下所有機(jī)構(gòu)，都要立即放棄 SolarWinds 的 IT 管理系統(tǒng)。

馬化騰曾經(jīng)說(shuō)過(guò)一句非常扎心的話，“你什么都沒(méi)錯(cuò)，錯(cuò)就錯(cuò)在太老了”。其實(shí)，把這句話嫁接到網(wǎng)絡(luò)安全行業(yè)，也同樣非常適合。傳統(tǒng)網(wǎng)絡(luò)安全行業(yè)經(jīng)過(guò)這么多年的發(fā)展和迭代，向前邁出的每一步，都存在著嚴(yán)重的“路徑依賴”。具體來(lái)說(shuō)，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的“老”，主要體現(xiàn)在以下四個(gè)弊端上：

第一，是邏輯弊端。相比于“零信任”，某種角度上，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的邏輯可看成是“全信任”——我信任你們，但是我要全方位、一層一層地檢查。殊不知，但凡信任之后再檢查，就始終有疏忽的地方。

第二，是邊界弊端。傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)有內(nèi)外網(wǎng)的邊界概念。潛意識(shí)里認(rèn)為內(nèi)網(wǎng)的就是安全的，外網(wǎng)的就是要防護(hù)的。然而就像前面所說(shuō)，內(nèi)外網(wǎng)的邊界如今已經(jīng)變得極為模糊，在這種背景下，何談后續(xù)的防護(hù)？而且，即使是內(nèi)網(wǎng)，也經(jīng)常存在各種非法、間諜的情況。

第三，是場(chǎng)景兼容的弊端。近年來(lái)隨著5G、云計(jì)算、大數(shù)據(jù)的飛速發(fā)展，加之今年新冠疫情的催化，出現(xiàn)了企業(yè)核心應(yīng)用“云化”、業(yè)務(wù)節(jié)點(diǎn)“邊緣化”、辦公場(chǎng)地“多樣化”、服務(wù)形式的“網(wǎng)絡(luò)化”、內(nèi)部流程的“數(shù)字化”等等各種“新態(tài)勢(shì)”，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)，在兼容性和擴(kuò)展性上滿足不了新的需求。

第四，是管控顆粒度的弊端。傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)，顆粒度比較粗糙，“內(nèi)外網(wǎng)”成了最重要的分界線。然而，現(xiàn)如今的攻擊，以此SolarWinds 供應(yīng)鏈攻擊為例，攻擊者通過(guò)獲取正規(guī)廠商的證書(shū)并利用其對(duì)自身進(jìn)行簽名，導(dǎo)致了所有信任該證書(shū)的企業(yè)、機(jī)構(gòu)都存在遭受入侵的風(fēng)險(xiǎn)。可見(jiàn)，“內(nèi)外網(wǎng)”這種極為粗糙的顆粒度管控方式，是遠(yuǎn)遠(yuǎn)跟不上時(shí)代發(fā)展的。

所以，從以上四大弊端來(lái)看，在全球范圍內(nèi)，用零信任安全架構(gòu)對(duì)傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)進(jìn)行迭代升級(jí)，既是迫在眉睫也是大勢(shì)所趨。就像奇安信的齊向東所言，“網(wǎng)絡(luò)被徹底打開(kāi)，傳統(tǒng)邊界屬性改變，傳統(tǒng)的IT安全架構(gòu)已經(jīng)跟不上時(shí)代發(fā)展，需要探索全新的安全解決方案。”

網(wǎng)絡(luò)安全的破局者，為什么是零信任安全？

自從Forrester Research的分析師John Kindervag在2010年正式提出“零信任”這一概念后，零信任就持續(xù)獲得了業(yè)務(wù)的關(guān)注和認(rèn)可。根據(jù)美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）在《零信任架構(gòu)標(biāo)準(zhǔn)》中的定義：“零信任（Zero Trust，ZT）提供了一系列概念和思想，旨在面對(duì)被視為受損的網(wǎng)絡(luò)時(shí)，減少在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確的、權(quán)限最小的按請(qǐng)求訪問(wèn)的決策時(shí)的不確定性。”

這一翻譯過(guò)來(lái)的定義，其實(shí)說(shuō)白了就是，不信任內(nèi)部或外部的任何人員/設(shè)備/應(yīng)用/等，必須在授權(quán)前對(duì)任何試圖接入企業(yè)系統(tǒng)的人員/設(shè)備/應(yīng)用/等進(jìn)行驗(yàn)證，對(duì)數(shù)據(jù)、資源、應(yīng)用、接口、服務(wù)等的訪問(wèn)，遵循“只有必要，方才授予”的原則。

