圖片來源@視覺中國

文 | 菠蘿財(cái)經(jīng)

歲末年關(guān)，網(wǎng)絡(luò)安全領(lǐng)域再次展示了它“不安全”的一面。

近日，美國網(wǎng)絡(luò)安全公司FireEye 發(fā)布分析報(bào)告稱，SolarWinds 旗下的Orion 基礎(chǔ)設(shè)施管理平臺的發(fā)布環(huán)境遭到攻擊者入侵，產(chǎn)品被攻擊者植入后門，受到了嚴(yán)重的供應(yīng)鏈攻擊。所謂的“供應(yīng)鏈攻擊”，是攻擊者將惡意代碼隱藏在第三方提供的合法軟件的一種攻擊方式，通過這種供應(yīng)鏈隱藏，其可以獲取目標(biāo)系統(tǒng)的訪問權(quán)限，從而竊取系統(tǒng)和平臺上的敏感數(shù)據(jù)。

把此次“Solarwinds供應(yīng)鏈攻擊事件”列為2020年十大網(wǎng)絡(luò)安全事件一點(diǎn)都不為過。要知道連美軍五大部隊(duì)、美國國務(wù)院、NASA、NSA、美國總統(tǒng)辦公室等等都是Solarwinds的客戶，其波及范圍可想而知。

實(shí)際上，SolarWinds自己本身就是一家主營網(wǎng)絡(luò)安全管理軟件產(chǎn)品的公司?？v使是這樣，仍舊發(fā)生了“網(wǎng)絡(luò)安全公司”自己被攻擊的事件，這種“黑色幽默”也讓人充分意識到了，當(dāng)今網(wǎng)絡(luò)世界絲毫都不安全的現(xiàn)實(shí)。

當(dāng)前，隨著云服務(wù)、邊緣終端、便攜設(shè)備、移動辦公等新技術(shù)的普及，企業(yè)內(nèi)外網(wǎng)的邊界逐漸模糊。傳統(tǒng)基于邊界的安全防護(hù)邏輯開始逐步失效。網(wǎng)絡(luò)安全行業(yè)亟需一種“永遠(yuǎn)信任，始終要驗(yàn)證”的零信任安全架構(gòu)。

可以預(yù)測，從“有邊界防護(hù)”到“無邊界管控”，零信任安全的這種全新邏輯，將給整個(gè)網(wǎng)絡(luò)安全行業(yè)帶來極大的顛覆，其或?qū)⒅貥?gòu)整個(gè)網(wǎng)絡(luò)安全的格局。那些能夠敏捷轉(zhuǎn)身、順勢而為者，很有可能會在全球越發(fā)重視網(wǎng)絡(luò)安全的當(dāng)下，快速地崛起。

全球安全事件頻發(fā)，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)錯在“太老了”

從委內(nèi)瑞拉國家電網(wǎng)干線受攻擊，造成全國大面積停電，到丹麥126萬公民的納稅人身份證號碼被意外曝光；從美國天然氣管道商遭攻擊，被迫關(guān)閉壓縮設(shè)施，到葡萄牙能源巨頭EDP遭網(wǎng)絡(luò)攻擊，被勒索近1,000萬歐元……即將結(jié)束的2020年，依舊是網(wǎng)絡(luò)安全事件頻頻發(fā)生的一年。

相比于上述大部分案例，此次Solarwinds供應(yīng)鏈攻擊事件，無論從波及面還是影響程度來說，都要嚴(yán)重得多。消息顯示，此次事件的受害者遍及北美、歐洲、亞洲和中東地區(qū)的政府、科技公司和電信公司，覆蓋軍工、能源等多個(gè)涉及國家安全的行業(yè)。

SolarWinds此前曾坦誠，“有‘少于18,000 家’企業(yè)受到了影響。”話音剛落，在這18,000家企業(yè)里面，越來越多的企業(yè)就被“確定”，這其中不乏思科、英特爾、英偉達(dá)、VMware等知名企業(yè)。

