文章來源于:朋湖網(wǎng)
從“信任但驗(yàn)證”策略到“從不信任,始終驗(yàn)證”的轉(zhuǎn)變,毋庸置疑,零信任安全的時(shí)代已經(jīng)到來。
識(shí)別二維碼,加入直播社和群 發(fā)的
在被譽(yù)為80年代最出色的警匪片《鐵面無私》中,肖恩·康納利所扮演的一名老練警察在為凱文·科斯特納扮演的新手官員指點(diǎn)迷津時(shí)曾提到,這個(gè)世界教給我們的第一課是:不要相信任何人。
這句話亦適用于如今的網(wǎng)絡(luò)安全世界。在云端和移動(dòng)端的重要性越發(fā)凸顯的當(dāng)下,傳統(tǒng)邊界已變得模糊,數(shù)據(jù)無處不有,威脅也無處不在。
當(dāng)入侵者能夠輕而易舉通過黑客攻擊和防火墻漏洞進(jìn)入基于邊界的安全系統(tǒng)時(shí),曾經(jīng)流行的“城堡/護(hù)城河”方法便顯得力不從心起來。
于是,人們一邊高喊著:“不要相信任何人”,一邊高舉起秉持著“永不信任、持續(xù)驗(yàn)證”策略的“零信任安全”旗幟。
他們堅(jiān)信,在零信任安全網(wǎng)絡(luò)中,沒有人能獲得免費(fèi)通行證,即使身處網(wǎng)絡(luò)邊界內(nèi)也不例外。
近日,朋湖網(wǎng)專訪了國(guó)內(nèi)零信任廠商派拉軟件副總經(jīng)理李廣兵,在回溯派拉軟件過往的發(fā)展迭代歷程中,他告訴朋湖網(wǎng),決定企業(yè)生命線長(zhǎng)度的,在于被市場(chǎng)“拋棄”之前先完成自我革新,跟上時(shí)代的步伐。
自2008年成立以來,從統(tǒng)一身份認(rèn)證管理平臺(tái)到以身份為中心的零信任安全體系再到一體化零信任安全解決方案,派拉軟件似乎將“自我革新”深深刻進(jìn)了其DNA中,而不斷的創(chuàng)新與變革也為其贏得了市場(chǎng)的回應(yīng),如今派拉軟件已積累了上千家客戶,覆蓋政府、央國(guó)企、金融、汽車、制造業(yè)、醫(yī)療/醫(yī)藥、房地產(chǎn)及教育行業(yè)等各個(gè)領(lǐng)域。
01
明者窮則思變、因時(shí)而變:從身份認(rèn)證到零信任
有這么一則故事:
傳說中古時(shí)候有一種動(dòng)物叫做梧鼠,它能利用腹側(cè)的膜做短距離的飛行,但卻連房子也飛不過去;它會(huì)爬樹,卻爬不高,連樹頂都爬不上去;它也能游泳,卻連小河溝也游不過去;它也會(huì)挖洞,卻挖不成能藏自己的洞穴;它也會(huì)奔跑,卻跑不過其它的動(dòng)物,連人都能輕易地追上它。
《荀子·勸學(xué)》言:“螣蛇無足而飛,梧鼠五技而窮。”盡管它身懷五種技能,但最終還是能被老鷹輕易地抓到。
對(duì)于派拉軟件而言,在剛成立的那幾年,所面臨的境遇似乎與上則故事略有相似。當(dāng)時(shí),
派拉軟件主要業(yè)務(wù)方向聚焦在了技術(shù)與咨詢服務(wù)方面,上云服務(wù)、安全認(rèn)證服務(wù)、性能管理......什么都會(huì)一點(diǎn)兒,什么路好像都可以走通,但卻沒有一條能夠看得長(zhǎng)遠(yuǎn)的路。
博而不精,結(jié)果只會(huì)是梧鼠之技。“我們決心還是要‘專注’,專注一個(gè)賽道,去做精、做深、做大。”李廣兵表示,在經(jīng)過了前幾年的打磨后,2012年開始,派拉軟件便將精力專注在了身份安全領(lǐng)域。
身份安全要做什么?在Gartner的定義中,身份安全,主要是為了確保主體能夠安全地訪問相應(yīng)資源。
在此之中,用戶需要先經(jīng)過身份認(rèn)證系統(tǒng)識(shí)別身份,才能進(jìn)入訪問控制器。訪問控制器依據(jù)用戶的身份和授權(quán)數(shù)據(jù)決定用戶是否能夠訪問某個(gè)資源。
可以說,身份認(rèn)證技術(shù)是構(gòu)建網(wǎng)絡(luò)安全體系的第一關(guān),是名副其實(shí)的“門禁”,也是網(wǎng)絡(luò)安全的基石所在。
“隨著國(guó)內(nèi)數(shù)字化的飛速發(fā)展尤其是作為一個(gè)人口大國(guó),身份安全的市場(chǎng)空間和重要作用都不容小覷。”李廣兵講道。
