近日,国际知名市场调研机构Omdia发布研究报告《零信任的发展及其在安全远程访问中的应用》(下文简称《报告》),讨论了零信任在网络安全实践中的诸多应用,并且重点聚焦远程访问场景下的零信任访问(ZTA),介绍了腾讯在零信任安全管理系统iOA平台中实施ZTA的案例实践,以期为企业建立安全远程访问体系提供经验和参考。
《报告》指出,由于数字化转型、应用基础设施向云迁移以及越来越多的智能终端能够远程接入到企业资源等趋势,网络安全边界几乎已经消失,网络安全厂商需要保护的基础设施变得更加复杂,而传统的网络安全架构已经越来越无法应对该挑战。
以“永不信任,始终验证”为原则的零信任理念,区别于之前的网络安全方法,具有规避公开攻击面、完整纪录访问动作和时间、对每个连接持续验证、最小特权访问等特点,过去三年来受到行业重视,取得了长足的发展,在许多领域,零信任的理念和方法都已经融入到网络安全技术中。
例如对特权用户访问管理(PAM)遵循最小特权原则,避免暴露整个组织基础设施;在云权限(CPM)中将零信任用于数据存储,就哪些地方需要减少访问权限给出建议;采用微隔离方法将工作负载彼此隔离并进行保护,以及在远程访问中实施零信任访问(ZTA)等。
(Omdia《报告》中的特权访问管理架构逻辑)
《报告》特别指出,由于新冠疫情驱使全球数百万工作者长时间居家办公,引发了企业对安全远程访问的关注,以及对更安全的传统虚拟专网(V PN)方法替代方案的兴趣,零信任访问(ZTA)因此迅速崛起,拥有广阔的发展前景。
腾讯从2016年开始研发基于零信任的iOA版本,将办公全路径分解为人、设备、运用、资源等核心元素。经过十余年实践的积累跟研究,建立起了一套安全、稳定、高效的一个零信任工作环境。目前,腾讯iOA和零信任安全架构已全面应用在整个腾讯企业内部网络架构中,包括内网访问、远程办公、中小职场接入、云资源访问等重要场景。
(Omdia《报告》中基于软件定义边界(SDP)的ZTA架构逻辑)
(Omdia《报告》中基身份识别代理(IAP)的ZTA架构逻辑)
作为腾讯零信任访问产品的基础,iOA可以通过私有化部署或者SaaS化快速部署两种模式交付。系统基于终端安全、身份安全、应用安全、链路安全等核心能力,对终端访问过程进行持续的权限控制和安全保护,实现无论用户身处何处、使用任何终端、任何应用都可以安全高效的完成任何业务的目标。
(Omdia《报告》中的腾讯iOA零信任架构设计原则)
在2020年疫情防控攻坚期间,面对内部7万员工和10万台终端服务器跨境、跨城、多端远程办公需求,腾讯iOA提供了安全、稳定、高效的远程访问环境,保证了内部各项业务的顺利开展。除了服务内部之外,腾讯iOA在政 务、金融、医疗、交通、物流等众多行业领域,也积累了许多应用案例,服务客户包括某运营商省级公司、渤海大学等。
另外,为了弥补国内零信任领域的技术标准空白,加速零信任理念及相关技术的落地应用,腾讯也在行业标准建设方面做出了很多努力。包括主导并起草国际电信联盟电信标准分局(ITU-T)零信任国际标准立项;联合公安三所、国家互联网应急中心等三十多家企业和政府机关建立国内首个零信任产业标准联盟等。不久前,由腾讯牵头的首个国内零信任技术实现标准正式发布,这一里程碑式的成果,对于指导产业技术发展及用户开展技术运用均具有极强的借鉴意义和参考价值。
数字经济和实体经济在不断融合发展,催生了许多新产业、新模式,也对网络安全生态提出了新的要求,行业开始探索能够在新的网络环境下长期有效解决安全问题的新思路。未来,腾讯安全将不断整合自身的安全能力,携手产业伙伴共同构建数字时代的新型信任体系,为我国数字经济发展构建牢固的安全底座。
