零信任的出現將網絡防御范圍從廣泛的網絡邊界轉移到單個或小組資源,同時它也代表新一代的網絡安全防護理念,打破默認的“信任”,秉持“持續驗證,永不信任”原則,即默認不信任網絡內外的任何人、設備和系統,基于身份認證和授權,重新構建訪問控制的信任基礎,確保身份可信、設備可信、應用可信和鏈路可信。本文旨在通過闡釋為什么零信任建設需要“靈”及介紹擁有融合、敏捷、持續、彈性四大特色的啟明星辰集團“靈”信任,幫助您對零信任這一安全理念有更為全面的了解。
近年來,由于傳統安全架構設計的邊界防護已無法確保內部系統的安全性,推動了零信任安全架構時代的到來,然而大量的政企客戶已經建立了以縱深防御為主的安全防護體系,有的甚至已經完成了立體跨區域和多層級的安全防護體系。
在很多用戶的安全管理者看來,零信任理念在這樣的體系中落地,往往要面對“顛覆”性安全架構和“重建”安全體系的考量,主要的安全防護體系甚至要面臨“推倒重來”的困擾,以至于落地零信任成為一件“傷筋動骨”的過程,而啟明星辰集團“靈”信任以融合、敏捷、持續、彈性四大特色,讓客戶無需“拆墻”便可實現輕松落地,成為零信任領域的分水嶺。
海納百川
有“融”乃大
大海之所以浩瀚無邊,是因為它能夠容納河流之水。啟明星辰“靈”信任其“融”的機制在于讓信息安全的大海與原有、未來安全的河流保持充分流動,因此“靈”信任架構需要以動態、發展的眼光統籌布局,建立融合成長機制,著力做好與原有縱深防御安全、未來安全趨勢的有機融合,方可生生不息,保證信息安全大海的風平浪靜。
“靈”信任架構與縱深防御安全的融合
啟明星辰集團在業內最長的信息安全產品線積累的基礎上,其零信任采用了獨有的FE架構(Fusion Extended architecture, 融合擴展架構),為用戶量體裁衣,既能充分發揮原有縱深防御的建設基礎,又能落地零信任理念,化被動防御為主動防御。
在FE架構下,啟明星辰集團的零信任架構著力于實現網絡內的感知計算、策略判斷和動作執行,以及整體的貫通運行,也會對用戶原有的縱深防御的安全防護能力進行評估并融合,融合用戶原有的主機安全、EDR、態勢感知等為其進行安全感知能力;融合用戶原有的堡壘機、統一門戶(含SSO)安全準入、VPN以及安全網關(FW、UTM等)為其安全動作執行能力,在縱深防御體系上進行逐層的訪問控制;融合態勢感知、IAM等平臺為其進行安全屬性,并結合原有的安全閉環機制,進行全網的零信任架構落地。
“靈”信任架構與安全需求趨勢的融合
啟明星辰集團還將靈信任架構的理念與新的信息安全需求趨勢充分結合,融合落地數據安全、云安全和物聯網安全的能力,以身份為中心,持續認證、動態授權的技術架構,可自適應于不同基礎架構和業務變化,從而讓安全更智能。
“靈”信任架構與數據安全的融合
數據作為用戶網絡被訪問的重要的對象之一,是數字經濟時代的戰略性資源。數據只有流動起來,才能發揮其價值,而沒有數據安全,一切就是無本之源,啟明星辰“靈”信任架構通過將數據分級分類、數據脫敏、數據的API訪問、數據水印等能力充分融合,以身份為核心,針對結構化和非結構化數據的根據數據安全策略進行安全管控。
針對業務訪問、辦公訪問、運維訪問等不同場景,啟明星辰“靈”信任從數據的采集、存儲、傳輸、處理、交換、銷毀等維度,采用能夠根據數據的敏感程度和重要程度進行細粒度的授權,并結合人員的行為分析和訪問的環境狀態動態授權,在不影響效率的前提下,確保數據訪問權限最小化原則,避免因為權限不當導致的數據泄露,從而讓數據更安全。
“靈”信任架構與云安全的融合
云計算在“新基建”背景下,在用戶網絡中的部署應用更加普遍,云內的算力按需擴展、物理邊界模糊,都適用于零信任架構的安全防護理念,可以有效整合,在SDN技術支撐下的云安全資源的靈活編排,東西向流量的訪問控制,以及云負載安全(Cloud Workload Protection Platforms, CWPP)云上安全策略的落地。
“靈”信任架構與物聯網安全的融合