而彼時(shí),國(guó)內(nèi)的網(wǎng)絡(luò)安全的方向還主要集中于如防火墻、入侵檢測(cè)等方面的安全硬件的研發(fā)上,出于對(duì)“基于‘邊界’的安全訪問機(jī)制未來可能會(huì)被打破”的判斷,加之身份安全市場(chǎng)還是一片新藍(lán)海,派拉軟件便開始了對(duì)身份安全的專注。
在“專注”之下,憑借著扎實(shí)的技術(shù)積累,派拉軟件贏得了一批又一批客戶的信任,公司也駛?cè)肓税l(fā)展的快車道。
同時(shí),“專注”也為派拉軟件帶來了更多發(fā)展的可能性。2016年,伴隨著云計(jì)算、移動(dòng)互聯(lián)、物聯(lián)網(wǎng)等新興技術(shù)的發(fā)展,數(shù)字經(jīng)濟(jì)的到來,用戶的數(shù)據(jù)也變得越來越多,派拉軟件便順勢(shì)而為,開始拓展另一條業(yè)務(wù)線,即數(shù)據(jù)安全,“但派拉軟件不做傳統(tǒng)數(shù)據(jù)庫(kù)管理,而是與身份認(rèn)證安全管理緊密結(jié)合起來,去對(duì)數(shù)據(jù)進(jìn)行安全訪問管理。”李廣兵表示。
與此同時(shí),派拉軟件也將大數(shù)據(jù)、AI等技術(shù)應(yīng)用到身份安全產(chǎn)品當(dāng)中,打造了新一代的統(tǒng)一身份認(rèn)證管理平臺(tái),并有所延伸至應(yīng)用安全領(lǐng)域。
這是第一次革新,在身份安全與數(shù)據(jù)安全、應(yīng)用安全三管齊下下,派拉軟件的生命線得以拓寬;而第二次革新,派拉軟件將目光瞄準(zhǔn)了零信任。
2020年,在疫情的影響下,遠(yuǎn)程辦公成為了大多數(shù)企業(yè)的選擇,但同時(shí),企業(yè)的安全邊界也愈發(fā)模糊,基于邊界的安全防護(hù)體系正在瓦解。
正如中國(guó)通信院發(fā)布的《數(shù)字化時(shí)代零信任安全藍(lán)皮報(bào)告》指出,數(shù)字化轉(zhuǎn)型浪潮下,企業(yè)傳統(tǒng)安全架構(gòu)面臨三大挑戰(zhàn):一是上云、應(yīng)用架構(gòu)升級(jí)等技術(shù)轉(zhuǎn)型帶來新的安全風(fēng)險(xiǎn);二是工作空間和供應(yīng)鏈協(xié)同的數(shù)字化引入更多的安全隱患;三是新零售、物聯(lián)網(wǎng)等產(chǎn)品服務(wù)創(chuàng)新面臨多樣的安全威脅。
如何在受限于遠(yuǎn)程和多種非企業(yè)設(shè)備終端的情況下,保護(hù)企業(yè)數(shù)據(jù)的訪問安全和合規(guī)使用?
基于零信任理念的安全架構(gòu)成為其中一種解決方案,“永不信任,持續(xù)驗(yàn)證”的零信任讓安全邊界變得無所不在,也最大限度地保證了資源的被可信訪問。
與此同時(shí),零信任安全也得到了更多的關(guān)注,業(yè)內(nèi)對(duì)其愈發(fā)重視起來。2019年,工信部公開征求對(duì)《關(guān)于促進(jìn)網(wǎng)絡(luò)安全產(chǎn)業(yè)發(fā)展的指導(dǎo)意見(征求意見稿)》中,零信任安全首次被列入網(wǎng)絡(luò)安全需要突破的關(guān)鍵技術(shù)。
同年,中國(guó)信息通信研究院發(fā)布的《中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)白皮書(2019年)》中,更是首次將零信任安全技術(shù)和5G、云安全等并列列為我國(guó)網(wǎng)絡(luò)安全重點(diǎn)細(xì)分領(lǐng)域技術(shù)。
風(fēng)口之下,何不作為?于是,派拉軟件圍繞著零信任進(jìn)行了一系列生態(tài)產(chǎn)品的開發(fā),構(gòu)建了基于零信任理念的安全架構(gòu)治理體系,為企業(yè)提供涵蓋終端、訪問通道到云端的全場(chǎng)景數(shù)字身份治理解決方案,同時(shí)為用戶、應(yīng)用、數(shù)據(jù)提供全面的安全保障機(jī)制。
