近年來，隨著遠(yuǎn)程辦公、業(yè)務(wù)協(xié)同、分支互聯(lián)等業(yè)務(wù)需求快速發(fā)展，企業(yè)原有的網(wǎng)絡(luò)邊界逐漸泛化，導(dǎo)致基于邊界的傳統(tǒng)安全架構(gòu)不再可靠，零信任市場迎來了風(fēng)口。

“零信任”作為近年來網(wǎng)絡(luò)安全領(lǐng)域又一爆火的概念，既不是產(chǎn)品也不是一種技術(shù)，而是一種“持續(xù)驗(yàn)證，永不信任”的安全理念。卻吸引了騰訊、阿里、華為等大廠，深信服、奇安信、綠盟科技等安全廠商紛紛布局。 

零信任的三大核心技術(shù)是軟件定義邊界（SDP）、身份權(quán)限管理（IAM）、微隔離（MSG），對于在網(wǎng)絡(luò)安全領(lǐng)域早有積累的廠商來說技術(shù)并非難事，落地問題才是關(guān)鍵。國內(nèi)市場落地場景難找準(zhǔn)、現(xiàn)有安全體系改造難、持續(xù)管理難、實(shí)施效果和價(jià)值評估難、用戶使用習(xí)慣改變難等瓶頸，是零信任廠商需要突破的問題。

今年5月，騰訊iOA零信任解決方案已經(jīng)突破了100萬終端的部署，是國內(nèi)首個突破百萬終端的零信任產(chǎn)品。那么騰訊為什么能抓住如此多的用戶？雷峰網(wǎng)(公眾號：雷峰網(wǎng))與騰訊零信任產(chǎn)品總經(jīng)理?xiàng)钣蠛透邿艨萍几笨偛眉姘踩?fù)責(zé)人莫曉盛展開了深入交流。

瞄準(zhǔn)需求

“零信任”這一理念最早是在美國提出的，2011年谷歌內(nèi)部開始實(shí)施零信任，整整花了6年時(shí)間才在企業(yè)網(wǎng)實(shí)現(xiàn)了零信任落地。

由于國內(nèi)外不同的市場環(huán)境，“零信任”在美國發(fā)展迅速，根據(jù)Cybersecurity Insider的調(diào)查，15%的受訪IT團(tuán)隊(duì)已經(jīng)實(shí)施零信任SaaS，44%表示準(zhǔn)備部署。但是在國內(nèi)，這一概念接受程度并不高，交付模式也是以解決方案為主。因此落地還需要結(jié)合國內(nèi)的特殊環(huán)境和場景。

就中美在零信任架構(gòu)體系應(yīng)用之間的差異性，楊育斌認(rèn)為，目前就技術(shù)底層邏輯以及技術(shù)應(yīng)用點(diǎn)來講，已經(jīng)沒有太大的差距；唯一的區(qū)別是使用場景，區(qū)別于美國的云服務(wù)模式，中國的實(shí)際應(yīng)用情況可能更復(fù)雜，因?yàn)閭鹘y(tǒng)行業(yè)的服務(wù)、業(yè)務(wù)資源，都是放在企業(yè)自身的網(wǎng)絡(luò)里面，所以需要打破網(wǎng)絡(luò)邊界做一些應(yīng)用安全的保障。在落地過程中也需要去做很多的思考和變通。但是從某種程度上講，我們的技術(shù)應(yīng)用要走在美國的前面，比如，身份認(rèn)證在中國反而更接地氣。

楊育斌表示：“ 零信任區(qū)別于傳統(tǒng)的預(yù)設(shè)訪問黑白名單，零信任就是永不信任。簡單來說就是，持續(xù)驗(yàn)證，最小化授權(quán)，解決從訪問人的身份、終端、連接的全鏈路的安全。”

