2020年信息安全行业研究报告
导语
根据 Gartner 预测,2022 年将有 80%面向生态合作伙伴的新数字业务应用采用零信任网络访问。2023 年将有 60%的企业从远程访问VPN 向零信任网络架构转型。
来源:开源证券
1、 零信任是安全建设思路的转变
1.1 、 零信任诞生的背景:IT 无边界化
零信任的最早源自 2004 年成立的耶利哥论坛(Jericho Forum),其成立的使命是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010 年约翰·金德维格(John Kindervag)首次提出了零信任安全的概念,其核心思想是企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。历经十年发展,零信任安全理念在国外逐渐被广泛认知。
1.2 、 零信任的核心原则:从不信任、始终验证
根据NIST 的定义,零信任(Zero trust)提供了一系列概念和思想,旨在面对被视为受损的网络时,减少在信息系统和服务中执行准确的、权限最小的按请求访问决策时的不确定性。零信任架构(ZTA)是一种企业网络安全规划,它利用零信任概念,并囊括其组件关系、工作流规划与访问策略。因此,零信任企业作为零信任架构规划的产物,是指为企业准备的(物理和虚拟的)网络基础设施及操作策略。
与边界模型的“信任但验证”不同,零信任的核心原则是“从不信任、始终验证”。传统上机构(及一般企业网络)都专注于边界防御,授权主体可广泛访问内网资源。而根据Evan Gilman《Zero Trust Networks》书中所述,零信任网络建立在五个假设前提之下:1)应该始终假设网络充满威胁;2)外部和内部威胁每时每刻都充斥着网络;3)不能仅仅依靠网络位置来确认信任关系;4)所有设备、用户、网络流量都应该被认证和授权;5)访问控制策略应该动态地基于尽量多的数据源进行计算和评估。
1.3 、 实现零信任的三大技术路径:SDP、IAM、MSG
零信任是一种理念,而不是一种技术。因此,没有单一的产品或解决方案能够使企业独自实现零信任。但是,业内普遍认为软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)是实现零信任的三大技术路径。
软件定义边界(SDP)
软件定义边界(SDP)由云安全联盟(CSA)于 2013 年提出,用应用管理者可控的逻辑组件取代了物理设备,只有在设备证实和身份认证之后,SDP 才提供对认证基础设施的访问,SDP 使得应用所有者部署的边界可以保持传统模型中对于外部用户的不可见性和不可访问性,该边界可以部署在可以访问的任意位置,如网络上, 云中,托管中心中,私有企业网络上,或者同时部署在这些位置。
身份识别与访问管理(IAM)
身份识别与访问管理(IAM)具有单点登录、认证管理、基于策略的集中式授权以及审计、动态授权等功能。它决定了谁可以访问,如何进行访问,访问后可以执行哪些操作等。
微隔离技术
微隔离是细粒度更小的网络隔离技术,能够应对传统环境、虚拟化环境、混合云环境、容器环境下对于东西向流量隔离的需求,重点用于阻止攻击者进入企业数据中心网络内部后的横向平移。
1.4 、 零信任体系架构典型场景:远程办公、大数据中心、云安全平台
任何企业网络都可基于零信任原则进行设计。大多数组织的企业基础架构已经具备了零信任的某些要素,或者正在通过实施信息安全、弹性策略和最佳实践来实现零信任。目前比较典型的应用场景包括:远程办公、大数据中心、云安全平台等。
远程办公
在疫情的催化下,远程办公逐渐成为一种常态化的办公模式。常见的远程接入方式主要有两种:一种是通过端口映射将业务系统直接在公网上开放;二是使用 VPN 打通远程网络通道。然而这些手段基本上可以视为边界安全方案的单点增强,难以系统性环节远程办公带来的安全威胁。零信任安全架构针对远程办公场景,不再采用持续强化边界思维,不区分内外网,针对核心业务和数据资产,梳理访问这些资产的各种访问路径和场景,在人员、设备和业务之间构建一张虚拟的基于身份的边界,针对各种场景构建一体化的零信任动态访问控制体系。
