如果要挑选2020年年度安全热词,相信“零信任安全”一定会是首选之一。
零信任安全(Zero Trust),是2010年由咨询公司 Forrester 的分析师约翰·金德维格提出的安全理念,其本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。对于零信任安全理念来说,2017年是第一个分水岭,当年Google基于零信任安全的BeyondCorp项目取得成功,验证了零信任安全在大型网络场景下的可行性,业界也开始跟进和开展零信任安全实践。
而特殊如2020年,由于疫情的爆发,客户方对远程办公中安全问题的重视,零信任安全理念也迎来第二个分水岭——无论是大大小小的峰会话题,还是多家和零信任理念挂钩的企业不断获得融资,这些现象都证明它已经被加速认知。在这个时点上,我们也和一些企业就此话题进行了交流,「数篷科技」是其中的一家。
36氪此前曾对「数篷科技」进行过报道,该公司成立于2018年,主要为企业提供基于轻量可信计算和零信任理念的下一代网络安全架构解决方案。其曾于今年年初完成时代资本,基石资本、松禾资本领投及老股东经纬中国跟投的1300万美元A轮融资。公司现有产品包括零信任终端安全工作空间(DACS)、零信任应用访问网关DAAG,同时还在今年9月发布了HyperCloak®(凌界)增强型零信任安全框架。
其中,零信任终端安全工作空间(DACS)产品采用新一代安全沙箱技术,将零信任架构由访问控制提升至数据安全级别,帮助企业实现对敏感数据的访问控制及隔离管控,可替代 VDI、DLP、IDV、VPN 等传统产品和技术。零信任应用访问网关(DAAG)是基于零信任架构的细粒度应用访问控制网关,可以帮助企业解决多业务系统的统一身份认证和权限管理问题,实现从互联网安全访问内部业务系统,快速、低成本地升级到零信任标准架构。
而HyperCloak®(凌界)增强型零信任安全框架,意在优化以Google BeyondCorp为代表的ZTNA(Zero-Trust Network Access)零信任安全框架在数据安全、协议支持和实施困难等方面的不足;同时,开放了相应的安全能力和SDK,可以与企业、行业现有产品深度协作,共同推动企业IT网络安全基础设施升级和数字化转型。
在「数篷科技」创始人刘超看来,“零信任”是一种理念和思想,除了“永不信任、持续验证”的特征,还包含许多基础架构方向的技术。市场中有诸多零信任厂商推出了各自的产品,但解决的问题侧重点以及深度各不相同。不过不可否认,零信任市场整体还在早期,看到谷歌升级零信任架构用了五年时间,很多人也有零信任架构升级改造的成本过高、周期过长的顾虑。或许更合适的方式是,“从更底层的基础架构做起,可以实现低成本、免改造和灵活的升级和部署方式。”刘超认为。
以下是对话部分(经36氪编辑):
36氪:今年大家对零信任讨论的非常多,作为一家专注于零信任的公司,您觉得热度为什么是在今年爆发?
刘超:我觉得零信任也不是今年开始火,从2019年开始国内一些创业比赛里就涌现出了许多号称零信任的公司。要提到今年的特殊意义,疫情其实起到了推波助澜的作用。本质上是因为现在企业的运营环境和原来不太一样了,很多企业的网络和外界互联,移动办公以及跨组织的协作需求越来越多了,如VPN等方案暴露出的安全问题,也促使大家寻求一种新的解决方案。
36氪:零信任虽然是一种理念,不过观察到当前大家对里面的一些技术,比如IAM、SDP和微隔离等提的非常多,您怎么看这一现象?
刘超:零信任本质上是要解决企业在开放网络环境下,让合法的人和应用得到合理的授权,同时保护企业数字资产安全的问题。其中的 IAM、SDP、微隔离还有AI决策引擎等等很多模块,都是构成整个零信任安全框架的一部分。如果单独拿一项出来,都可以称之为零信任产品,比如零信任身份、零信任网络访问、零信任工作负载等等,但每个产品解决的问题是不同的,不具有完全的可比性。
36氪:单个技术都是单点突破,不过看到数篷前段时间也发布了HyperCloak®(凌界)增强型零信任安全框架,这一框架的意义或许有解决方案的考量?
刘超:现在有Gartner提出的ZTNA(Zero-Trust Network Access)框架,美国国家标准技术与标准研究院的零信任安全架构,Google的BeyondCorp安全框架等,而HyperCloak®(凌界)零信任安全框架优化弥补了以Google BeyondCorp为代表的ZTNA零信任安全框架在数据安全、协议支持和实施困难等方面的不足,还能够和其他的企业、行业的产品融合,可以说比其他框架要更进一步,更能适应数据安全和易于部署的需求,更适合中国企业的现状。
36氪:更进一步具体体现在?
