5月17日世界电信日,由国际云安全联盟CSA大中华区主办、腾讯安全承办的“CSA SDP2.0标准发布暨零信任技术研讨会”在线上召开。本次研讨会聚焦软件定义边界SDP和零信任,共探数字化安全新未来。
(CSA SDP2.0标准发布暨零信任技术研讨会)
SDP是面向云与移动互联的安全策略,是零信任原则不可或缺的核心部分,它帮助零信任安全实现最小授权原则,隐蔽网络和资源。2014年,CSA开发SDP框架,发布了《软件定义边界(SDP)标准规范V1.0》,为零信任贡献了首个技术解决方案。
时隔八年,CSA打磨了全新的《软件定义边界 (SDP) 标准规范V2.0》,并在今日的研讨会重磅发布。同时此次研讨会上,CSA大中华区主席李雨航、CSA大中华区零信任工作组组长陈本峰、CSA大中华区副秘书长许木娣、腾讯零信任产品总经理杨育斌、小花科技安全负责人闵李金、虎符网络创始人王伟、零信任产业标准工作组秘书长黄超等行业专家,带来了精彩的技术分享与专业解读。
SDP 2.0标准发布
持续优化SDP安全架构
研讨会上,CSA大中华区主席李雨航宣布《软件定义边界 (SDP) 标准规范V2.0》(简称:SDP标准2.0)正式发布,SDP标准2.0是一次国际协作的成果,由国际及中国的多位专家参与编写,汇集了零信任SDP技术发展、行业需求及行业最新的研究实践。联盟多家成员单位参与了标准的翻译与审校,包括云深互联、中国电信研究院、中国信通院、腾讯、华为、360、深信服、启明星辰、山石网科、北森云等16家单位。
(SDP 2.0业务访问流程)
相较于SDP 1.0 标准规范,2.0版本在六大方面有了显著升级,涵盖SDP概念及其与零信任的关系,SDP架构、组件及部署模型细化,加载和访问流程,新的SPA消息格式,SDP通信协议的安全改进以及对于物联网设备的支持。
在SDP概念及其与零信任的关系方面,2.0版本首次明确指出了SDP与零信任的关系;在SDP架构、组件及部署模型细化方面,2.0版本细化了6大部署模型;在加载和访问工作流程方面,控制器加载流程、AH加载流程、IH加载流程、业务访问流程得到优化;在新的SPA消息格式方面,由于SDP最核心的网络隐身是由SPA协议来实现的,2.0版本比1.0更安全、更易扩展;此外,SDP 2.0版本还实现了对物联网设备的支持,以及SDP通信协议的安全改进。
据CSA大中华区零信任工作组组长陈本峰介绍,SDP与NIST零信任架构的基本原则以及逻辑架构保持一致,实现了数据平面与控制平面的分离,V2.0架构图明确了AH与服务Service的关系,SPA 2.0的消息格式更安全、更易扩展,SPA 不仅仅作为网络隐身协议,还可以作为数据传输协议,同时随着今天中国市场上,云计算、移动、IoT等新技术正被成千数万的企业应用,SDP 2.0还增加了对于物联网设备的支持。
当前,SDP安全架构已在国际上迅速普及,其优势得到了企业CIO的广泛认可,其安全性和易用性也得到了无数企业的实践验证。陈本峰认为,SDP 未来研究方向将侧重于零信任策略模型和SDP、使用SDP实现物联网零信任安全、SDP密钥的安全存储和轮换以及设备校验四大板块,同时将更好地促进中国零信任安全市场的发展。
零信任从理念到实践
护航企业数字化转型
零信任理念自2010年诞生以来已逐步走向落地实践,据市场研究机构Marketsand Markets 报告显示,全球零信任安全市场规模预计到2026年将达到516亿美元。万物互联时代,零信任“持续验证、永不信任”的理念彻底颠覆了基于边界的传统安全防御模型,能够有效帮助企业在数字化转型中解决网络边界泛化带来的安全风险。
腾讯零信任产品总经理杨育斌在腾讯零信任技术及实践分享中提到,随着远程办公、远程运维、远程分支机构接入、第三方协作等远程办公新场景的出现,以及业务上云、边缘设备接入、DevOps场景、微服务API安全防护等业务应用新场景的深化,以身份为中心的网络安全机制逐渐引发行业重视,“去虚向实”的零信任正成为安全厂商通往新蓝海的钥匙。
