零信任技术是现代企业对未知威胁进行监测和防御的一种有效方式。“从不信任,始终验证”的零信任理念在经历了概念渗透、技术演进、架构验证、标准化之后,迅速推广并应用到网络安全的诸多细分领域。同时,我们也看到多家行业研究机构在推出零信任能力成熟度模型,为评估零信任产品/方案能力提供依据,这在一定程度上促进了不同领域零信任能力的落地。
为帮助甲方用户更好了解零信任网络构建的技术能力和建设方法,安全牛组织发起《现代企业零信任网络建设应用指南》报告研究,在2021、2022版零信任技术应用研究基础上,围绕零信任应用现状、网络构建的技术能力、产业能力开展调研,并从对当前国产零信任技术应用领域的代表性厂商进行了评估、收录和推荐。
关键发现
● 调研数据显示,超过85%的受访者表示企业有进行零信任网络建设的需求和计划,反映出当前企业主动实施零信任网络升级的需求逐渐强烈。但调研同时发现,我国企业在开展零信任建设的方式上仍较为保守。
● 50%以上的受访用户认为,目前构建零信任网络的各项基础能力已经较为成熟,而在2021年时,80%受访用户认为零信任处于概念热期有较大幅的提升。这一变化反映出,我国企业已经初步具备开展零信任网络应用的技术条件。而在开展零信任网络建设时,应重点围绕建设准备、架构选择、产品选择、能力评估、网络运营5个环节展开。
● 90%以上受访者表示,其在零信任网络建设中面临多种困难,而有超过65%的受访者表示,对零信任网络的持续运营能力存在不足。
●调研发现,近三年中,我国有近百家网络安全厂商推出零信任网络相关的产品和解决方案,但其中能够提供覆盖“云、网、端”完整零信任方案能力的厂商占比不到10%。
● 目前,我国安全厂商在零信任技术研发方面整体表现较好,而在产品化能力、方案应用能力表现方面相对欠缺,需要通过更多的实际项目建设实践积累完善。
● 零信任网络的核心能力要求非常清晰,与传统的网络安全能力并不冲突。企业在开展零信任建设前需要考虑到合规要求、能力替换和能力共享等因素,根据需求灵活选择合适的建设方法。
● 未来发展方面, ZTNA平台和生态能力将成为零信任安全厂商的核心竞争力;向云化、服务化转型将是零信任能力演进的重要趋势。
零信任网络建设必要性分析
1
常态化混合办公和业务混合部署带来的安全挑战
云计算、移动通信技术的广泛应用使员工办公环境和业务运行环境发生了变化,人、设备、应用都超出了传统局域网的范围,基于固定位置、网络、设备、权限的静态访问管理逐渐失效。企业需要人、设备、应用一体化的零信任网络防御方案来应对混合环境办公和业务访问带来的安全新问题。
2
新型网络攻击手段不断升级
利用网络攻击谋取利益的不法分子不断尝试新型攻击方式和手段,攻击组织化、武器化、平台化越来越明显,0day漏洞利用和提权访问变得更加常态化。这种新形势给网络安全带来了更多不确定性,未知风险变得与已知风险防御同样重要,企业必须及时更新网络安全防御的战略和思路。
3
国家间的网络对抗态势愈演愈烈
网络空间是陆、海、空、天后国家的第五大领土疆域,通过网络空间发起攻击已经成为国家冲突和对抗的新战场。在国防及国家关键基础设施单位全面启动零信任网络升级改造计划,保持网络空间安全对抗的优势,升级网络安全和数据安全安全的防御能力势在必行。
4
技术发展为零信任技术实践落地提供了基础
机器学习、大数据分析、人工智能等技术的快速演进,进一步促进了风险评估、信任评估、无密码认证技术的场景化应用。这些技术为零信任的产品化提供了重要支撑。
5
满足安全合规性要求
历时多年验证与发展,零信任技术已被正式纳进国家网络安全技术体系,获得行业监管机构的支持与认可。升级零信任网络将为合规建设奠定了更扎实的基础。
零信任网络建设系统架构
报告研究认为,零信任网络建设首先要从防护需求入手,基于支撑技术和安全管理全面化和系统化规划;其次,由于部分防护技术与传统访问控制技术重叠,建设中需要与传统安全能力融合,不能完全颠覆企业现有的安全架构。
结合我国等级保护要求和常见网络安全模型的构建方法论,安全牛在本次报告中,从风险管理、技术支撑、防护域3个方面设计了企业零信任网络建设的系统框架图。
零信任网络中的防护域主要指网络访问过程中参与风险管理的网络对象,是一组与网络安全访问相关的网络对象的集合。通常将拥有相同类属性的一组对象划分为一个防护域,典型的分为人、网络、设备、应用/工作负载、数据5个防护域。同一个防护域中对象可以有不同的安全等级,相同防护级别的一组对象可以实施统一的安全策略。
零信任网络建设关键能力
报告研究认为,完整的零信任网络需要围绕ZTNA构建身份安全、网络安全、设备安全、应用/工作负载安全、数据安全以及风险分析和可视化、事件响应、策略/设备管理共八个基础能力,才能真正实现传统网络向零信任网络升级。
零信任方案选型及厂商分析
多数企业用户在了解零信任架构、产品后,需要选择专业的安全厂商帮助完成零信任网络建设。在选择零信任方案及服务商时,安全牛建议从综合能力和方案能力两个维度进行评估。
在综合能力评估时,安全牛建议从厂商的品牌能力、技术能力、产品化能力、方案应用能力和服务能力5大维度,全面了解厂商在该细分领域能力发展的整体概况,特别是通过与行业发展的平均水准进行对比,了解该厂商方案在零信任技术领域的应用水平。
在方案能力评估时,主要进行技术符合性评估,评估指标一般体现为解决特定问题的关键技术能力,如场景适配性、技术、架构、产品/组件、指标特征等。安全牛建议可从零信任架构、ZTNA平台、生态覆盖能力三个方面进行评估。
在本次报告调研中,以安全牛年度《中国网络安全企业100强》和《中国网络安全行业全景图》研究成果为基础,对我国市场上主流零信任产品和解决方案厂商进行调研。报告认为当前我国零信任厂商的能力主要表现有如下3个特点 :
(1)当前国内零信任技术厂商的产品化表现参差不齐,多数产品、方案仍需要通过持续迭代来继续完善零信任访问能力,整体成熟度方面仍有较大可提升空间,零信任技术总体上仍处于落地应用的早期阶段;
(2)厂商类型分化较明显,由于技术背景与发展历程差异较大,各大厂商在零信任技术专长与覆盖能力表现方面各具所长;
(3)目前,我国安全厂商在零信任技术研发方面整体表现较好,而在产品化能力、方案应用能力还相对不足。
目前,《现代企业零信任网络建设应用指南》报告已经在安全牛商城上架预售,获取完整版本报告,请点击识别下方二维码:
相关阅读
如有侵权请联系:admin#unsafe.sh