专家对话零信任:零信任非万能药 需寻求适合我国国情的最佳实践

首页 / 业界 / 资讯 /  正文
作者:laos
来源:安全419
发布于:2021-12-30
2021年12月16日,由国家信息中心《信息安全研究》杂志社主办的2021网络安全创新发展高峰论坛在北京成功召开,在论坛举行期间,国家信息技术安全研究中心总师郭晓雷、北京数字认证股份有限公司董事长詹榜华以及北京芯盾时代科技有限公司创始人&CTO孙悦就零信任相关话题接受了媒体采访。围绕零信任理念在实际应用过程中的优势和不足、相关国家标准制定工作的进展、生物特征识别技术和密码技术之间的关系以及国内外零信任应用实践的不同之处等话题展开了交流。

安全建设中应用零信任的优势与不足
需借助经验去寻求更多适合我国国情的最佳实践


郭晓雷在接受采访时表示,零信任并不是一种新技术,而是在传统的架构基础上做的提升和迭代,从理念诞生发展到当下这个阶段,已经能够看到有一些实际的解决方案出来了。

国家信息技术安全研究中心总师郭晓雷

访问控制是数据资源的最后一道关口,从风险管理的视角,零信任理念相对于传统的防控机制上是有较大进步的,它以身份管理为技术支撑,针对每一次访问去做风险评估,随后依据访问控制的策略去判定并执行,这种方式至少可以有效地遏制对访问资源的误操作和恶意操作。

从攻击者的视角看,零信任这种理念的应用,无论是对资源的破坏还是窃取,都会令攻击成本大幅提升,对防范恶意攻击会起到不错的效果。

郭晓雷也坦言,正是因为零信任需要引入海量安全数据去针对风险做动态评估和决策,以及在执行点部署上的复杂性,导致其如果想要达到最理想的安全效果就必然会对资源消耗造成巨大的压力,因此要想解决好这个问题,就必须要在资源消耗和效果之间取得一个平衡。根据他的表述我们能够感受到,要想取得平衡那就意味着在效果方面要做出一些妥协,也许随着未来相关产品、解决方案以及算力的提升,这一问题也将会迎刃而解。

与此同时,零信任理念要想得到更好的应用进而实现高细粒度的访问控制,是需要建立在一个良好的数据分类分级和标识工作基础之上,如果缺少这个基础,那么对于资源的访问则只有开放或不开放的维度,因此,能不能将零信任应用做得好这将会是一个需克服的难点。

与前两点相比,郭晓雷提出的第三个不足更值得我们关注,那就是零信任具有较高复杂性,会导致产生一个更庞杂的系统,因此其自身安全性也会成为一个问题,相信企业在做相关安全实践时也会遇到一些新问题。

随后郭晓雷还指出,在NIST零信任架构SP800-207中提到了要关注全域的安全数据,但目前国内普遍更加关注于外部的威胁情报、事件及日志信息等,并将这些作为风险评估的依据。在他看来,这无疑是不够的,系统自身的漏洞和缺陷性也是需要重点持续关注的。

谈到建议,郭晓雷表示,一方面,零信任理念在安全建设中是值得借鉴的,但同时也要适应我国的国情,尤其是在我国自身已经拥有良好的信任体系基础,包括央企、国企等大型组织中,都有实现IAM身份管理和统一访问控制的基础及成功经验;另一方面我国信息技术和产品的差距需要正视,因此要广泛结合先进理念、技术的特点,去寻求更多适合我国国情的最佳实践,为各个行业和领域提供更丰富更有效的安全解决方案。

零信任相关国家标准制定进程正有序推进中
将有利于对正确认知零信任理念形成共识


谈到零信任相关标准化落地的工作方面,郭晓雷介绍到,目前零信任标准化研究报告已经完成,零信任相关的国家标准目前正在由全国信息安全标准化技术委员会鉴别与授权工作组(WG4)开展并推进。

他表示,从业界的角度看,很多人目前在对零信任这一理念的认知上仍有一些差异,而一些炒作行为更是提出了一些混淆视听的说辞,如零信任能够解决所有问题等这类以偏概全的论调,在这样的情况下,当前也确实急需一个零信任的框架,不仅可以达到以正视听的目的,更是可以帮助业内正确认识零信任理念并达成共识,在此基础上可以更好的寻求零信任的最佳实践和方法论。

信任的建立和管理成安全建设基础
“生物特征识别替代密码论”站不住脚


詹榜华表示,零信任是一种建立安全体系的策略和思路,在他看来,这一理念是将信任的建立和管理视为网络安全建设的基础。这意味着在网络安全建设所包含的众多方面之中,信任的建立和管理将起着一个基础性的作用,不再是以往的理解——认为只需要做好信任的建立和管理就把安全做好了,因而信任在整个安全体系中的作用和价值会大幅增加,同时,对它的要求也会增多。

