但命運有時候就是這么不如人意。零信任技術火了十幾年,也被吹了十幾年,但直到今天,在國內依舊還是處于“叫好不叫座”的尷尬地位。真正掏出真金白銀,大規(guī)模落地零信任技術的企業(yè),還真沒有多少。
那么,問題究竟出在哪里,導致火熱的零信任處于類似“人買我推薦,真買我不買”的境遇?對于甲方企業(yè)來說,全面實施零信任的核心推動是什么,零信任技術未來的發(fā)展路徑又是怎樣的呢?
安全是風險和收益的平衡
在回答上述問題之前,我們需要先討論“企業(yè)安全的本質是什么”?
當下HW正在如火如荼地開展,攻守雙方各自調動已有的資源進行攻防演練,或打穿目標系統奪取權限;或守住安全的底線,溯源攻擊方的路徑。他們的目的十分明了:打敗對方,贏得對抗的勝利。
這并不是企業(yè)安全的本質。打贏只是一個結果,企業(yè)安全的本質應該是讓企業(yè)更好地發(fā)展。站在企業(yè)戰(zhàn)略層面來看,安全的本質其實是風險和收益之間的平衡,是一種將不可控風險轉化為可控成本的手段。
網絡攻擊風險伴隨著互聯網的發(fā)展而發(fā)展。早期的網絡攻擊主要以木馬和病毒為主,以成功感染目標用戶電腦為目標,更多是以個人炫技為主,對于企業(yè)的危害主要集中在“電腦中毒”,對于企業(yè)業(yè)務和運營的干擾較小。
因此,那時企業(yè)信息安全崗位大多由IT運維兼任,安全防護體系主要是老三件套:防火墻、殺毒軟件和入侵檢測。此時,網絡攻擊所帶來的成本還比較小,傳統邊界安全體系目的是將病毒隔絕在外。
隨著互聯網進一步發(fā)展,企業(yè)業(yè)務陸續(xù)登錄線上,網絡攻擊逐漸盛行,以及各種利用漏洞薅羊毛的行為出現,網絡威脅開始給企業(yè)帶來持續(xù)性的業(yè)務干擾和直接的經濟損失。更關鍵的是,這部分成本正在隨著技術的發(fā)展和數字化轉型不斷增加,有的甚至已經成為決定企業(yè)生死的核心因素之一。
此時,網絡攻擊不再是以“感染電腦”為目的,趨利性愈發(fā)明顯:高舉DDoS恐嚇對企業(yè)進行敲詐,或加密企業(yè)設備、數據進行勒索,亦或竊取數據直接在暗網上倒賣......輕則業(yè)務中斷,重則帶來龐大的經濟損失。
為了控制、降低網絡威脅所帶來的巨額成本,企業(yè)持續(xù)增加對信息安全的投入,設置信息安全部門,大量購買各種安全設備,并對傳統的邊界防護體系進行改造升級,重新梳理企業(yè)信息安全的底層邏輯和內在需求,構建更加適應業(yè)務發(fā)展的新型安全體系。
與此同時,網絡安全法律體系也在逐步完善,對于違反安全合規(guī)的懲處力度也越來越大,甚至可以決定生死,其中典型法律代表包括《網絡安全法》《數據安全法》《網絡安全審查辦法》等。為了降低這部分成本,企業(yè)信息安全也在朝著“滿足合規(guī)”的方向進行建設,避免企業(yè)因為踩到安全紅線而蒙受巨大的損失。
“劃算”成為實施零信任的關鍵因素
從“企業(yè)安全的本質”可以看出,網絡風險和合規(guī)風險是推動企業(yè)安全發(fā)展的核心動力。新理念、新技術、新產品的出現,都是為了更好地降低這兩大風險所帶來的成本,或優(yōu)化安全運營方式,讓業(yè)務更順滑;或強化安全技術,從而更精準地扼殺風險等。
我國網絡安全行業(yè)有著強合規(guī)屬性,企業(yè)違反合規(guī)所帶來的損失直接且嚴重,輕則被監(jiān)管部門約談,重則APP下架,被監(jiān)管機構重罰,對企業(yè)經營產生十分不利的影響。因此,在資源有限的情況下,企業(yè)往往優(yōu)先滿足合規(guī)需求。
從現有的網絡安全法律體系和合規(guī)細則來看,零信任技術對于滿足合規(guī)需求并無多大幫助,因此正在推動企業(yè)落地零信任技術的核心推動力只能是網絡攻擊威脅。
對于企業(yè)來說,一旦全面實施、落地零信任技術,那么必定會對安全架構進行全面調整,需要投入海量的人力、物力進行建設。
正如上文所說,網絡安全的本質是一種成本控制手段,因此,企業(yè)對安全的投入永遠不會超過,各類網絡威脅造成損失的總和(可以簡單理解為:風險造成的損失X概率)。
另外,企業(yè)對安全的投入也要進行縱向地考量,即和現階段的安全體系相比,投入大量資源所產生的效果,是否有明顯的提升,以及對業(yè)務發(fā)展有沒有明顯的影響?
此時,企業(yè)領導層就需要考慮一個非常關鍵的問題:投入劃算嗎?