美國聯(lián)邦政府已宣布旗下所有機(jī)構(gòu)，都要立即放棄 SolarWinds 的 IT 管理系統(tǒng)。

馬化騰曾經(jīng)說過一句非常扎心的話，“你什么都沒錯，錯就錯在太老了”。其實(shí)，把這句話嫁接到網(wǎng)絡(luò)安全行業(yè)，也同樣非常適合。傳統(tǒng)網(wǎng)絡(luò)安全行業(yè)經(jīng)過這么多年的發(fā)展和迭代，向前邁出的每一步，都存在著嚴(yán)重的“路徑依賴”。具體來說，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的“老”，主要體現(xiàn)在以下四個(gè)弊端上：

第一，是邏輯弊端。相比于“零信任”，某種角度上，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的邏輯可看成是“全信任”——我信任你們，但是我要全方位、一層一層地檢查。殊不知，但凡信任之后再檢查，就始終有疏忽的地方。

第二，是邊界弊端。傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)有內(nèi)外網(wǎng)的邊界概念。潛意識里認(rèn)為內(nèi)網(wǎng)的就是安全的，外網(wǎng)的就是要防護(hù)的。然而就像前面所說，內(nèi)外網(wǎng)的邊界如今已經(jīng)變得極為模糊，在這種背景下，何談后續(xù)的防護(hù)？而且，即使是內(nèi)網(wǎng)，也經(jīng)常存在各種非法、間諜的情況。

第三，是場景兼容的弊端。近年來隨著5G、云計(jì)算、大數(shù)據(jù)的飛速發(fā)展，加之今年新冠疫情的催化，出現(xiàn)了企業(yè)核心應(yīng)用“云化”、業(yè)務(wù)節(jié)點(diǎn)“邊緣化”、辦公場地“多樣化”、服務(wù)形式的“網(wǎng)絡(luò)化”、內(nèi)部流程的“數(shù)字化”等等各種“新態(tài)勢”，傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)，在兼容性和擴(kuò)展性上滿足不了新的需求。

第四，是管控顆粒度的弊端。傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)，顆粒度比較粗糙，“內(nèi)外網(wǎng)”成了最重要的分界線。然而，現(xiàn)如今的攻擊，以此SolarWinds 供應(yīng)鏈攻擊為例，攻擊者通過獲取正規(guī)廠商的證書并利用其對自身進(jìn)行簽名，導(dǎo)致了所有信任該證書的企業(yè)、機(jī)構(gòu)都存在遭受入侵的風(fēng)險(xiǎn)?？梢?，“內(nèi)外網(wǎng)”這種極為粗糙的顆粒度管控方式，是遠(yuǎn)遠(yuǎn)跟不上時(shí)代發(fā)展的。

所以，從以上四大弊端來看，在全球范圍內(nèi)，用零信任安全架構(gòu)對傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)進(jìn)行迭代升級，既是迫在眉睫也是大勢所趨。就像奇安信的齊向東所言，“網(wǎng)絡(luò)被徹底打開，傳統(tǒng)邊界屬性改變，傳統(tǒng)的IT安全架構(gòu)已經(jīng)跟不上時(shí)代發(fā)展，需要探索全新的安全解決方案。”

網(wǎng)絡(luò)安全的破局者，為什么是零信任安全？

自從Forrester Research的分析師John Kindervag在2010年正式提出“零信任”這一概念后，零信任就持續(xù)獲得了業(yè)務(wù)的關(guān)注和認(rèn)可。根據(jù)美國國家標(biāo)準(zhǔn)與技術(shù)研究院（NIST）在《零信任架構(gòu)標(biāo)準(zhǔn)》中的定義：“零信任（Zero Trust，ZT）提供了一系列概念和思想，旨在面對被視為受損的網(wǎng)絡(luò)時(shí)，減少在信息系統(tǒng)和服務(wù)中執(zhí)行準(zhǔn)確的、權(quán)限最小的按請求訪問的決策時(shí)的不確定性。”