北京数字认证股份有限公司董事长詹榜华

在生物识别概念相关技术不断涌现之后,有些人表示其在未来很有可能会替代密码技术,针对这一说法,作为密码行业资深人士的詹榜华则给出了明确的答案——这两者并非是一种简单的替代关系。

詹榜华指出,在《密码法》中,密码的作用是信息保护和安全认证,身份认证只是其中安全认证中的一个细分,而生物识别又仅是应用在这一领域中的技术之一,我们可以说在某个场景之下生物识别可以替换密码,但如果将视野放得更广,会看到密码技术所能支持的例如消息认证、行为认证等等,这些都是生物识别技术做不到的。因此,如果从整体的角度看,生物识别不可能会替代密码。

同时,詹榜华也表示,生物技术和密码技术相融合也会带来诸多好处,他以两者结合的FIDO(Fast IDentity Online)协议举例,生物识别技术在提供了便利性的同时,所面临的最大挑战就是隐私保护,在应用了FIDO后,用户可以通过生物识别技术快速地在手机上操作,但是在远程认证时,则应用的密码技术,在这样的场景下,则既可以实现生物特征识别技术所带来的便利性,同时也可以让自己的生物特征隐私得到了密码的安全保护。

由此可以看出,尽管在个别场景下可以通过便捷的生物特征识别技术来替换复杂的密码技术,但事实上生物识别技术从能力覆盖层面完全无法和密码技术同日而语,反而在某些特定场景下,通过和密码技术的融合,反倒能让生物特征识别技术变得更加安全和可靠。

合规需求并非全部 所有安全最终皆为业务服务
国内外零信任应用实践存两大不同


谈到今年下半年包括关键信息基础设施保护等相关政策的施行,对零信任理念相关的产品、技术应用等方面的影响时,来自芯盾时代的创始人、CEO孙悦表示,零信任这个话题之所以会这么热门,其主要原因在于在当前数字化进程的推进之下,各个行业的业务种类数量呈现出爆发性的增长,同时网络边界也变得愈加模糊,在这个边界逐渐被打开的过程中,也伴生了大量的安全风险。

北京芯盾时代科技有限公司创始人&CTO孙悦

孙悦在这里提到了一个具体的案例,那就是据芯盾时代的观察,传统To C的偏用户端的攻击形态,已经出现在了企业内网之中,比如撞库攻击、钓鱼攻击等,通过这种方式得到用户凭证后对企业发起攻击的行为已经成为现在一个较为常见的现象。据孙悦介绍,在他们为客户服务的过程中,已经发现了这些攻击形态被用在了VPN密码的窃取上,这意味着一旦此类安全问题发生了,那么企业重金打造的包括防火墙、IPS等外围的防御系统全部被攻击者绕过,直接进入内网,其后果的严重性可想而知。

随着相关法律法规的不断发布和施行、监管层面不断趋严的合规性驱动背景下,基于零信任理念的安全产品及一些新兴的安全产品都会迎来更广阔的发展机会和空间。

孙悦指出,芯盾时代长期坚持的核心观点是安全最终都是为业务服务的,合规性驱动只是安全行业发展的动力之一,但如果安全建设只是为了满足合规层面的要求,那么也不会有长足的生命力。相比之下,真正有生命力的驱动一定是来自于业务层面的需求,这一点在芯盾时代服务的众多客户中都有体现。

谈到零信任这一国外提出的理念在国内的具体实践同国外有何不同时,孙悦告诉我们,相比而言,这一不同点主要体现在几个方面。

首先是服务的客户方面,国外对零信任需求较高的客户主要集中在腰部,呈现出一种纺锤形的结构,这类客户对安全的诉求很强,相比之下,头部和下部的客户则相对均衡。在这种情况下,国外的零信任产品更多是以偏云化、SaaS化的形态为主,他们会愿意把安全的责任以一种商务形态转嫁出去,能够帮助他们更专业的解决安全问题。

反观国内,从安全产品采购来看,更多的还是以大型企业客户为主,而腰部客户普遍会将更多的精力放到业务发展层面,而不会将安全建设作为重点投入的对象,

其次是在产品的划分粒度方面,国外的粒度划分已经非常细,不同的零信任厂商所涉足的细分领域非常垂直,比如会有只专注做PAM的厂商、只专注做IGA的厂商等等,他们彼此之间还会保持一个相对稳定的生态平衡,彼此之间不会过于交叠,这同国内是有较大的区别的。

相比之下,国内安全产业发展过程中的整合速度要比国外快很多,如果长期坚持经营一个很窄的领域,恐难以满足客户全方位的解决方案需求,所以不少零信任厂商都会选择至少从几个不同的维度去帮助客户提供一个相对更加完整的解决方案。