零信任(Zero Trust,ZT)的概念最早由研究机构Forrester的首席分析师John Kindervag在2010年提出,其核心思想认为,默认情况下不应该信任网络内部和外部的任何人、设备或系统,需要基于认证和授权重构访问控制的信任基础。
零信任架构(ZTA)是一个演进式的框架,与多项安全技术相关联,在美国国家标准与技术研究院NIST发布的《SP800-207:Zero Trust Architecture》标准中,首次提出目前实现零信任架构的三大支撑技术“SIM”,即软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)。
作为网络无边界化趋势下的一种新安全理念,受数字化转型和新冠疫情的进一步催化,零信任逐渐成为全球网络安全发展的重要趋势。根据市场调查咨询公司MarketsandMarket的数据,全球零信任安全市场规模预计将从2020年的196亿美元增长到2026年的516亿美元,从2020年到2026年的复合年增长率为17.4%。
在国内,2019年9月,工信部发布《关于促进网络安全产业发展的指导意见(征求意见稿)》,首次将“零信任安全”列入需要“着力突破的网络安全关键技术”。2021年7月发布的《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》中,“零信任”作为“发展创新安全技术”之一被列为产业供给强化行动的重要任务。
目前,国内零信任市场的发展进入了快速成长期,参与者较多:一批具备零信任相关技术背景的安全厂商(如VPN、IAM)正快速转型升级;众多初创厂商基于自身的产品基因在不同的零信任赛道发展;同时,平台型综合安全大厂通过自研或集成的方式布局相关产品线;亦有互联网巨头率先在内部尝试实践并推出解决方案。更多的甲方企业正在从漠视、观望走向认同、建设零信任的道路,与此同时也面临着老旧应用改造难度大、用户使用习惯需要改变、成本问题等等一系列挑战。
需要明确的是,虽然关注度颇高、市场反响良好,但零信任不是网络安全的“银弹”,网络安全没有“银弹”,零信任只是适用于眼下及可预见的未来IT架构演进趋势和威胁进化趋势下的一种安全方法论,而威胁、安全与需求永远处于动态之中,安全建设也将追求安全、效率和成本的平衡。并且,部署零信任是一个循序渐进的过程,虽然处于高速上升期,但市场整体仍处在由技术理念、产品概念向方案落地的早期阶段,各类产品竞相涌现、百家争鸣,这一理念真正落地、产生价值需要经受住商业化的考验,打造为好用、易用、完整的解决方案也尚在进程之中。
安全419面向国内市场中我们目前所接触并了解到的涉足零信任领域的安全厂商,通过对这些厂商的零信任相关产品/解决方案的功能与业务情况进行调研,基于自身的理解来择优推荐其中具有代表性的部分优秀厂商,为业界和大众理解、实施零信任架构提供一定的参考。(以下推荐不涉及排名,按公司名称首字母排序)
推荐厂商一:持安科技
厂商介绍:北京持安科技有限公司(以下简称“持安科技”)是一家专注在零信任安全领域的初创企业,目前研发推出了持安零信任安全平台,以身份为中心为企业或组织员工提供对业务应用的安全访问,具备统一身份治理、多因素认证、终端安全、安全访问、SSO和统一门户、网络安全准入、数据可视化、全链路审计等功能。
推荐理由:GoogleBeyondCorp项目的成功验证了零信任在大型网络场景下的可行性和有效性,其作为零信任发展历程中的重要标杆性事件,推动零信任真正从概念走向落地。持安科技创始人何艺作为前完美世界安全总监,源于整合集团安全架构与IT环境、主动防御APT攻击的诉求,从2015年起基于Google的经验开始研究零信任,并用四年时间在集团内完整落地和闭环,最终覆盖近万名员工、2万台终端、800+应用,实现了无感安全办公和整体性主动防御,是国内最早一批在大型甲方企业中自研并成功应用零信任的主导者。