大数据中心
目前大数据中心访问中东西向流量大幅度增加,而传统的安全产品基本都是南北向业务模型基础上进行研发设计的,在大数据中心内部部署使用时,出现诸如部署困难、运算开销太大,策略管理不灵活的问题。零信任架构通过微隔离等技术, 实现环境隔离、域间隔离、端到端隔离,根据环境变化自动调整策略。
云安全平台
网络安全形势日益严峻,企业内部使用微服务、容器编排和云计算资源池等技术架构导致云计算环境越来越复杂。企业可通过梳理云平台内部资源,建立微隔离机制,实现零信任安全架构。在通过分析内部人员的访问路径、外部人员访问通道、外部应用调用、外部数据服务平台对接通道等确定其暴露面以后,可部署相应访问代理,在可信访问控制台的控制下,基于微服务管理平台等建立动态的虚拟身份边界,并通过计算身份感知等安全信息分析平台数据,建立最小访问权限动态访问控制体系。
2、 海外零信任已走向规模化落地,商业模式较为成熟
零信任的重要性已被多数企业认知。根据咨询公司 Illumio 的最新企业调查,仅4%的人声称完全实施了零信任,但接近半数的企业已处于调研或试点阶段。
根据 Gartner 预测,2022 年将有 80%面向生态合作伙伴的新数字业务应用采用零信任网络访问。2023 年将有 60%的企业从远程访问VPN 向零信任网络架构转型。
2.1 、 海外零信任市场参与者众多,实现路径各有差异
海外零信任市场参与者较多。其中:1)谷歌、微软等业界巨头率先在企业内部实践零信任并推出完整解决方案;2)Duo、OKTA、Centrify、Ping Identity 推出“以身份为中心的零信任方案”;3)Cisco、Akamai、Symantec、VMware、F5 推出了偏重于网络实施方式的零信任方案;4)此外,还包括 Vidder、Cryptzone、Zsclar、Illumio 等初创公司。
2.2 、 SECaaS 成为海外零信任市场主流交付模式
安全即服务(SECaaS)一般指网络安全服务的云交付模型。与软件即服务(SaaS)非常相似,SECaaS 在由云提供商托管的订阅基础上提供安全服务。随着 IT 基础架构向云的迁移,安全模型不得不进行调整以保证信息系统的安全。安全即服务是这一趋势下的产物,意味着安全工具也正在向云转移。SECaaS 是使用第三方托管的基于云的软件来保证组织安全。通过减少本地服务器成本,访问许可费用和管理开销, 同时优化了 IT 组织安全工具集的总体拥有成本(TCO)。CSA 将 SECaaS 细分为十个子集类别:1)身份和访问管理;2)防止数据丢失;3)网络安全;4)电邮安全;5)安全评估;6)入侵管理;7)安全信息和事件管理;8)加密;9)业务连续性/ 灾难恢复;10)网络安全。
SECaaS 成为零信任主流的交付模式。现代企业环境正在不可避免地向云环境迁移,零信任关于网络不可信、不受控的假设,非常适合云环境部署。Gartner 估计, 超过 90%的客户更偏好于 SECaaS 模式。此外,第三种选择是采用云和本地访问代理的结合的方式,主要适用于应用程序的远程访问和本地访问需求兼有的企业。
3、 国内零信任市场仍处于探索阶段,有望实现高速增长
国内零信任市场仍处于探索阶段。一方面,随着“攻防演练”的常态化推进及更多企业的参与,减少暴露面及核心资产隐藏的急迫需求,已经使零信任架构成为“攻防演练”取得高分的利器之一。2018 年至今,中央部委、国家机关、中大型企业开始探索实践零信任安全架构。另一方面,零信任安全也引起了国家相关部门和业界的高度重视。工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见,零信任安全首次被列入网络安全需要突破的关键技术;中国信息通信研究院发布《中国网络安全产业白皮书(2019 年)》,首次将零信任安全技术和 5G、云安全等并列列为我国网络安全重点细分领域技术。
3.1 、 国内零信任产品开始涌现,重在探究与原有业务的结合
3.1.1 、 腾讯:国内最早落地零信任安全架构的探索者之一