近兩年由于疫情的助推，以及企業(yè)的信息化程度、移動化程度不斷提高，隨時(shí)隨地處理企業(yè)內(nèi)部業(yè)務(wù)系統(tǒng)變得越來越普遍。人員身份校驗(yàn)和設(shè)備安全可信等需求也變得更加迫切。

楊育斌從三個方面總結(jié)了用戶對于“零信任”的需求：

首先，傳統(tǒng)的安全架構(gòu)是層層設(shè)防，不斷的堆設(shè)備，只適合聚集類的固定場所的辦公場景。而零信任解決方案對所有訪問采取“從不信任，持續(xù)驗(yàn)證”，適應(yīng)了當(dāng)下遠(yuǎn)程辦公和混合辦公的需求。

其次，隨著企業(yè)業(yè)務(wù)邊界的拓展，許多客戶的業(yè)務(wù)已經(jīng)往云上遷移，在多云的環(huán)境下，對于業(yè)務(wù)的協(xié)作、運(yùn)維以及安全的管理的訴求，使得零信任可以更好的應(yīng)用。

最后，在當(dāng)前各種物聯(lián)網(wǎng)場景，進(jìn)行通信交換加解密時(shí)，零信任可以更好的契合該場景。

據(jù)介紹，目前互聯(lián)網(wǎng)企業(yè)業(yè)務(wù)系統(tǒng)不復(fù)雜，能夠更加快速的應(yīng)用起來，接受程度更高，更容易改造落地；而醫(yī)療行業(yè)、運(yùn)營商以及大學(xué)等也在近兩年落地非常迅速。除此之外，還有一些頭部的央國企、金融機(jī)構(gòu)還有政府目前也慢慢應(yīng)用“零信任”替代傳統(tǒng)的解決方案。

騰訊為疫情期間遠(yuǎn)程辦公的企業(yè)，提供基于云的零信任接入訪問，在部署周期上可以達(dá)到小時(shí)級、天級就可以完成接入部署，實(shí)現(xiàn)遠(yuǎn)程辦公應(yīng)用。

楊育斌告訴雷峰網(wǎng)，“零信任在落地過程中，要根據(jù)不同行業(yè)的情況和應(yīng)用場景，去做相應(yīng)的調(diào)整，復(fù)雜度不同相應(yīng)部署時(shí)間也會不同?！北热缯?、金融企業(yè)或者大型企業(yè)有數(shù)據(jù)合規(guī)審計(jì)、數(shù)據(jù)合規(guī)安全策略的要求，整個解決方案就需要從頭到尾進(jìn)行全面的設(shè)計(jì)和分期建設(shè)，落地過程會持續(xù)幾個月甚至一年。

隨著基于零信任的需求場景不斷擴(kuò)大，未來零信任將會有更多的場景進(jìn)行實(shí)踐，零信任落地難也將成為過去式。

零信任落地的關(guān)鍵

在企業(yè)安全建設(shè)的過程中，大多數(shù)企業(yè)不會選擇單一廠商解決整個辦公網(wǎng)的安全問題，同時(shí)大多數(shù)客戶當(dāng)前網(wǎng)絡(luò)中已經(jīng)購買并部署了多家廠商的安全產(chǎn)品，那么在建設(shè)零信任平臺如何節(jié)約建設(shè)成本，以及多廠商產(chǎn)品之間如何集成對接是當(dāng)前和未來的關(guān)鍵挑戰(zhàn)。

高燈科技是騰訊iOA零信任解決方案第一百萬終端客戶，成立于2017年，是一家以發(fā)票數(shù)字化為基礎(chǔ)，為企業(yè)和監(jiān)管提供財(cái)稅合規(guī)及交易合規(guī)管理平臺的財(cái)稅科技公司。

