当谎言诞生时,我们该如何重构信任?

资讯 作者:安在 2021-04-16 22:13:51 阅读:548
撰稿 | 流苏
编辑 | 图图


在《谎言诞生的日子》电影里,有一个完全说真话的世界,主人公凭借着满嘴的谎言活的异常滋润和潇洒。而当其他人也发现了谎言的妙用之后,曾经这个说真话的世界又充满了谎言,人与人之间的信任不复存在。


                                 

互联网世界和现实世界也有一定的相通之处,曾几何时,那个说真话的世界也存在于互联网中,也就是我们常说的“传统网络边界”下的内网。例如,传统边界安全默认账户都是安全的,只要通过了账户验证就认为所有行为都是可靠的。


于是,有攻击者想到了账户盗用和劫持,就像电影中谎言开始诞生。而云计算的出现直接给了边界致命的一击,当用户可以从任何地方连接到云端,传统的边界正随着企业上云逐渐消散。


世界的发展离不开交互,而安全交互的基础就是信任。如今,边界正在消失,则意味着曾经的信任已经不再,那么在万物互联的时代,我们又该如何重构信任?




炙手可热的零信任


传统的安全边界正在消失,远程办公爆发式增长以及企业数字化转型中“打破边界”的内在诉求进一步破坏了传统边界安全的基础。


没有了边界,就意味着没有了完全可信的对象,而这却恰恰符合零信任的安全理念——“持续验证,永不信任”。因此,零信任也就成了应对日益复杂且严峻的网络安全威胁的最佳实践之一。

 


事实上,自2010年Forrester 首席分析师约翰金德维提出了零信任的概念以来,这一理念就一直成为安全行业的热点话题。随着业界不断对其进行完善,零信任概念开始向主流网络安全技术架构演进,从最初网络层微分段的范畴开始,逐步形成覆盖云环境、大数据中心、微服务等众多场景的新一代安全架构。


近年来零信任一直处于高速发展时期,相关的报告和数据也印证了这一观点。


技术方面,2019年4月,Gartner发布《零信任网络访问市场指南2019》预测,到2022年,80%的企业向生态合作伙伴开放的新数字业务应用将通过零信任网络访问接入;到2023年,60%的企业将淘汰大部分远程访问虚拟专用网络(VPN),转而使用零信任网络(ZTNA)。


市场方面,据MarketsandMarkets预计,到2024年,零信任安全的全球市场规模将达到386.31亿美元(约合人民币2585.6亿元),复合年化增长率为高达19.9%。


融资方面,据36氪的数据统计,市面上至少有50家网络安全公司声称正在开展零信任业务,在2021年一季度投融资中,和零信任理念挂钩的企业约占三分之一,融资规模大多在数亿人民币。


由此可见,零信任作为新一代网络安全架构,正变得炙手可热起来,互联网世界对于零信任的探索也开始变的急迫起来。


困难重重的零信任


炙手可热却又在落地时困难重重,这是零信任在我国目前的现状。即便是2019年工信部将零信任列入了网络安全需要突破的关键技术,即便是2020年突如其来的疫情加剧了零信任的发展进程,它在落地的过程中还是有着各方面的阻碍和误区。


例如,企业期望通过购买安全产品或安全解决方案即可迅速实现零信任,或者是在零信任落地后就认为“可以在任何设备上开展业务”,这样急功近利的做法是近年来零信任落地的最大误区之一。


要知道零信任并不是一项具体的技术,而是一种网络安全理念,企业可基于这种理念对原有的网络安全体系进行零信任改造。


这意味着,零信任的落地远比某一技术或设备的应用要复杂的多,需要对原有的网络安全体系和自身的安全需求进行通盘考虑,同时还要兼顾安全体系对核心业务的影响,工作量之大,资金投入之多决定了它不可能在短期内一蹴而就,而是一项长期的安全规划。


再比如实施零信任时过度专注于身份,从而陷入“零信任需要定义企业中的每一个身份”的陷阱之中。随着企业数字化转型的加速,身份主体已经变得十分庞大,包括服务、设备和应用等,还有与之对应的权限,应用程序的授权架构等,这将给企业的IT部和安全部带来数之不尽的额外工作。