腾讯从 2015 年开始自主设计、研发并在内部实践落地了一套零信任安全管理系统-腾讯 iOA。基于按需、动态的实时访问控制策略,腾讯 iOA 实现了身份安全可信、设备安全可信、应用进程可信、链路保护与加速优化等多种功能,能够满足无边界办公/运维、混合云业务、分支安全接入、应用数据安全调用、统一身份与业务集中管控、全球链路加速访问等六大场景的动态访问控制需求,为企业达到无边界的最小权限安全访问控制,实现安全管理升级提供一站式的零信任安全方案。同时针对远程办公场景痛点,可助力打造员工无论位于何处(Anywhere)、何时(Anytime)使用何设备(Any device)都可安全地访问授权资源以处理任何业务(Any work)的新型“4A 办公”。
腾讯 iOA 在实现内部安全保障的同时,也实现了能力外溢。在腾讯内部,腾讯iOA 保障了 7 万员工和 10 万台终端远程办公的安全,在满足基本办公需求基础上, 实现了 OA 站点和内部系统、开发运维、登录跳板机等的远程无差别访问,为全网员工打造全尺寸安全工作环境。同时,腾讯 iOA 也是“腾讯级”安全能力对外开放的良好实践,目前已在政府、金融、医疗、交通等多个行业领域应用落地,基于零信任安全实践,推动产业安全管理效率与水准升级。疫情期间在线教育需求高涨, 为满足猿辅导在线教育 3.5 万内部员工面向 4 亿用户的办公需求,腾讯 iOA 为猿辅导打造了兼具云端业务与员工终端安全高效连接和快速扩容安全响应的一站式零信任安全体系,实现业务安全和办公效率双重提升。
2020 年 9 月,腾讯安全基于零信任架构打造的新一代全场景安全接入方案——SDP(软件定义边界)正式发布。通过 T-Sec SDP 隐身网关、单包授权协议(SPA)及动态端口使业务应用在互联网上“隐身”,最大程度减少被攻击面;遵循“零信任” 安全理念,任何连接均需要先认证后接入,基于身份及设备信息提供持续可信认证, 保护企业免受多种网络威胁及黑客技术侵害,防止企业网络被攻破。
3.1.2 、 阿里云:全资收购九州云腾,构建云上零信任体系
阿里云全资收购身份认证即服务公司九州云腾。2019 年 10 月,阿里云全资收购九州云腾,九州云腾是国内最早提供商业化(IDaaS)身份认证即服务的公司,拥有丰富的场景化解决方案。阿里云收购九州云腾,既能基于云原生建设整个身份认证管理体系,衍生出混合云多应用场景下的身份治理方案,还能打通“身份认证”与云产品、云安全产品,为企业零信任安全架构奠定更高基础。
3.1.3 、 深信服:推出精益信任 aTrust 安全架构,获得用户认可
深信服精益信任 aTrust 安全架构在零信任的基础上做了增强,通过信任和风险的反馈控制,实现“精确而足够”的信任。同时,精益信任 aTrust 安全架构下,终端、边界、外网的已有安全设备可以基于信任和风险的闭环进行联动,形成自主调优、快速处置的统一安全架构。深信服精益信任 aTrust 安全架构主要由全面身份化、多源信任评估、动态访问控制、统一安全、可成长等五点组成。
3.1.4 、 奇安信:零信任解决方案已经在部委、央企、金融等行业进行广泛落地实施
奇安信集团作为国内领先的零信任架构的践行者,拥有专注“零信任身份安全架构”研究的专业实验室—— 奇安信身份安全实验室,团队以“零信任安全,新身份边界”为核心理念,推出以“以身份为基石、业务安全访问、持续信任评估和总台访问控制”为四大关键能力的解决方案。奇安信零信任解决方案主要包括:奇安信 TrustAccess 动态可信访问控制平台、奇安信 TrustID 智能可信身份平台、奇安信ID智能手机令牌、及各种终端Agent 组成。
奇安信零信任身份安全解决方案覆盖了政企行业用户的典型应用场景,如业务访问场景、数据交换场景和服务网格场景等,适用于政府、部委、金融、能源、央企、其他大型组织与企业。以零信任安全架构方案在大数据中心应用为例,奇安信零信任安全解决方案在某头部客户的大数据中心已大规模持续稳定运行超过半年, 通过零信任安全接入区,覆盖应用达到 60 多个,用户终端超过 1 万,每天的应用访问次数超过 200 万次,数据流量超过 600G,有效保证了相关大型组织对大数据中心的安全。
3.1.5 、 绿盟科技:拥抱零信任理念,重构安全体系架构