首先,我國面臨的網絡攻擊形勢雖然非常嚴峻,但是還無法和國外頻繁爆發(fā),動輒數百萬美元以上的勒索贖金,以及大規(guī)模數據竊取等嚴重程度相媲美。這也是為什么國外零信任技術落地更加普遍,而國內還是抱著試試看的態(tài)度,更傾向于逐步強化安全體系。
其次,我國缺乏真正意義上全面實施零信任的標桿企業(yè),無法給予行業(yè)參照,導致很多企業(yè)難以下定決心。從以往網絡安全行業(yè)的發(fā)展歷程來看,一個標桿性案例對于新技術的應用有非常大的促進意義,大多數企業(yè)都不愿意成為第一個吃螃蟹者。原因在于,第一個吃螃蟹者結果未知,而繼續(xù)依賴現有的安全體系則有一個可接受的結果。
在這樣的情況下,企業(yè)更傾向于繼續(xù)觀望,而非成為一個被觀察者,最終造成人人看好零信任技術,卻無人下場落地實踐。此外,不少企業(yè)還缺乏落地零信任的技術基礎。
例如動態(tài)授權和持續(xù)信任是零信任的核心之一,需要在權限統一管理基礎上建立持續(xù)信任評估機制,參與信任評估的因素的多少決定信任評估結果的準確率。信任評估模型需根據不同網絡構建不同的評估模型,準確精準度要求高,當前持續(xù)信任缺乏統一的落地。
零信任將安全體系視為一個整體,涉及終端環(huán)境感知、IAM、EDR、UEBA等多種安全產品,在落地時需要對這些產品和系統進行融合。然而當下企業(yè)采購的安全設備往往分散在多家廠商品牌,想要完美融合幾乎不太可能,零信任落地可謂是困難重重。
局部零信任不失為一條路徑
隨著大、云、物、移、智、鏈等技術的飛速發(fā)展,以及新冠疫情對于全球的持續(xù)沖擊,零信任技術落地迎來了新的發(fā)展機遇。而在無法全面落地的情況下,局部零信任就成為了很多企業(yè)的選擇。
例如零信任的核心之一,身份認證體系就不斷被強化,成為落地零信任的局部嘗試。
隨著企業(yè)數字化轉型的加速,上云成為必不可少的路徑,而云端架構使得企業(yè)面臨更大的風險,一旦儲存的數據泄露或遭到攻擊,將對企業(yè)造成難以估量的損失。據統計,80%的數據泄露都與賬號密碼被盜用有關,身份認證成為企業(yè)信息安全的重要關口。
在這種情況下,傳統的身份認證體系已經難以滿足日新月異的網絡發(fā)展,更難以確保訪問者身份的安全性,因此,以零信任的理念來構建新型身份安全理念,優(yōu)化身份安全驗證體系成為很多企業(yè)的選擇,并為未來全面落地零信任打好基礎。
例如在疫情期間,為了強化線上辦公的安全性,某企業(yè)就對原有的身份認證體系進行改造升級。從以賬戶管理為基礎轉向以身份管理為基礎,通過多因子、實時、動態(tài)的認證來確保訪問的身份和其所代表的身份一致。
在落地的過程中,企業(yè)也充分考慮授權策略的自適應、可管理、可擴展幾方面的平衡。通過RBAC實現粗粒度授權,建立滿足最小權限原則的權限基線,也可通過ABAC模型,基于主體、客體和環(huán)境屬性實現角色的動態(tài)映射,滿足靈活的管理需求。同時也可通過風險評估和分析,對角色和權限進行過濾,實現場景和風險感知的動態(tài)授權。
事實上,局部落地零信任的方式更加適合我國企業(yè)的現狀。越來越多的公司開始嘗試在細節(jié)處引入零信任,對現有的安全體系進行改進,包括授權管理、業(yè)務審計、信息安全運行監(jiān)測預警系統、終端安全系統等多個方面。
這么做的好處十分明顯,企業(yè)不需要對既定的安全架構“大動干戈”,也就意味著不需要大規(guī)模的資源投入,因此也更加容易獲得領導層的支持。同時,企業(yè)在實施的過程中還可以進一步感知零信任對于企業(yè)安全的提升,以及是否會對業(yè)務產生不利影響等等。
某種意義上來說,零信任要做的并不是完全替代原有的安全體系,而是從微隔離或網絡隱藏的角度出發(fā),以身份管理、權限控制、動態(tài)認證等技術為基礎,不斷強化原有安全體系之不足。
一方面,零信任體系可以融合原有的主機安全、EDR、態(tài)勢感知等為其進行安全感知能力;可以融合原有的堡壘機、統一門戶(含SSO)安全準入、VPN以及安全網關(FW、UTM等)作為其安全動作執(zhí)行能力等。
另一方面,縱深防御體系可以借助零信任實現多層級細粒度權限控制;可以借助零信任的動態(tài)信任評估系統實現實時響應;可以借助零信任的身份管理實現多設備管理等。
由此來看,零信任落地或許可以走出一條先局部后整體的道路,這條路的時間也許會很久,但卻是一條可行性的路徑,讓企業(yè)有足夠的時間和資源不斷探索零信任、評估零信任。
零信任落地是對傳統安全的升華
作為近年來最為火熱的安全技術之一,業(yè)界對于零信任抱有極大的熱忱。然而,長時間的鼓吹讓零信任充斥著越來越多的泡沫,動輒“顛覆”原有的安全體系的大動作,則讓大多數企業(yè)只能遠遠望著“零信任”,而非真正落地和踐行。
我們總是在吐槽傳統邊界安全,認為零信任的出現將打破這些邊界,但需要注意的是,零信任并非無邊界,反而處處皆是邊界,故而需要“持續(xù)驗證”。從這點來看,零信任的出現并非是顛覆,而是進階與升華。
當傳統的邊界支離破碎,新的邊界在系統中逐漸形成,并將會發(fā)揮更為強大的效果。