“從傳統(tǒng)身份安全轉(zhuǎn)向零信任身份安全,一方面是出于外部網(wǎng)絡(luò)環(huán)境及企業(yè)安全需求的變化,另一方面也是派拉軟件有著良好的轉(zhuǎn)型基礎(chǔ)。”李廣兵表示,零信任安全的本質(zhì)是以身份為中心進(jìn)行動(dòng)態(tài)訪問控制,而派拉軟件在身份安全領(lǐng)域已積累了十多年,基礎(chǔ)扎實(shí),也具備著天然的優(yōu)勢(shì),零信任安全的應(yīng)用場(chǎng)景能夠全覆蓋認(rèn)證的全鏈路,即“人”的身份治理、“物”的身份治理、“服務(wù)”的身份治理、以及“數(shù)據(jù)”的身份治理。
《周易·系辭》下有言:“易窮則變,變則通,通則久。”
從傳統(tǒng)身份安全廠商轉(zhuǎn)向零信任身份安全廠商的十多年間,派拉軟件始終牢記于心的是:窮則思變、因時(shí)而變。
而變?yōu)楦镄?、新則思進(jìn)。
02
達(dá)者變?yōu)楦镄?、新則思進(jìn):走向一體化零信任安全
“我剛進(jìn)入網(wǎng)絡(luò)安全行業(yè)的時(shí)候,大家講到安全基本上就是防火墻、殺毒軟件等,但現(xiàn)在來看,企業(yè)面臨的網(wǎng)絡(luò)安全威脅種類變得越多了,勒索軟件、網(wǎng)絡(luò)釣魚和有針對(duì)性的攻擊數(shù)量每年都在增加。”李廣兵講道。
“對(duì)于網(wǎng)絡(luò)安全廠商而言,技術(shù)的不斷研發(fā)創(chuàng)新固然重要,但更多需要思考的地方在于:如何在解決安全的前提下,保證產(chǎn)品使用的便捷性。”他強(qiáng)調(diào)。
“因?yàn)槊媾R的網(wǎng)絡(luò)安全威脅種類變多了,一家網(wǎng)絡(luò)安全廠商很難解決企業(yè)的所有安全問題,但要是讓企業(yè)堆上十來個(gè)管理平臺(tái)或系統(tǒng),對(duì)其網(wǎng)絡(luò)安全的運(yùn)營(yíng)能力是一個(gè)極大的挑戰(zhàn),到時(shí)候雖然安全了,但后續(xù)的運(yùn)維卻增加了不少負(fù)擔(dān)。”
為了滿足企業(yè)更多樣化的安全需求,并保證產(chǎn)品的便捷性,派拉軟件決定做一體化的解決方案。
在一年多零信任安全實(shí)踐的基礎(chǔ)上,派拉軟件不斷豐富完善零信任產(chǎn)品矩陣,并以身份為核心,推出了一體化端到端零信任解決方案。
具體來說,就是將零信任安全能力從IAM延伸到終端安全、SDP、細(xì)粒度授權(quán)、安全網(wǎng)關(guān)、用戶行為分析、數(shù)據(jù)訪問安全等領(lǐng)域,同時(shí)可支持遠(yuǎn)程辦公、移動(dòng)設(shè)備接入、遠(yuǎn)程運(yùn)維、互聯(lián)網(wǎng)業(yè)務(wù)訪問等多種復(fù)雜的應(yīng)用場(chǎng)景。通過基于持續(xù)動(dòng)態(tài)的風(fēng)險(xiǎn)評(píng)估策略進(jìn)行訪問控制,以助力企業(yè)構(gòu)建體系化的端到端的安全防護(hù)能力。
“在不斷創(chuàng)新的路上,我們一直在思考產(chǎn)品如何能更進(jìn)一步。”李廣兵講道,產(chǎn)品競(jìng)爭(zhēng)優(yōu)勢(shì)就在于跟客戶更進(jìn)一步,也就是貼近客戶需求,客戶的痛點(diǎn)在于端到端的安全防護(hù)能力,那企業(yè)就需要通過不斷的自主研發(fā)創(chuàng)新去解決客戶的問題。
03
寫在最后
以前,我們信任著城堡和護(hù)城河的安全方法:城堡/護(hù)城河外部,即網(wǎng)絡(luò)外部的每個(gè)人都是“壞的”,里面的每個(gè)人都是“好的”。
但如今,城堡與護(hù)城河已不復(fù)存在,工作場(chǎng)所已然發(fā)生了天翻地覆的變化,人們的工作空間不再拘泥于辦公室。云的興起改變了一切,帶來了便捷性的同時(shí)也瓦解了網(wǎng)絡(luò)邊界。
正如城堡和護(hù)城河已成為過去一樣,傳統(tǒng)的“城堡和護(hù)城河”的安全方法也逐漸被時(shí)代所拋棄。
從“信任但驗(yàn)證”策略到“從不信任,始終驗(yàn)證”的轉(zhuǎn)變,毋庸置疑,零信任安全的時(shí)代已經(jīng)到來。
在時(shí)代的洪流中,派拉軟件唯一能做的事,即終日乾乾,與時(shí)偕行