东方证券:零信任安全—将成为数字时代主流的安全架构(附报告)

东方证券:网络安全系列报告之三:零信任安全—将成为数字时代主流的安全架构

 

报告目录

一、零信任将成为数字时代主流的网络安全架构 5

1.1 零信任是面向数字时代的新型安全防护理念5
1.2 “SIM”为零信任架构的三大关键技术6
1.3 零信任安全应用场景丰富.10

二、零信任已从概念走向落地,迎来强劲风口 . 11

2.1 中美双双加码零信任安全.11
2.2 零信任安全正在普及应用.13
2.3 海外零信任产业已初具规模,国内即将步入建设高峰15

 

报告要点

数字时代下旧式边界安全防护逐渐失效,零信任架构将成主流趋势。传统的 安全防护是以边界为核心的,一定程度上默认内网是安全的。而云大物移智 等新兴技术的应用使得 IT 基础架构发生根本性变化,可扩展的混合 IT 环 境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势, 传统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全 防护效果有限。面对日益复杂的网络安全态势,零信任以身份为中心实现动 态访问控制,被认为是数字时代下提升信息化系统和网络整体安全性的有 效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势

零信任架构适应多种业务环境及应用场景。零信任架构的应用需要对 IT 基 础设施与应用系统深度融合、全面覆盖,根据 NIST 下属的 NCCoE(国家 网络安全卓越中心)发布的《实现零信任架构》(草案)项目说明书中,建 议零信任安全应用的八大应用场景,囊括各类业务访问、数据交换以及服务 网格场景。在数据中心、远程办公等实际场景均有较好的解决方案。

零信任安全需求正快速普及。2019 年底,Cybersecurity Insiders 联合 Zscaler 发布的《2019 零信任安全市场普及行业报告》指出, 78%的 IT 安 全团队希望在未来应用零信任架构,19%的受访者正积极实施零信任,而 15%的受访者已经实施了零信任,零信任安全正迅速流行起来。Gartner 的 《零信任访问指南》也认为到 2022 年,在向生态合作伙伴开放的新数字业 务应用程序中,80%将通过零信任进行网络访问,到 2023 年,60%的企业 将采用零信任替代大部分远程访问虚拟专用网(VPN)。

我国零信任政策及标准正逐步落地,国内厂商积极布局零信任。当前美国国 防部已明确将零信任实施列为最高优先事项,同时海外零信任产业已走向 规模化落地,营收超过 1.9 亿美元的厂商已超过 10 家。自 2019 年开始, 我国也加快了零信任相关政策及标准的落地,各个安全厂商亦陆续推出零 信任相关产品或解决方案,在零信任快速普及的背景下有望迎来快速发展。

 

内容精选

零信任是一种以资源保护为核心的网络安全范式。《零信任网络:在不可信网络中构建安全系统》 一书对零信任安全进行了简要归纳和概况:1)网络无时无刻不处于危险的环境中;2)网络中自始 至终都存在外部或内部威胁;3)网络位置不足以决定网络的可信程度;4)所有的设备、用户和网 络流量都应当经过认证和授权;5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。 因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的,需要基 于认证和授权重构访问控制的信任基础。零信任的雏形最早源于 2004 年耶利哥论坛提出的去边界 化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的术语。经过近十年的 探索,零信任的理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。


图 1:零信任概念演进历程图

数字时代下,旧式边界安全防护逐渐失效。传统的安全防护是以边界为核心的,基于边界构建的网 络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM 及入侵防御检测等安 全产品的组合将安全攻击阻挡在边界之外。这种建设方式一定程度上默认内网是安全的,而目前我 国多数政企仍然是围绕边界来构建安全防护体系,对于内网安全常常是缺失的,在日益频繁的网 络攻防对抗中也暴露出弊端。而云大物移智等新兴技术的应用使得 IT 基础架构发生根本性变化, 可扩展的混合 IT 环境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势,传 统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全防护效果有限。面对日益 复杂的网络安全态势,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网 络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势。


图 2:传统边界安全防护架构
图 3:云计算等新兴技术带来传统安全边界消失

“SIM”,即 SDP(软件定义边界)、IAM(身份与访问管理)、MSG(微隔离)是实现零信任 架构的三大关键技术。NIST(美国国家标准委员会)在 2019 年发布的《零信任架构 ZTA》白皮书 中,总结出实现零信任架构的三大核心技术“SIM”,分别是“S”,即 SDP(软件定义边界); “I”,即 IAM(身份与访问管理);“M”,即 MSG(微隔离)。


图 5:实现零信任架构的三大关键技术“SIM”

今年在疫情及新基建的双重刺激下,远程办公、云计算得到快速发展,政府大数据快速推进,对于 零信任安全建设的必要性亦大大增强。而基于零信任的安全架构可以很好地兼容云计算、大数据、 物联网等各类新兴应用场景,支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构。 如适用于远程办公的零信任安全架构,不再区分内外网,在人员、设备及业务之间构建虚拟的、基 于身份的逻辑边界,实现一体化的动态访问控制体系,不仅可以减少攻击暴露面,增强对企业应用 和数据的保护,还可通过现有工具的集成大幅降低零信任潜在建设成本。在大数据中心的应用场景 中,东西向流量大幅增加,传统以南北向业务模型为基础研发的安全产品已不适用,零信任架构可 通过微隔离技术实现有效防护。


图 8:基于零信任架构的远程办公安全参考架构


图 9:数据中心安全接入区案例示意图 图 10:基于零信任架构的云计算平台安全参考架构

 

下载隐藏内容:
升级VIP

 

扫码加入本站知识星球小密圈,获取1万+行业最新精选报告。

注:本站文章除标明原创外,均来自网友投稿及分享,如有侵权请联系dongxizhiku@163.com删除。

         

发表评论