重构网络安全体系 零信任如何保障数据安全?
随着5G、大数据、物联网、人工智能等技术的发展,企业数字化转型进程加快,网络空间安全风险日益凸显,这对传统网络安全防护机制提出了新挑战。
2021年国家网络安全宣传周将于10月11日至17日举办,围绕网络安全热点议题,开设了网络安全产业发展、网络安全标准、零信任安全实践、网络空间安全学科专业建设、数据安全等论坛。
网络安全的重要性被提升至前所未有的高度,相关政策及法律法规不断完善,企业寻求新的网络安全解决方案,以零信任为代表的安全理念及架构等脱颖而出。
网络空间安全迎来新挑战
随着新技术在不同产业的应用场景加速落地,数字化逐渐深入到广大人民的日常生活每个角落。《中国互联网发展报告2021》数据显示,2020年中国数字经济规模达到39.2万亿元,占GDP的38.6%,保持9.7%的增长速度,成为保障经济稳定增长的关键动力。
在志翔科技高级副总裁伍海桑看来,“云大物智移”(即云计算、大数据、物联网、人工智能和移动互联网)不断演进,目前正从消费领域进一步向工业领域渗透,驱动产业升级,5G也将为工业物联网和乃至整个物联网领域带来巨大的变化。
各行各业的数字化进程加快,远程接入并在网络空间中使用数据以及生活、工作和生产成为必然趋势。网络空间安全迎来新命题,随时随地对用户安全接入、安全访问、安全生产,以及存储和保护数据等成为新挑战。
《2021安永全球信息安全调查报告(GISS)》显示,77%的受访者表示,破坏性网络攻击(如勒索软件)的数量与日俱增。
从外部环境来看,网络空间安全领域的法律法规持续完善,也进一步驱动网络安全系统的重构。2014年网络安全被提升至国家安全战略,开启了我国网络空间治理的全新范式。随后,网络安全技术迭代升级,相关的监管政策逐步落地,《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等出台,对企业的网络安全管理提出新要求。
新形势下,中国企业对于网络安全方面的投入与日俱增。根据《IDC全球网络安全支出指南》的预测,2021年中国网络安全市场投资规模将达到97.8亿美元,并有望在2025年增长至187.9亿美元,五年复合增长率约17.9%,增速继续领跑全球市场。
零信任安全脱颖而出
如今网络安全不再是企业未雨绸缪的布局,外部环境变化和企业自身的发展需求,都推动安全技术的应用与不断演进升级成企业维持日常生产运营必备的重要保障。
零信任安全技术的真正应用和落地也正是如此——2020年突如其来的新冠肺炎疫情是推动其发展的重要转折点。
伍海桑告诉中国网科技记者,新冠疫情席卷而来,企业直面两大问题,其一是如何快速恢复并保持有序生产,其二是业务的开展受限于远程和多种非企业设备终端的情况下,如何保护企业数据的访问安全和合规使用。尤其是对于很多高科技企业,不仅要让员工能够远程接入,开展复杂的研发测试工作,而且还要保证敏感数据的安全传输交换与合规使用。这在多方面对企业IT提出了严峻的挑战——不论是用户的权限管理认证,数据的分级分类,和全生命周期的流转控制都需要高级别的安全保护。而基于零信任理念的安全架构则正好契合了这样的需求。
零信任安全理念并不是一个新鲜事物,它早在2010年就被提出,核心思想是“永不默认信任,多环节持续验证”,即默认情况下不应该信任网络内部和外部的任何人/设备/系统,需要基于认证和授权重构访问控制的信任基础。零信任引导的安全体系架构,从传统的网络中心化走向云时代的身份中心化,让传统安全边界变得无所不在和更面向业务。
中国通信院发布的《数字化时代零信任安全蓝皮报告》指出,数字化转型浪潮下,企业传统安全架构面临三大挑战:一是上云、应用架构升级等技术转型带来新的安全风险;二是工作空间和供应链协同的数字化引入更多的安全隐患;三是新零售、物联网等产品服务创新面临多样的安全威胁。零信任安全理念能够最大限度保证资源被可信访问,提升企业数字化转型中新IT架构的安全性。