John Kindervag最初在提出“零信任”概念時(shí)，提到的三個(gè)原則：一是不應(yīng)該區(qū)分網(wǎng)絡(luò)位置；二是所有的訪問(wèn)控制都應(yīng)該是最小權(quán)限且嚴(yán)格限制的；三是所有的訪問(wèn)都應(yīng)當(dāng)被記錄和跟蹤。這三大原則一方面既保證了數(shù)字資產(chǎn)、數(shù)字業(yè)務(wù)最小程度地暴露給網(wǎng)絡(luò)，從根源上降低被攻擊的風(fēng)險(xiǎn)；另一方面，又提高了訪問(wèn)的靈活性、敏捷性、易用性、夠用性、以及可溯源性、可擴(kuò)展性。

更具體點(diǎn)來(lái)講，零信任安全架構(gòu)之所以能夠在近年來(lái)快速崛起，有三大優(yōu)勢(shì)不可忽視，這三大特點(diǎn)也契合了數(shù)學(xué)的三種思想。這種“思想”層面的領(lǐng)先型，或許才是零信任安全架構(gòu)終將顛覆傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的最堅(jiān)實(shí)底座。

首先，是極限思想。零信任安全“不相信任何人/事/物”，不管其是什么級(jí)別、所處何種網(wǎng)絡(luò)。零信任的企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)默認(rèn)關(guān)閉所有端口，拒絕內(nèi)外部一切訪問(wèn)，只對(duì)合法客戶端的IP定向動(dòng)態(tài)開(kāi)放端口，由此就可以直接避免任何非法的掃描和攻擊。

其次，是連續(xù)思想。零信任對(duì)外部的訪問(wèn)，不是一次性驗(yàn)證的，而是持續(xù)性驗(yàn)證的，而且還會(huì)根據(jù)驗(yàn)證、監(jiān)控的結(jié)果，對(duì)訪問(wèn)進(jìn)行信任評(píng)估和權(quán)限調(diào)整。這種“連續(xù)性的響應(yīng)”，可以全程保證訪問(wèn)都在管控之下。

再次，是最小化思想。最小化思想或者說(shuō)最小化原則，在保證訪問(wèn)“夠用”的同時(shí)，也極大地縮小了被攻擊的攻擊面；在此基礎(chǔ)上加之微隔離的手段，就可以最大程度地避免攻擊的范圍，以及阻斷攻擊的傳染性。

市場(chǎng)研究公司Markets and Markets預(yù)計(jì)，到2024年，全球零信任安全的市場(chǎng)規(guī)模將達(dá)到386.3億美元（約合人民幣 2585.6億元），年均復(fù)合增長(zhǎng)率為19.9%。

龐大的市場(chǎng)空間和快速的增長(zhǎng)潛力，也讓一眾參與零信任市場(chǎng)角逐的公司，在今年的二級(jí)資本市場(chǎng)上，取得了一個(gè)豐收年。從2019年12月31日至2020年12月23日，Zscaler上漲了346.2%，Okta上漲了136.2%，CrowdStrike則大漲了348.2%。

美國(guó)投行Wedbush的分析師丹尼爾•艾夫斯認(rèn)為，“Zscaler將在未來(lái)10年的云網(wǎng)絡(luò)安全轉(zhuǎn)型中占據(jù)主導(dǎo)地位。”其實(shí)，比這句話更嚴(yán)謹(jǐn)?shù)膽?yīng)該是，零信任將在未來(lái)10年的云網(wǎng)絡(luò)安全轉(zhuǎn)型中占據(jù)主導(dǎo)地位。

群雄逐鹿零信任安全，網(wǎng)絡(luò)安全迎來(lái)劇變期

在移動(dòng)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能背景下零信任顯然是不是網(wǎng)絡(luò)安全迭代的終點(diǎn)。當(dāng)前， ，零信任的高維高階概念“SASE”就已經(jīng)被推向了前臺(tái)。