這一翻譯過來的定義，其實(shí)說白了就是，不信任內(nèi)部或外部的任何人員/設(shè)備/應(yīng)用/等，必須在授權(quán)前對任何試圖接入企業(yè)系統(tǒng)的人員/設(shè)備/應(yīng)用/等進(jìn)行驗(yàn)證，對數(shù)據(jù)、資源、應(yīng)用、接口、服務(wù)等的訪問，遵循“只有必要，方才授予”的原則。

John Kindervag最初在提出“零信任”概念時(shí)，提到的三個(gè)原則：一是不應(yīng)該區(qū)分網(wǎng)絡(luò)位置；二是所有的訪問控制都應(yīng)該是最小權(quán)限且嚴(yán)格限制的；三是所有的訪問都應(yīng)當(dāng)被記錄和跟蹤。這三大原則一方面既保證了數(shù)字資產(chǎn)、數(shù)字業(yè)務(wù)最小程度地暴露給網(wǎng)絡(luò)，從根源上降低被攻擊的風(fēng)險(xiǎn)；另一方面，又提高了訪問的靈活性、敏捷性、易用性、夠用性、以及可溯源性、可擴(kuò)展性。

更具體點(diǎn)來講，零信任安全架構(gòu)之所以能夠在近年來快速崛起，有三大優(yōu)勢不可忽視，這三大特點(diǎn)也契合了數(shù)學(xué)的三種思想。這種“思想”層面的領(lǐng)先型，或許才是零信任安全架構(gòu)終將顛覆傳統(tǒng)網(wǎng)絡(luò)安全架構(gòu)的最堅(jiān)實(shí)底座。

首先，是極限思想。零信任安全“不相信任何人/事/物”，不管其是什么級別、所處何種網(wǎng)絡(luò)。零信任的企業(yè)業(yè)務(wù)應(yīng)用系統(tǒng)默認(rèn)關(guān)閉所有端口，拒絕內(nèi)外部一切訪問，只對合法客戶端的IP定向動態(tài)開放端口，由此就可以直接避免任何非法的掃描和攻擊。

其次，是連續(xù)思想。零信任對外部的訪問，不是一次性驗(yàn)證的，而是持續(xù)性驗(yàn)證的，而且還會根據(jù)驗(yàn)證、監(jiān)控的結(jié)果，對訪問進(jìn)行信任評估和權(quán)限調(diào)整。這種“連續(xù)性的響應(yīng)”，可以全程保證訪問都在管控之下。

再次，是最小化思想。最小化思想或者說最小化原則，在保證訪問“夠用”的同時(shí)，也極大地縮小了被攻擊的攻擊面；在此基礎(chǔ)上加之微隔離的手段，就可以最大程度地避免攻擊的范圍，以及阻斷攻擊的傳染性。

市場研究公司Markets and Markets預(yù)計(jì)，到2024年，全球零信任安全的市場規(guī)模將達(dá)到386.3億美元（約合人民幣 2585.6億元），年均復(fù)合增長率為19.9%。

龐大的市場空間和快速的增長潛力，也讓一眾參與零信任市場角逐的公司，在今年的二級資本市場上，取得了一個(gè)豐收年。從2019年12月31日至2020年12月23日，Zscaler上漲了346.2%，Okta上漲了136.2%，CrowdStrike則大漲了348.2%。

美國投行Wedbush的分析師丹尼爾•艾夫斯認(rèn)為，“Zscaler將在未來10年的云網(wǎng)絡(luò)安全轉(zhuǎn)型中占據(jù)主導(dǎo)地位。”其實(shí)，比這句話更嚴(yán)謹(jǐn)?shù)膽?yīng)該是，零信任將在未來10年的云網(wǎng)絡(luò)安全轉(zhuǎn)型中占據(jù)主導(dǎo)地位。

群雄逐鹿零信任安全，網(wǎng)絡(luò)安全迎來劇變期

在移動互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能背景下零信任顯然是不是網(wǎng)絡(luò)安全迭代的終點(diǎn)。當(dāng)前， ，零信任的高維高階概念“SASE”就已經(jīng)被推向了前臺。

