近日,国际知名市场调研机构Omdia发布研究报告《零信任的发展及其在安全远程访问中的应用》(下文简称《报告》),讨论了零信任在网络安全实践中的诸多应用,并且重点聚焦远程访问场景下的零信任访问(ZTA),介绍了腾讯在零信任安全管理系统iOA平台中实施ZTA的案例实践,以期为企业建立安全远程访问体系提供经验和参考。
《报告》指出,由于数字化转型、应用基础设施向云迁移以及越来越多的智能终端能够远程接入到企业资源等趋势,网络安全边界几乎已经消失,网络安全厂商需要保护的基础设施变得更加复杂,而传统的网络安全架构已经越来越无法应对该挑战。
以“永不信任,始终验证”为原则的零信任理念,区别于之前的网络安全方法,具有规避公开攻击面、完整纪录访问动作和时间、对每个连接持续验证、最小特权访问等特点,过去三年来受到行业重视,取得了长足的发展。在许多领域,零信任的理念和方法都已经融入到网络安全技术中。
例如对特权用户访问管理(PAM)遵循最小特权原则,避免暴露整个组织基础设施;在云权限(CPM)中将零信任用于数据存储,就哪些地方需要减少访问权限给出建议;采用微隔离方法将工作负载彼此隔离并进行保护,以及在远程访问中实施零信任访问(ZTA)等。
(Omdia《报告》中的特权访问管理架构逻辑)
《报告》特别指出,由于新冠疫情驱使全球数百万工作者长时间居家办公,引发了企业对安全远程访问的关注,以及对更安全的传统虚拟专网(VPN)方法替代方案的兴趣,零信任访问(ZTA)因此迅速崛起,拥有广阔的发展前景。
腾讯从2016年开始研发基于零信任的iOA版本,将办公全路径分解为人、设备、运用、资源等核心元素。经过十余年实践的积累跟研究,建立起了一套安全、稳定、高效的一个零信任工作环境。目前,腾讯iOA和零信任安全架构已全面应用在整个腾讯企业内部网络架构中,包括内网访问、远程办公、中小职场接入、云资源访问等重要场景。
(Omdia《报告》中基于软件定义边界(SDP)的ZTA架构逻辑)
(Omdia《报告》中基身份识别代理(IAP)的ZTA架构逻辑)
作为腾讯零信任访问产品的基础,iOA可以通过私有化部署或者软件即服务(SaaS)两种模式交付。系统基于终端安全、身份安全、应用安全、链路安全等核心能力,对每一个访问企业资源的会话请求,都进行用户身份验证、设备安全状态、软件应用安全状态检查和授权,全链路加密。同时集成全球网络加速能力,解决跨境跨运营商访问卡顿或者延迟过高的问题。实现无论用户身处何处、使用任何终端、任何应用都可以安全高效的完成任何业务的目标。
(Omdia《报告》中的腾讯iOA零信任架构设计原则)
在2020年疫情防控攻坚期间,面对内部7万员工和10万台终端服务器跨境、跨城、多端远程办公需求,腾讯iOA提供了安全、稳定、高效的远程访问环境,保证了内部各项业务的顺利开展,充分证明了自身的能力。不仅腾讯自身,腾讯 iOA 也实现了对外输出和助力,并已在政务、金融、医疗、交通等众多行业领域积累了许多应用案例,服务客户包括某运营商省级公司、渤海大学等。
产品实践之外,腾讯安全还致力于引领国际国内零信任标准落地,加速零信任理念及相关技术的落地应用:
- 2019年7月,由腾讯牵头的“零信任安全技术参考框架”获CCSA行业标准立项;
- 2019年9月,腾讯牵头的《服务访问过程持续安全指南》零信任ITU国际标准正式立项,实现了国内在零信任领域国际标准的突破;
- 2020年6月,腾讯联合业界多家权威产学研用机构,在产业互联网发展联盟下成立国内首个零信任产业标准工作组;
- 2020年8月,工作组在业界率先发布《零信任实战白皮书》;
- 2020年10月,工作组发起零信任产品兼容性互认证计划,促进不同厂商间零信任相关产品的兼容性和互联互通;
- 2020年11月,工作组推动“零信任系统技术规范”联盟标准研制工作;
- 2021年6月,工作组发布国内首个零信任技术实现标准,对于指导产业技术发展及用户开展技术运用均具有极强的借鉴意义和参考价值。
数字经济和实体经济在不断融合发展,催生了许多新产业、新模式,也对网络安全生态提出了新的要求,行业开始探索能够在新的网络环境下长期有效解决安全问题的新思路。未来,腾讯安全将不断整合自身的安全能力,携手产业伙伴共同构建数字时代的新型信任体系,为我国数字经济发展构建牢固的安全底座。
点击下载Omdia《零信任的发展及其在安全远程访问中的应用》报告原文
|