这时你会发现,零信任的落地不仅没有简化安全工作,反而加重了安全的负担,更尴尬的是无法说服你的领导或老板,投入和产出完全不成比例,直接降低了安全的价值。


为了零信任的形式而零信任,这是在零信任规划、落地过程中最不应该出现的事情,“如何在原有安全基础上落地零信任,并真正发挥出相应的效果”,是企业安全负责人必须要思考的问题。


目前,这个问题还没有一个完美的答案,绝大多数企业在零信任落地上也还处于摸着石头过河的状态,可能遭遇的挑战远不止以上两个。


比如零信任网络更加适合哪些企业和核心业务;落地后可以为企业带来哪些明显的改变和经济利益的提升;如何确定零信任建设的切入场景、建设路线以及可持续发展的方案;在真正引入零信任理念时需要做好怎样的准备......


这里面存在太多需要考量和平衡的内容,也存在着各种不确定性。


以零信任方能重构信任


倘若有一个可以明确参考的,符合我国国情的实际应用案例,或者是一份网络安全行业的可行性标准,对于企业来说必定会事半功倍。


如今,这一畅想即将变成现实。


2021年5月14日,在以零信任重构信任为主题的零信任发展趋势论坛上,中国产业互联网发展联盟秘书长雷晓斌及相关工作组成员单位将发布零信任标准证书,零信任标准工作组也将再次升级。


也是在这次大会上,腾讯研究院、腾讯安全以及Gartner将联合发布零信任白皮书,进一步填补零信任在标准和实施方面的空白。另外,白皮书将对零信任落地应用过程中面临的问题和挑战进行梳理、归类、提升,包括零信任发展现状,要解决什么问题,如何实现零信任,有哪些典型的应用领域和案例等等,并结合国家宏观政策、产业生态进行总结提炼,推动零信任的落地和发展。


作为国内自主设计、研发零信任网络并在内部实践落地的企业,腾讯在零信任领域已经取得了相应的成果。其中,腾讯的iOA零信任系统更是在2020年疫情爆发期间,保证了腾讯超过7万名员工和10万台服务终端的跨境、跨城远程办公,其强大之处不言而喻。



据悉,本次大会由中国信通院、中国产业互联网发展联盟指导,腾讯安全主办,云安全联盟大中华区(CSAGCR)协办,informamarkets承办,在上海世茂皇家艾美酒店举行,腾讯副总裁丁珂,北京赛博英杰科技有限公司创始人&董事长谭晓生,CSA大中华区研究院副院长贾良玉等众多网络安全大咖出席并发言,涉及零信任产业发展趋势、技术架构及落地应用、企业管理与合规治理等多个方面。


当然,令人期待万分的大咖圆桌自然必不可少。而在这场圆桌中,甲方企业有哪些痛点,在架设零信任架构中遇到哪些问题,乙方企业有哪些灵丹妙药,都会在大咖们的讨论中得到答案。


结语


人们常说2017年是零信任网络的分水岭,但实际上疫情之后才是零信任开始真正落地的契机。在经历了一场不得不进行的,规模浩大的远程办公之后,我们才发现原来说真话的世界已经充满了谎言,曾经保护着我们的边界已经千疮百孔。


边界消失之后,信任必将瓦解,在此之后又该如何重构信任?这对于企业来说是一个值得思考的问题。而这样一场有深度、有落地、有标准的零信任专题论坛,对于很多正在探索零信任的企业恰好有着无比重要的参考和指引的作用。


纸上得来终觉浅,绝知此事要躬行。那么,不如就让我们在这场大会上一起探索,如何在充满谎言的世界里,以零信任重构信任。


对了,扫描下方二维码或点击阅读原文”即可报名。




推荐阅读




攻防演练打响,听一听老兵们的“血泪史”


齐心抗疫 与你同在 



点【在看】的人最好看


在线申请SSL证书行业最低 =>立即申请

[广告]赞助链接:

关注数据与安全,洞悉企业级服务市场:https://www.ijiandao.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

#
公众号 关注KnowSafe微信公众号
随时掌握互联网精彩
赞助链接