按照Gartner的定義，SASE（Security Access Service Edge，安全訪問服務(wù)邊緣），指的是集下一代廣域網(wǎng)、網(wǎng)絡(luò)安全服務(wù)以及邊緣計(jì)算于一體的云交付網(wǎng)絡(luò)。Gartner的預(yù)計(jì)，到2024年，至少40％的企業(yè)將有明確的策略采用SASE。

顯而易見，各路IT廠商如果想通往未來的星辰大海SASE，當(dāng)下零信任安全的一戰(zhàn)就不可避免。這也是為什么對零信任安全，各路諸侯都開始群雄逐鹿的原因所在。

在國外，Google、思科、Akamai等廠商最為積極。以谷歌為例，其大名鼎鼎的BeyondCorp已廣為人知。經(jīng)過多年的迭代升級，BeyondCorp已融入大部分谷歌員工的日常工作，讓每位谷歌員工都可以在不借助VPN的情況下，通過不受信任的網(wǎng)絡(luò)順利開展工作。不僅如此，在BeyondCorp基礎(chǔ)上，成功開發(fā)出來的基于身份識別的訪問代理 IAP，已經(jīng)成為谷歌云平臺上新增加的服務(wù)。這也意味著谷歌在零信任安全的商業(yè)化方面，已經(jīng)取得了不小的進(jìn)展。

而在國內(nèi)，更是有奇安信、深信服、網(wǎng)宿科技等一眾企業(yè)開始了對零信任安全的角逐。比如，奇安信就推出了奇安信TrustAccess動態(tài)可信訪問控制平臺、奇安信TrustID智能可信身份平臺、奇安信ID智能手機(jī)令牌以及各種終端Agent等。

網(wǎng)宿科技今年也推出了零信任企業(yè)安全接入ESA（Enterprise Secure Access）這一新產(chǎn)品。網(wǎng)宿ESA不僅采用了零信任訪問的框架，而且還集成了網(wǎng)宿科技在云安全和企業(yè)應(yīng)用加速方面的領(lǐng)先技術(shù)能力，讓用戶可以實(shí)現(xiàn)隨時(shí)、隨地、在任何終端或邊緣安全的連接和訪問。網(wǎng)宿ESA這樣的整體使用體驗(yàn)效果，已經(jīng)接近了前面Gartner所極力倡導(dǎo)的SASE模型了。

實(shí)際上，零信任安全不僅是中外領(lǐng)先的IT廠商在競爭；國家層面的競爭，同樣在激烈的進(jìn)行著。美國方面，如今已經(jīng)把零信任安全上升到了國家網(wǎng)絡(luò)安全的戰(zhàn)略高度，比如美國國防部就已經(jīng)明確將零信任安全實(shí)施列為最高優(yōu)先事項(xiàng)之一。

中國方面，工信部發(fā)布的《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》中,零信任安全首次被列入網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù);中國信息通信研究院發(fā)布的《中國網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書(2019年)》中,也將零信任安全提升到了我國網(wǎng)絡(luò)安全的重點(diǎn)細(xì)分領(lǐng)域這一地位。

可以預(yù)見，零信任讓網(wǎng)絡(luò)安全、網(wǎng)絡(luò)交付乃至整個(gè)IT行業(yè)，都有了新的“興奮點(diǎn)”。各種頻發(fā)的網(wǎng)絡(luò)安全事件，也會讓各行各業(yè)在信息化、網(wǎng)絡(luò)化、數(shù)字化、智能化的過程中，越發(fā)重視網(wǎng)絡(luò)安全的重要性，一場由零信任安全引發(fā)的網(wǎng)絡(luò)安全領(lǐng)域的劇變，即將來臨。

寫在最后

不信任任何人，是為了讓被信任的任何人值得信任；打破傳統(tǒng)內(nèi)外網(wǎng)的網(wǎng)絡(luò)邊界，是為了重構(gòu)真正的無邊界安全?？傊恍湃谓K究是為了“信任”，無邊界到底是為了“有邊界”。

763人已贊賞 >

敬原創(chuàng)，有鈦度，得贊賞

贊賞支持

0

0

0

掃描下載App