绿盟科技零信任安全解决方案,遵循零信任安全理念,组合终端安全,身份识别与管理,网络安全,应用和数据安全,安全分析协作与响应等模块,构建以用户信任和设备信任为基础,持续评估访问过程的行为可信,自适应访问控制的零信任安全架构。
零信任网络安全解决方案实际部署时,在原有的网络安全基础上,增加零信任安全组件,实现零信任网络访问控制。
3.1.6 、 启明星辰:已推出启明星辰零信任管控平台
启明星辰认为零信任首先关注于数据保护,但可以扩展到包括所有的企业资产, 例如设备、基础设施、用户。零信任安全模型假设网络上已经存在攻击者,并且企业内网和其他网络没有任何不同,不再默认内网是可信的。在这种新模式中,企业必须连续分析和评估其内部资产和业务功能所面临的风险,然后采取措施减轻这些风险。在零信任状态下,这些保护通常涉及对资源的最小化授权访问,仅提供给那些被识别为需要访问的用户和资产,并且每个访问请求持续进行身份和权限验证。
启明星辰零信任安全体系以“四横三纵”为主要逻辑框架。其中四横包含:外部生态系统;零信任管控平台;可信访问控制服务;策略执行组件。三纵包含:用户端;安全访问通道;资源端。其中,零信任管控平台包含身份管理、认证管理、权限管理和审计管理 4 个模块,是整个零信任安全体系的智慧大脑。
3.1.7 、 芯盾时代:引领零信任安全风向的创新型企业
芯盾时代从零信任安全出发,“安全+AI”赋能,为客户提供场景化的业务安全解决方案。芯盾时代创立于 2015 年,基于信息安全、人工智能、身份认证等多维技术驱动,依托于坚实的企业服务能力,目前已拥有具有自主知识产权的多因素认证、统一身份管理、人工智能反欺诈、零信任安全等 4 个产品系列。芯盾时代已为政府、金融、互联网、运营商等行业提供了数十种业务安全解决方案,覆盖金融账户及交易安全、企业用户安全管理、智能风控反欺诈、用户和实体行为分析等领域,已有近千家客户选择芯盾时代的产品和服务,并获得商业成功。
3.2 、 国内零信任交付模式仍以解决方案为主,长期有望向 SECaaS 转变
国内已经有很多企业将零信任理念付诸实践,大多零信任产品交付模式上仍以解决方案为主,当然也有包括缔盟云在内的少数企业开始尝试 SECaaS 的交付模式。国内外差异的形成主要原因在于:一是国内外信息化发展阶段不同,海外的云计算发展比国内要成熟得多,由云提供商托管的订阅基础上提供安全服务的模式也得到广泛接受。二是国内网络安全发展甚至落后于信息化发展,很多政企主动安全意识弱,更愿意接受解决方案安全建设模式。从更长的时间维度来看,随着我国信息化建设水平提升,安全意识增强,零信任交付模式也有望逐渐向 SECaaS 转变。
3.3 、 长期来看,国内零信任市场规模有望达百亿
全球零信任占整体安全市场规模比例有望在 2024 年达到 15% 。根据MarketsandMarkets 的报告,全球零信任安全市场规模预计将从 2019 年的 156 亿美元增长到 2024 年的 386 亿美元,从 2019 年到 2024 年的复合年增长率为 19.9%。而在其另一份报告中预测,到 2023 年全球网络安全市场规模将达 2482.6 亿美元。因此, 据此可以估算全球零信任占整体安全市场规模比例有望在 2024 年达到 15%。
中性假设下,到 2024 年国内零信任市场规模有望达百亿人民币。1)根据 IDC最新预测,2020 年中国网络安全市场总体支出将达到 78.9 亿美元,预计 2024 年将达到 167.2 亿美元,2020-2024 年均复合增长率为 18.7%。2)到 2024 年,假设乐观、中性、悲观条件下,国内零信任占整体安全市场规模比例分别为 5%、10%、15%, 所对应市场规模分别为 8.36 亿、16.7 亿、25.1 亿美元。
为便于研究人员查找相关行业研究报告,特将2018年以来各期文章汇总。欢迎点击下面红色字体查阅!
文琳编辑
今日导读:点击下面链接可查阅
公众号 :文琳行业研究
文琳行研报告,为各机构提供专业的信息、数据、研究和咨询服务。欢迎关注【文琳行业研究】
《文琳资讯》每日提供最新信息。欢迎关注
今日导读:点击下面链接可查阅
《文琳阅读》每晚经典,欢迎关注!
今日导读:点击下面链接可查阅
公众号 :就业与创业