談及決定部署iOA零信任解決方案的原因，莫曉盛表示：“一個是外因，疫情影響遠(yuǎn)程辦公需求猛增；另一個是內(nèi)需，經(jīng)過五年的發(fā)展，高燈科技已經(jīng)從最初的幾十人擴(kuò)張到了目前將近千人的規(guī)模，面對多個分公司和辦公地點(diǎn)的安全管理問題，傳統(tǒng)的“基于邊界的安全模型”就力不從心了。而零信任，可以在一個動態(tài)變化的環(huán)境中進(jìn)行合理的訪問控制，最終提升整體的安全性，降低風(fēng)險(xiǎn)，簡化整體的運(yùn)營操作，增加業(yè)務(wù)的敏捷性?！?/p>

過去企業(yè)的安全問題通常不會被放在首位，現(xiàn)在不管是基于合規(guī)的需求還是自身發(fā)展的需求，安全成為必不可少的一項(xiàng)。因此如何平衡業(yè)務(wù)發(fā)展和安全建設(shè)成本的問題成為每個企業(yè)必須思考的問題。

對此，莫曉盛認(rèn)為：“我們其實(shí)不是為了安全去做安全，安全是業(yè)務(wù)的一個屬性，伴隨著業(yè)務(wù)一起成長，公司業(yè)務(wù)營收的持續(xù)性必須要通過安全來作為保障的。因此公司也愿意在IT的安全上增加整體的投入和成本?！彪m然現(xiàn)在建設(shè)零信任iOA付出一定成本，但同時(shí)能夠釋放出原先冗余的IT安全工程師的資源，也就是通過自動化代替了人工的方式，更重要的是達(dá)到了比傳統(tǒng)方案更佳的安全效果。從長遠(yuǎn)來看，其實(shí)這部分成本是縮減的。

據(jù)了解，騰訊iOA是一個集一整套防病毒、管控、VPN接入、DLP（數(shù)據(jù)防泄漏）等多套系統(tǒng)綜合性的一個平臺。表面上看起來是以一個終端的形態(tài)存在，但實(shí)際上后臺非常豐富而且飽滿，相比傳統(tǒng)的VPN部署方式為企業(yè)帶來更高的能效比，高燈科技的信息安全專家王凱說。 

零信任落地的另一個關(guān)鍵問題是，解決多廠商產(chǎn)品異構(gòu)問題，因此還需要國家、廠商、客戶一起推動建立標(biāo)準(zhǔn)規(guī)范。目前，騰訊零信任標(biāo)準(zhǔn)工作組制定的接口標(biāo)準(zhǔn)，已實(shí)現(xiàn)了同18個行業(yè)安全廠商的對接，接口標(biāo)準(zhǔn)化促進(jìn)了企業(yè)安全辦公體系的融合，也進(jìn)一步優(yōu)化了辦公體驗(yàn)。

2021年7月騰訊牽頭起草中國第一部《零信任系統(tǒng)技術(shù)規(guī)范》，填補(bǔ)了國內(nèi)零信任領(lǐng)域的技術(shù)標(biāo)準(zhǔn)空白，同時(shí)也入選了中國電子工業(yè)標(biāo)準(zhǔn)化技術(shù)協(xié)會團(tuán)體標(biāo)準(zhǔn)。2021年11月牽頭的全球首個零信任國際標(biāo)準(zhǔn)——《服務(wù)訪問過程持續(xù)保護(hù)指南》，由ITU-T國際標(biāo)準(zhǔn)正式通過發(fā)布，推動了全球零信任標(biāo)準(zhǔn)化應(yīng)用。這個標(biāo)準(zhǔn)也是國內(nèi)企業(yè)在國際的一級組織，國際電信組織拿到的一個關(guān)于零信任的標(biāo)準(zhǔn)，也是唯一的一個標(biāo)準(zhǔn)。

楊育斌稱：“未來更重要的是建立零信任標(biāo)準(zhǔn)，促進(jìn)行業(yè)和生態(tài)的健康發(fā)展。推動標(biāo)準(zhǔn)化，推動行業(yè)共識，零信任才能真正實(shí)現(xiàn)百花齊放?！?/p>

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。