备受关注的“零信任”安全概念再次迎来了发展的里程碑。最近,国际电信标准组织ITU-T腾讯牵头提交的正式对外发布《Guidelines for continuous protection of the service access process》(《服务访问过程持续保护指南》)。本标准重点分析了服务访问过程中的安全威胁,规定了检测异常访问活动的安全保护措施和服务访问过程的安全要求,促进了零信任的内涵“持续验证”向“持续保护”升级。
这一标准也是世界上第一个零信任领域的国际标准。它不仅代表了中国零信任的创新实践和技术范式进入全球视野,而且进一步推动零信任理念在更多领域扎根,成为护航行业数字化的基石。
ITU-T发布的零信任标准《Guidelines for continuous protection of the service access process》
云计算、大数据、5G、在物联网等技术的推动下,IT远程办公和移动办公不再像过去那样有明确的边界已经成为常态。这使得基于防火墙的传统物理边界防御方法不再适用,而是基于IT零信任安全概念在无边界化趋势下的兴起已成为《纽约时报》的趋势。自2010年零信任概念诞生以来,世界各地的许多机构和企业都开始探索这一概念的内涵,并推动它的实施。根据市场研究机构MarketsandMarkets 报告显示,全球零信任安全市场规模预计将从2019年的156亿美元增加到2024年的386亿美元。
然而,零信任的概念在实施中仍然面临着许多困难。由于行业制造商基于自己的技术研发和实践经验,缺乏共同的话语体系,零信任推广的道路面临着巨大的阻力。面对市场秩序的混乱和缺乏技术标准,通过标准手段建立生态系统对指导行业技术发展和企业开展零信任实践具有很强的参考意义和参考价值。
作为第一个零信任领域的国际标准,《服务访问过程持续保护指南》详细定义了标准的实施范围和零信任相关概念的定义,深入分析了服务访问过程中的安全威胁,详细解释了服务访问过程的安全要求和参考框架,并根据典型的零信任应用场景进行了多维分析。
该标准的成功发布促进了零信任概念的创新“持续验证”向“持续保护”内涵升级。与传统相比。“持续验证,永不信任”控制身份认证和资源访问的技术理念,ITU-T零信任标准的范围延伸到“事前、事中、事后”全过程全要素安全保护。“持续保护”具体来说,包括不断加强所有相关对象的安全(如用户、设备、资源、网络等),检测不安全实体、不安全行为和动态执行授权决策和响应威胁,以最大限度地降低访问过程中的风险。
例如,在远程工作场景、多云服务场景、服务器与服务器之间的通信三个典型应用场景中,“持续保护”使用户可以使用访问控制策略来管理不同的云资源,而无需维护多个访问接口,也可以避免分布式拒绝服务(DDoS)各种类型的网络攻击,如攻击。“持续保护”它有许多优点,包括帮助做出更准确的授权决策,减少服务器的攻击面,考虑更好的用户体验和更强的安全性。
本标准的发布充分体现了中国在零信任领域的探索和实践。2019年,腾讯将联合国家互联网应急中心(CNCERT)、中国移动通信集团设计院等零信任领域的同行共同申报了零信任国际标准。经过200多名全球专家的严格审查,三年后成功通过了不断更新和抛光的标准。这是新一代企业网络安全体系背景下中国网络安全解决方案走向世界舞台的缩影。
标准的通过也意味着腾讯等企业探索和应用零信任的最佳实践正成为整个行业可复制的参考样本。腾讯作为该标准的领导者,自2016年以来率先在公司内部实施零信任安全解决方案。2020年疫情期间,腾讯基于多年实战验证打造的腾讯零信任iOA该系统安全满足腾讯7万员工和10万终端的远程办公需求,完全支持各种办公场景,包括内部网络访问、远程办公、云资源访问、合作和子公司工作场所合作办公,为腾讯的整体工作场所管理和运营提供安全和技术支持。
腾讯iOA以持续访问控制为核心,围绕身份安全、设备安全、应用安全、安全状态动态调整访问权限,为关键对象的整个生命周期提供安全保护。目前,腾讯iOA已成功应用于政务、医疗、交通、金融等行业,支持数百万终端设备的安全接入。同时,系统支持SaaS化和私有化模式部署交付,满足远程办公/运维、混合云业务、分支安全接入、应用数据安全调用、统一身份与业务集中管控、全球链路加速访问等多个场景的动态访问控制需求,并通过模块化思路完美解决企业多样化安全需求,成功护航企业安全。
标准化的过程也是生态建设的过程。《服务访问过程持续保护指南》的发布对促进全球零信任技术的商业过程具有重要意义。未来,腾讯安全将继续充分发挥其在零信任领域的技术优势和实践经验,与生态合作伙伴合作,共同促进零信任产业的大规模发展,更好地护送产业互联网的发展。