腾讯安全作为国内较早践行零信任的企业,围绕身份、终端、应用、网络四要素,打造4T零信任功能实践,开发出SaaS版、一体化版、管控版零信任产品矩阵,同时依托腾讯iOA零信任产品对终端访问过程进行持续的权限控制和安全保护,实现终端在任意网络环境中安全、稳定、高效地访问企业资源及数据。值得一提的是,腾讯零信任标准工作组制定的接口标准,已实现了同18个行业安全厂商的对接,接口标准化促进了企业安全办公体系的融合,也进一步优化了办公体验。
(腾讯安全iOA零信任产品矩阵)
在实践环节,腾讯iOA在2020年新冠疫情防控期间,便支撑了全网10W+设备的全负荷工作,稳定性得到证明。在外部应用方面,腾讯iOA已经广泛应用于泛互、金融、政府、教育、保险、地产、物流、医疗、工业、能源等行业,护航了数百家企业的数字化转型。
零信任在实现数字化风控安全方面效果显著。据小花科技安全负责人闵李金介绍,金融科技行业标准合规需满足架构安全、数据安全、网络安全和内控管理,于金融科技企业而言,多终端、多办公环境、多云业务带来了风险管理上的极大挑战。小花科技通过采用腾讯iOA零信任建设4 Trust终端安全体系,保障了数据访问过程中的信息安全,实现了风险治理的“事前-事中-事后”闭环响应,增强了终端内生免疫力,建立了面向全终端的安全基线,形成了数字化风控安全循环。
在技术分享的最后,CSA大中华区副秘书长许木娣聚焦实施零信任的关键要素——人才培养,指出零信任是一项团队运动,同时据德勤调查数据显示,组织在实施零信任模式过程中,面临着人才、预算、洞察及供应商选择上的四大挑战,其中专业人员缺口占比达35%。
在零信任人才培养方面,CSA大中华区在2020年发布了首个零信任领域的个人认证-CZTP零信任认证专家,同时联合腾讯、深信服、中国电信等单位开展CZTP人才培养,从技术标准、架构指南、应用场景、实施指南、法律合规等多方位提供学习资源,帮助安全人员系统掌握零信任全面的安全知识,加强零信任实战能力。
零信任助力行业创新发展
安全专家共话技术趋势
在研讨会的最后,零信任产业标准工作组秘书长黄超主持了“零信任助力行业创新发展”为主题的圆桌讨论,通过连线王伟、陈本峰、杨育斌和闵李金,从市场、用户、技术、产业合作、产品解决方案等多个角度探讨了“零信任”产业及技术的未来发展趋势。
(研讨会圆桌讨论环节)
参与此次2.0标准研制工作的陈本峰,分享了技术标准制定过程中的挑战与难点,他认为当前国内数字经济蓬勃发展,对于未来零信任的实践有着很好的机会,期待更多的技术专家参与进来,共同推动SDP标准的不断发展。从发展趋势上来看,目前市场上对SDP的理解比较片面,软件定义边界的核心目的是为了让数据自由流动,这是数字经济底层基础建设。他指出SDP2.0的发布,仅仅只是一个开始,未来将会有更深入的研究。
目前,国内疫情反复,远程办公也步入常态化的阶段,企业面临着人员身份对接、应用资源安全管控、人员安全意识三大挑战。杨育斌表示,零信任目前到了由接受概念到广泛应用的爬坡阶段,这里面有很多技术应用的想象空间;从腾讯零信任在应用推广的过程中的经验来看,发现客户的诉求越来越多,且逐步呈现出由外到内、步入深水区的特点。
以金融行业为例,闵李金提到,零信任具备两大优势:一是零信任转变了网络安全防护的思维,提供了一个增强的安全机制,在新的架构和模式下,相对于传统安全而言,它的信任链条是环环相扣的,且动态防护能力更强、具备动态访问优势、资产管理也更为方便;二是金融行业属于强监管行业,分阶段地部署零信任可以更好地贴合自身情况去做规划。他认为,零信任在数据层和控制层的模型将会越来越完善,零信任和身份认证的重要性也将越来越强。
对于零信任技术发展的未来趋势,王伟则表示,“只有做好零信任安全底座,才能更好地建设数据安全。”从产业角度来看,在落地过程中零信任会有很多阵痛,会和应用做一些耦合;从攻防角度来看,零信任天然将应用分为To C、To B两个层面;此外,零信任的关键在于解决运维、成本、效率方面的问题,前景可期。
数字经济和实体经济的不断融合发展,催生了许多新产业、新模式,也对网络安全生态提出了新的要求。未来,CSA将与腾讯安全等行业伙伴,共同探索新型网络环境下零信任的落地和发展。