刘超:体现在三个方面。首先,我们不仅解决零信任的访问接入和认证问题,还解决了在节点上的数据安全问题。第二,我们支持的协议比业界传统的要广,让客户在部署和实施的时候比较容易。有很多客户讲零信任很困难,实施周期很长,老系统的改造成本很高,我觉得通过我们对更多协议的支持,可以让用户方在具体实施上感受到便利。第三,我们覆盖的场景比较多。ZTNA其实重点着眼于企业远程办公、替代VPN这个方面,HyperCloak®(凌界)横跨了企业办公到云计算再到边缘计算场景,对企业来讲其实是更全面解决方案。
36氪:现在大家谈到零信任,一个问题是说客户在使用零信任产品的时经常会觉得改造成本高,您觉得产生这种现象的原因是什么?
刘超:我觉得基于两点,第一就是雾里看花,可能有些人没实际做过这个技术,之前是通过理论研究、报道等去了解,就会下一个结论说零信任很复杂、改造成本高。第二,和解决问题的视角、技术实现方法有关。
以谷歌的实践来看,它到2017年才完成了零信任架构的升级,大概实施了5年时间,所以大家印象中会觉得谷歌的技术能力这么强,还花了这么多时间,那么零信任可能天然就要花很多时间和成本。但为什么谷歌要花5年的时间去改造?因为谷歌内部有自己的一套机制,比如各个应用系统之间应该怎么通信,这种机制是基于应用层的,要做零信任改造,意味着各个业务系统都得改造。在应用系统都得改造的情况下,当然会对时间和成本产生高要求。我觉得我们在国内可以参考别人的思想,但不能照搬别人的做法,还是要结合国内用户的实际情况,比如从更底层去做,减轻零信任架构的改造成本。
36氪:现在零信任安全入局者也非常多,如果要给正“雾里看花”的客户建议,您觉得一个客户要做好零信任选型需要注意哪些方面?
刘超:最根本的一点,客户要想清楚自己想解决什么问题,这是衡量结果的标准。第二点,零信任解决方案都是靠软件来实现的,和用户的业务密切相关,所以技术指标、技术能力其实是一个非常重要的判断标准。可以通过POC测试找到最佳的解决方案。
36氪:根据您的回答,是否会存在一些客户天然更适合做零信任改造?
刘超:最主要的是客户有没有需求。客户要清晰自己整个公司的安全策略和网络架构,自己能够想明白要达成什么目的。
36氪:如果一些厂商之前为客户深度服务过,应该会更好推这类产品。面对这类竞争,数篷有压力吗?
刘超:对客户更了解肯定是优势,但从本质上来讲,数篷做的东西相当于零信任的基础架构解决方案,就像网络交换机、网络路由器和网线,这些通用的东西和使用者什么类型公司没有关系。企业对客户业务的熟悉,并不能在产品上产生直接的竞争优势。
数篷科技的产品具备一定独特性。我们是从基础架构的角度来看这个问题和设计产品的。我们过往的工作经验就是做大规模分布式系统,对HyperCloak零信任安全框架相关的模块都是松耦合的,扩展性比较好;客户可以用数篷原生的程序,也可以提供API调用或者SDK嵌入。我们可以根据企业的实际情况来做特定的解决方案,调整自己的部署架构来适应客户的情况,而不是让客户改造自己的系统来适应产品。同时,数篷科技的产品还可以和企业现有的安全产品融合,让企业更平滑地升级。另外,数篷不向客户售卖零信任的概念,客户可能要解决远程办公的问题,可能解决源代码泄露的问题,可能要解决研发效率不高的问题,可能要解决数据保护的问题,我们把客户的业务需求作为切入点,大家的接受程度就会比较高。因为他们衡量的不是零信任,而是衡量你有没有帮他很好地解决这些问题。
36氪:现在零信任在安全圈里谈的非常多,不过在客户端应该还处于一个需要市场教育的阶段,您觉得大概多久这件事就会在市场中走向成熟?
刘超:市场教育肯定还是需要的。你得让技术人员理解这种方案的优势在哪里,这个方面我觉得还是需要过程的。也幸好业界大家都在谈论这个概念和技术,零信任毕竟现在还处于膨胀期,在未来的2~5年会成为一种主流方案。而且,零信任安全框架相关的产品还在不断完善的过程中,把技术创新做好、产品做扎实才是最根本的。
来源:freebuf.com 2020-10-28 16:40:06 by: DataCloak
请登录后发表评论
注册