零信任,即“永不信任、持续验证”,让原本畅通无阻的攻击者在网络空间里寸步难行。经过十多年发展和演进,零信任安全已步入了风口,也逐渐被企业所认可。
日前,我们采访了国内领先的零信任解决方案提供商江苏易安联网络技术有限公司合伙人兼COO王峰,就零信任安全展开讨论。
易安联是最早一批进入零信任赛道的公司,为何当初在VPN大热的背景下进军零信任?
王峰:我们最早是南京易安联网络技术有限公司,成立于2005年,主要做VPN产品,当时VPN被归类IT工具产品,重点帮用户解决连接的问题。2017年江苏易安联成立后,带着全新的网络安全产品站到零信任赛道上,也是因为我们从客户身上去了解到了极大的安全需求,我们也极力想去解决客户身上发生的这类问题,这也是驱使我们技术创新和发展的动力。
创业之初,我们知道,传统网络安全的攻防两方中,防守方会落后于攻击方的逻辑和理念,防的动作很大程度上主要依赖病毒库、协议库、漏洞库这类,然后这些病毒库等不断的更新再去升级到用户的系统里去防,其实是防不胜防,而且去升级安装出现时间差也容易产生威胁,所以用户很苦恼,购买的IT产品解决不了安全问题。
当时我们做VPN也基于也只是做加密通道类做连接的IT工具,解决不了安全问题,于是我们就不停的寻找解决路径。后来团队找寻到一个核心点,就是所有的攻击动作有一个共通点,就是访问。然后我们就把访问的流程跟逻辑,加以梳理,抽象的形成了一套规则,用身份来做认证和审核,用权限来做限制,从而把大量的垃圾流量威胁流量或者是攻击流量挡在我的云和网关之外,做到进来的流量都是干净、可靠的流量。期间我们也在持续关注市场上网络安全产品的情况,发现了在国外率先落地的“零信任”,于是我们团队内部就开始做深入研究,做技术调整,结合客户实际问题,最终形成了业务场景下很好的结合。用户们也十分认可我们在访问控制的角度去保证业务安全的零信任解决方案。
零信任当前的发展情况如何?面临什么挑战?
王峰:近几年,云计算、大数据、物联网等技术加速创新,数字化开始贯穿于经济社会发展的全领域、各层级。在疫情期间,数字化让经济展现出了强大的发展韧性的同时,也撬动着各行各业变革原有的安全防御思路,基于“无边界安全”理念的零信任技术模型成为了全球企业关注的重点。
易安联是国内最早实践零信任的安全厂商之一。通过近几年自身安全能力和经验的输出,我们探索零信任对各行各业企业的发展助力同时,更加发现零信任正在展现出新价值,成为企业参与数字化竞争的核心能力之一。随着数字化的深入,零信任已经从最初的互联网行业,逐渐应用到了政务、金融、工业、运营商等新的场景。
零信任加速运用新场景的同时,对厂商也提出了更高的标准和要求。不同的行业业务场景各有特色,业务系统数字化进展与程度也不尽相同。如政务云内跨业务区的数据同步和交换对安全性的要求,智慧金融面临高监管、高实时要求等,不同的业务场景面临着不同的挑战。不单纯是技术或产品层面的问题,零信任安全能力应更加聚焦行业,结合行业安全需求精细化发展。这与用户整体的业务、经济、规划、发展等方面强相关,并且是一个分步实施并持续优化的过程。
目前,易安联已在金融、运营商、互联网企业、大型制造业、教育、政府科研、企事业单位等各行各业落地实施零信任。未来,我们仍将坚定走研发创新之路,打磨满足市场需求的安全产品,大力扩展业务版图,服务更多客户实现数字化转型。
进入数字时代,SASE等技术大热,零信任又该如何发展?
王峰:随着云计算技术不断发展,企业上云需求增加,同时伴随着4G和5G网络技术发展和移动端设备性能的提升,越来越多的用户通过移动端接入企业网络,基于云计算的新架构理念安全访问服务边缘SASE提出,通过将网络与安全能力通过分布式云进行交付,为多分支场景下的企业网络互联及安全问题提出了新的解决方案。
2019年,Gartner在《The Future of Network Security Is in the Cloud (网络安全的未来在云端)》中提出安全访问服务边缘(SASE)架构,将SASE定义为一种基于实体的身份、实时上下文、企业安全/合规策略,以及在整个会话中持续评估风险/信任的服务。
在Gartner的定义里,SASE是一种基于零信任模型、通过SD-WAN整合了各种云原生的安全功能(包含SWG、IPS等)的管理型服务,从而满足企业在数字化转型过程中的动态安全访问需求。其本质是网络和安全的综合云化。将众多不同的网络服务融合和统一到一个针对边缘环境和独立用户的代理结构中,传统方法往往需要多个供应商和服务来实现相同的控制,管理复杂且缺乏互操作性。
SASE可提供一系列丰富的网络和安全功能,对流量进行安全检测与路由转发,实现企业全流量的威胁检测与控制,并根据应用优先级进行路由,以确保用户访问(包括本地、云和移动端访问应用和互联网的流量,甚至是分支之间的流量)的体验与安全合规均可得到保障,助力企业构建无处不在的业务接入边界。
零信任和SASE之间是有一种相辅相成的关系,两者均运用了安全无边界这种思想。它们的共同之处是都采用了相近的安全理念,将传统围绕数据中心边缘的安全边界,转变为围绕企业数字资产分布的安全边界,即基于策略动态创建的安全访问服务边缘。
而不论何种技术方案,想要被认可,究其本质,仍是落地客户需求,零信任也不例外。它的未来发展需要更开放的生态,易安联希望各厂商能携手共建,在标准的基础上,深化技术协同与商业合作,深挖落地场景,开放接口等等,这样才能为客户提供功能更完善、体验更好的零信任解决方案,推动零信任在中国的加速落地。