腾讯牵头的业内首部《零信任系统技术规范》正式发布 – 作者:腾讯安全

图片[1]-腾讯牵头的业内首部《零信任系统技术规范》正式发布 – 作者:腾讯安全-安全小百科

企业数字化转型,业务上云使传统基于边界防护的网络安全架构难以适应新环境。疫情时期,远程协同办公让企业切实体验了提高效率、开源节流的同时,也增加了内部数据资源的网络暴露面和工作传输环境的复杂性,更容易遭遇不法分子的高级持续性威胁,提升了企业网络安全的管理难度,零信任安全理念开始受到行业关注。

但由于方案设计、技术实现、测试评估、实际部署等阶段暂时缺乏统一和准确的指导,给零信任的落地发展造成了阻碍。行业亟需建立具有前瞻性并达成共识的技术标准。

2020年6月24日,腾讯联合零信任领域多家权威产学研用机构共同成立国内首个“零信任产业标准工作组”。经过近一年的讨论研究,2021年6月30日,由腾讯安全牵头起草,联合公安部第三研究所、国家计算机网络应急技术处理协调中心、中国移动设计院等业内16家零信任厂商、测评机构及用户编制的中国第一部《零信任系统技术规范》(下面简称《规范》)正式发布。图片[2]-腾讯牵头的业内首部《零信任系统技术规范》正式发布 – 作者:腾讯安全-安全小百科

图片[3]-腾讯牵头的业内首部《零信任系统技术规范》正式发布 – 作者:腾讯安全-安全小百科

(《零信任系统技术规范》)

《规范》规定了零信任系统用户在“访问资源”和“服务之间调用”两种场景下,应有的功能及性能技术要求和相应的测试方法,包括逻辑架构、认证、访问授权管理、传输安全、安全审计、自身安全等方面。适用于零信任系统的设计、技术开发和测试,让“零信任”行业拥有了标准化技术规范,为所有安全厂商的服务、质量、发展提供了坚实的基础和方向指引。

《规范》不但填补了国内在零信任领域的技术标准空白,也在产业技术的发展升级、改善品质服务、降低部署成本等层面,提供了极具操作性的指导意义和参考标准。

图片[4]-腾讯牵头的业内首部《零信任系统技术规范》正式发布 – 作者:腾讯安全-安全小百科

(测试环境典型示意图)

一、零信任的应用场景

零信任在所有需要对资源访问进行安全防护的场景都可以使用,主要场景分为两类,一类是站在发起方,用户访问资源的场景,指的是用户访问内部资源时,如何验证用户是可信的, 如何确保访问来源终端可信,如何确认拥有访问资源权限。

另外一类是站在服务方,即服务资源之间如何安全的互相访问。但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定。

二、用户访问资源场景技术要求

用户访问资源场景下,主要包括四个逻辑组件:访问主体,零信任网关,零信任控制中心和访问客体。其中访问主体为资源访问发起方,零信任网关提供对来访请求的转发和拦截功能,零信任控制中心提供对来访请求的认证和持续访问控制功能,访问客体提供被访问的资源。

另外,系统还可以通过联动接口,与身份认证、安全分析、入侵检测方面的其他系统进行对接。

图片[5]-腾讯牵头的业内首部《零信任系统技术规范》正式发布 – 作者:腾讯安全-安全小百科

(用户访问资源场景逻辑架构图)

三、服务之间访问场景技术要求

服务之间访问场景下,主要包含两个逻辑组件:策略控制点和策略执行点。策略控制点负责鉴权和授权判断,并提供业务流的可视化能力;策略执行点用于执行访问控制决策,允许/拒绝通信或进行协商加密;有时也会将工作负载的相关信息同步给安全控制中心,从而辅助其进行决策。

策略执行点有两种形态:一是部署在工作负载上的服务端代理,另一种是运行在网络上的网关。

图片[6]-腾讯牵头的业内首部《零信任系统技术规范》正式发布 – 作者:腾讯安全-安全小百科

(服务之间访问场景逻辑架构图)

此外,《规范》还对“用户访问资源”和“服务之间访问”场景下,应有的功能、系统自身安全、性能、部署、容灾技术要求以及测试方法进行了具体解读。

图片[7]-腾讯牵头的业内首部《零信任系统技术规范》正式发布 – 作者:腾讯安全-安全小百科

(测试环境典型示意图)

《零信任系统技术规范》毫无疑问是国内零信任发展的一块里程碑,而达成这一重要阶段性成果,背后离不开腾讯安全对零信任安全理念标准化建设的积极推动。

  • 2019年7月,由腾讯牵头的“零信任安全技术参考框架”获CCSA行业标准立项;

  • 2019年9月,腾讯牵头的《服务访问过程持续安全指南》零信任ITU国际标准正式立项,实现了国内在零信任领域国际标准的突破;

  • 2020年6月,腾讯联合业界多家权威产学研用机构,在产业互联网发展联盟下成立国内首个零信任产业标准工作组;

  • 2020年8月,工作组在业界率先发布《零信任实战白皮书》;

  • 2020年10月,工作组发起零信任产品兼容性互认证计划,促进不同厂商间零信任相关产品的兼容性和互联互通;

  • 2020年11月,工作组推动“零信任系统技术规范”联盟标准研制工作。

作为国内最早践行零信任的企业,腾讯一直以来非常注重通过标准化的方式,推动零信任安全理念在国内落地。并在内部实践落地零信任网络架构、自研零信任iOA系统。

未来,腾讯安全将继续以自身技术和实践经验为基础,协同生态伙伴共同促进零信任产业规模化发展,为零信任在各行业领域的落地提供参考和支撑,助力网络安全的健康发展。

点击【零信任系统技术规范】,即可下载全文。

来源:freebuf.com 2021-07-12 14:07:04 by: 腾讯安全

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论