物聯網技術在工業互聯網的大力推進下持續發展,邊緣計算、5G、邊云協同體系導致了物聯網網絡安全域的邊界蔓延,使得物聯網安全體系正逐步從檢測惡意攻擊,轉變為安全可信的接入和計算,整合物聯網的安全接入,軟件定義邊界和面向大規模物聯終端的安全策略管理,與物聯網安全充分融合,保障用戶的物聯網安全。
敏捷開發
“靈”動從容
《孫子兵法》有言:“兵無常勢,水無常形。能因敵變化而取勝者,謂之神。”指用兵作戰要根據敵情的變化來采取靈活機動的戰略戰術,不能墨守某種作戰方法,能依據敵情的變化而取勝的,就稱得上用兵如神了。敏捷開發也是同樣的道理,“敏捷”概念的引入IT最先是從軟件開發領域引入的,是一種應對快速變化的需求的一種軟件開發思想。相對于傳統開發流程,更強調快速、靈活變化的開發過程。
道高一尺,魔高一丈,安全始終處于動態變化與不確定性的狀態,面對不斷變化的安全需求,啟明星辰“靈”信任架構擯棄了傳統網絡安全防護體系的固化、慢速檢查方式,以敏捷能力采取靈活變動的戰術,對傳統網絡安全動態防御能力不足進行有力補充,結合在AI領域中成熟的機器學習技術,實時感知風險,應對在訪問控制過程中出現的風險。
持續驗證
永不信任
持續是一個長期維持、連續不斷的過程。零信任的關鍵在于持續不斷的去分析或是證明網絡中“我是我”(這個“我”指的是網絡中存在的訪問主體)的問題,它通過一系列的動作或參數去評估網絡中的“我”是否是“我”,是否是“我”在操作,“我”是否有權限操作等的問題。總體概括就是一個認證和授權的過程。
零信任通過改變原有的靜態認證和靜態的權限控制的方法,用一種新的持續的可度量的風險參數作為評判的依據,加入到訪問主體的過程中,以達到網絡訪問的可信,實現整個零信任架構的建設。
持續有兩重含義,一方面主要體現在“靈”信任自身的架構特點上,持續認證和持續授權,持續的概念關鍵在于信任評估中,信任評估的數據來源于終端、網絡、主體行為審計中,通過一系列信任評估算法,持續判斷主體行為的可信;另一方面主要體現在“靈”信任的落地建設方面,“靈”信任是一種安全理念和架構思維,它的落地并不是推翻現有安全建設架構重構安全的過程,而是需要在現有安全技術沉淀、積累和不斷改善的過程,通過與現狀對比,查漏補缺,持續不斷的調整,最終形成一套完善的“靈”信任架構建設體系。
彈性賦能
無限調節
老子說“上善若水”和孔子說“無可無不可”,老子用道家的方式說,孔子用儒家的方式說,但他們所說的含義是一樣的。為人處世我們需要保持彈性、不僵化的價值觀,才能以不變應萬變。
網絡安全也是同樣的道理,我們做網絡安全產品始終致力于做強,但強并不意味著剛硬,只有建立彈性的機制,才能平穩自如應對變幻莫測的安全威脅。
啟明星辰“靈”信任里的彈性是指從不幸或變化中恢復或調整的能力。應該始終假設網絡充滿威脅,外部和內部威脅每時每刻都充斥著網絡——不可預見的情況一定會發生。“靈”信任架構必須對變化做出響應,為此,需要監視整個網絡并及早發現變化。例如在運行時分析和學習正常行為,并在偏離時檢測異常行為,即使在不可預見的情況下也能提供早期預警,還可以觸發自動校正或緩解措施,阻止事態的進一步發展。擁有彈性特點的“靈”信任架構,能夠為一個可無限可調節的彈性網絡提供基于策略的“軟件定義”安全訪問。因此,通過彈性賦能,啟明星辰集團“靈”信任架構可以在業務遭到攻擊的情況下,依然可保障業務提供正常的服務。
根據MarketsandMarkets的數據,全球零信任安全市場規模預計將從2020年的196億美元增長到2026年的516億美元,從2020年到2026年的復合年增長率(CAGR)為17.4%。零信任其創新的安全思維因契合數字基建新技術特點,著力提升信息化系統和網絡的整體安全性,被寄予厚望成為網絡安全保障體系升級的中流砥柱。
啟明星辰集團“靈”信任以融合、敏捷、持續、彈性的優勢,讓零信任落地告別“傷筋動骨”,實現輕松落地,攜手客戶共同擁抱零信任安全架構時代的到來。