按照Gartner的定義，SASE（Security Access Service Edge，安全訪問(wèn)服務(wù)邊緣），指的是集下一代廣域網(wǎng)、網(wǎng)絡(luò)安全服務(wù)以及邊緣計(jì)算于一體的云交付網(wǎng)絡(luò)。Gartner的預(yù)計(jì)，到2024年，至少40％的企業(yè)將有明確的策略采用SASE。

顯而易見(jiàn)，各路IT廠商如果想通往未來(lái)的星辰大海SASE，當(dāng)下零信任安全的一戰(zhàn)就不可避免。這也是為什么對(duì)零信任安全，各路諸侯都開(kāi)始群雄逐鹿的原因所在。

在國(guó)外，Google、思科、Akamai等廠商最為積極。以谷歌為例，其大名鼎鼎的BeyondCorp已廣為人知。經(jīng)過(guò)多年的迭代升級(jí)，BeyondCorp已融入大部分谷歌員工的日常工作，讓每位谷歌員工都可以在不借助VPN的情況下，通過(guò)不受信任的網(wǎng)絡(luò)順利開(kāi)展工作。不僅如此，在BeyondCorp基礎(chǔ)上，成功開(kāi)發(fā)出來(lái)的基于身份識(shí)別的訪問(wèn)代理 IAP，已經(jīng)成為谷歌云平臺(tái)上新增加的服務(wù)。這也意味著谷歌在零信任安全的商業(yè)化方面，已經(jīng)取得了不小的進(jìn)展。

而在國(guó)內(nèi)，更是有奇安信、深信服、網(wǎng)宿科技等一眾企業(yè)開(kāi)始了對(duì)零信任安全的角逐。比如，奇安信就推出了奇安信TrustAccess動(dòng)態(tài)可信訪問(wèn)控制平臺(tái)、奇安信TrustID智能可信身份平臺(tái)、奇安信ID智能手機(jī)令牌以及各種終端Agent等。

網(wǎng)宿科技今年也推出了零信任企業(yè)安全接入ESA（Enterprise Secure Access）這一新產(chǎn)品。網(wǎng)宿ESA不僅采用了零信任訪問(wèn)的框架，而且還集成了網(wǎng)宿科技在云安全和企業(yè)應(yīng)用加速方面的領(lǐng)先技術(shù)能力，讓用戶可以實(shí)現(xiàn)隨時(shí)、隨地、在任何終端或邊緣安全的連接和訪問(wèn)。網(wǎng)宿ESA這樣的整體使用體驗(yàn)效果，已經(jīng)接近了前面Gartner所極力倡導(dǎo)的SASE模型了。

實(shí)際上，零信任安全不僅是中外領(lǐng)先的IT廠商在競(jìng)爭(zhēng)；國(guó)家層面的競(jìng)爭(zhēng)，同樣在激烈的進(jìn)行著。美國(guó)方面，如今已經(jīng)把零信任安全上升到了國(guó)家網(wǎng)絡(luò)安全的戰(zhàn)略高度，比如美國(guó)國(guó)防部就已經(jīng)明確將零信任安全實(shí)施列為最高優(yōu)先事項(xiàng)之一。

中國(guó)方面，工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(jiàn)(征求意見(jiàn)稿)》中,零信任安全首次被列入網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù);中國(guó)信息通信研究院發(fā)布的《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書(shū)(2019年)》中,也將零信任安全提升到了我國(guó)網(wǎng)絡(luò)安全的重點(diǎn)細(xì)分領(lǐng)域這一地位。

可以預(yù)見(jiàn)，零信任讓網(wǎng)絡(luò)安全、網(wǎng)絡(luò)交付乃至整個(gè)IT行業(yè)，都有了新的“興奮點(diǎn)”。各種頻發(fā)的網(wǎng)絡(luò)安全事件，也會(huì)讓各行各業(yè)在信息化、網(wǎng)絡(luò)化、數(shù)字化、智能化的過(guò)程中，越發(fā)重視網(wǎng)絡(luò)安全的重要性，一場(chǎng)由零信任安全引發(fā)的網(wǎng)絡(luò)安全領(lǐng)域的劇變，即將來(lái)臨。

寫(xiě)在最后

不信任任何人，是為了讓被信任的任何人值得信任；打破傳統(tǒng)內(nèi)外網(wǎng)的網(wǎng)絡(luò)邊界，是為了重構(gòu)真正的無(wú)邊界安全?？傊?，不信任終究是為了“信任”，無(wú)邊界到底是為了“有邊界”。

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

0

0

掃描下載App