需求从粗放式转向精细化 推动零信任落地与持续发展
疫情催生的网络安全需求并非过渡性的临时需求,但新的网络安全解决方案并非一劳永逸。伍海桑认为,这是一个持续性的问题,主要原因在于行业需求也在持续不断的发生着变化。
不同行业的数字化进程不一样,其网络安全需求也就随之不同,在应用新的网络安全技术方面也呈现不同的接受程度。伍海桑分析,从志翔科技的客户反馈上就很明显。高科技行业比如集成电路设计、软件开发等互联网公司,在数字化和上云进程上相对走得快,对新的业务形态和应用接受程度更高。而传统行业在IT和安全的应用上则更为保守和缓慢。在零信任安全技术和产品的应用上也是如此,安全厂商的产品也在应用中在不断摸索更为有效和实用的发展路径。
以企业的数据文件安全交换为例,后疫情时代,企业远程办公已成为常规需求,远程办公安全也成了标配。在业务开展中,企业逐步对跨区跨权限的数据文件交换提出更多更精细化的需求。传统VPN接入的方式能满足企业远程接入的需求,但其“接入即可信”的做法,难以实现用户权限的精细化管理。在跟很多敏感数据行业企业交流后,伍海桑发现,这些企业对于数据文件的安全交换有非常多的新需求,数据文件传输权限需要考量的因素更为复杂,例如跨境、跨部门、高安区低安区等不同情况的权限管控、审批审计等,这些都是仅用VPN解决不了的难题。
据伍海桑介绍,志翔科技承接的一个跨国金融机构客户需求中,就涉及到从国外总部访问中国区域数据,以及总部如何对企业在我国境内的数据进行合规审计等流程,这对合规性和网络安全都提出了极高的要求。集成电路设计类企业也面临棘手问题,例如在流片过程中,芯片设计企业希望自己的核心数据能安全传输到代工厂,但是其宝贵的IP在操作和传输过程中不被泄露,这就需要对操作者、接收者、使用者等不同人员设置不同的访问权限和操作许可。这些需求推动了基于零信任的产品和解决方案被快速的接受、部署,并不断在不同行业的实际应用中演进和发展,成为当下最受关注与青睐的安全“关键词”。
Gartner在2019年发布的行业报告《Market Guide for Zero-Trust Network Access》中预测,到2022年,面向生态系统合作伙伴开放的80%的新数字业务应用程序将通过零信任网络(ZTNA)进行访问。到2023年,60%的企业将淘汰大部分远程访问VPN,转而使用 ZTNA。
专注于数据安全保护的志翔科技早在2015年就提前布局,提出“无边界、零信任”的理念。面对企业不断升级的网络安全服务需求,志翔科技从2020年起逐步整合技术和产品形成 “T”型零信任产品框架。
“T”型框架中的南北纵向指的是为企业提供远程安全接入和访问的服务(南北向安全),企业员工不需要通过VPN即可实现远程安全接入和办公,保证业务不中断。“T”型框架中的东西横向指的是在企业业务系统的云平台内提供微隔离和工作负载保护(东西向安全)。志翔科技基于更精细化的身份权限管控,对不同员工的工作负载、虚拟机、服务器等提供不同的精细化权限管理策略。目前志翔的零信任方案方案已经应用于金融、软件开发、能源、军工等行业。
数字化时代,我国的网络安全市场机遇与挑战并存,未来任重道远。我国网络安全占信息化的投入比例已提升至3%~5%,但对比美国、日本、德国等发达国家平均11%~13%的占比仍有差距。工信部在《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中提出新目标,到2023年,网络安全产业规模超过2500亿元,年复合增长率超过15%。电信等重点行业网络安全投入占信息化投入比例达10%。