持安科技的产品和服务脱胎于完美世界时期积淀的安全思维和技术能力,是GoogleBeyondCorp项目架构的有力实践范本,如今打造为更广泛的行业零信任解决方案,基于长期的甲方安全建设经验,持安科技擅长跳脱安全从更高维视角洞察企业需求,深谙基于业务逻辑的安全运营经验,形成了独特的差异化优势:
第一,原生零信任架构。其产品在设计时将零信任定位为基础安全架构,从0构建安全平台,具备安全和高效的处理性能、弹性的扩展能力以及通过微服务构建的模块化架构,以适应长期发展。
第二,无感知持续安全能力。支持多种部署方式,以轻量化、非侵入式的方式部署并融入到用户IT基础架构中,以用户无感方式,提供从身份到终端、再到业务的全链路、全场景的零信任解决方案,持续保护企业数字资产。
第三,安全超融合。除了零信任的默认不可信、实时动态鉴权、信任链机制外,还融入了十多年甲方安全对抗场景下的安全能力,并且可以融合企业已有安全产品,如IAM系统、MFA、SOC/SIEM等,实现产品之间强强联合,发挥最大安全效能。充分利用企业已投入的安全资源,保障企业安全投资回报率。
除了提供零信任安全解决方案,持安科技也将自身的应用经验转化为一站式零信任服务能力,提供从咨询、到实施、到运营、到评估的全流程服务。具体包括基于落地场景的零信任战略规划设计;按阶段快速低成本实现零信任部署;站在甲方视角结合内部风险,以目标为导向的零信任持续运营服务;通过红蓝对抗方式对零信任防护能力进行验证。
推荐厂商二:派拉软件
厂商介绍:上海派拉软件股份有限公司(以下简称“派拉软件”)成立于2008年,是国内最早一批从事身份安全领域的厂商,依托零信任“以身份为中心进行动态访问控制”的思想,结合公司十余年聚焦数字身份管理的实践经验,有力支撑其业务向零信任领域延伸。公司于2015年组建大数据团队,2017年布局AI算法团队,2019年落地API网关产品,为拥抱零信任先遣布局,并于2020年推出零信任身份安全解决方案,覆盖内部员工身份治理(2E)、外部合作伙伴身份治理(2P)、C端客户身份治理(2C)、API身份治理(2API)、IoT身份治理(2IoT)、云身份治理、特权身份管理。
推荐理由:经过一年多的零信任身份安全实践,派拉软件的产品矩阵正不断完善,目前以“一体化零信任安全”为战略方向,从以身份为中心的动态访问控制,逐步延伸到联动终端管理、SDP、微隔离、动态授权、API网关、用户行为分析等为一体的端到端零信任安全解决方案,实现多身份源的统一、可信终端管控以及不同网络访问场景的安全管控,助力企业应对更加复杂、多变的内外部安全威胁,为企业构建端到端的安全防护能力。其技术与市场竞争力表现在:
第一,提供全场景的数字身份治理。派拉软件表示,其不仅是国内最早专注于身份安全领域,也是国内最早将持续自适应、SDP、微隔离等前沿技术导入身份管理产品的研发与实践中的安全厂商。技术积累与实践经验丰富,融合微服务、人工智能、大数据等技术,其一体化零信任安全架构融合企业内外所有的身份体系,为所有身份访问之间的校验提供基础,支持远程办公、移动设备接入、远程运维、企业分支接入、互联网业务访问、跨互联网业务协助、动态风险分析与预估等复杂的应用场景。
第二,一体化思想打造为更完整的零信任体系。派拉软件强调的一体化建设,以身份为中心,还包括零信任的SDP网关、Web网关、API网关、运维网关以及后端的数据安全、访问安全等,与权限中心、持续认证中心和用户行为分析等产品,共同组成派拉软件一体化零信任安全的产品能力和服务能力,可为用户提供更完整、更成熟的零信任安全体系。
第三,拥有前后端完整配套的落地能力。身份管理是一个包含咨询+产品+实施的综合性工程,并非一种产品一键部署后随即获得的能力。对于用户来说,需要在梳理清楚内部、分支及供应链组织架构和身份账号后,基于业务流程作出管理规范与安全提升,产品的应用将作为一种工具手段来实现身份治理的目标,涉及诸多模块和步骤。派拉软件通过整合多产品模块和行业经验,结合其比较突出的咨询能力和服务能力,确保更全面地帮助用户落地零信任安全实践。
推荐厂商三:蔷薇灵动
厂商介绍:北京蔷薇灵动科技有限公司(以下简称“蔷薇灵动”)成立于2017年,其宣称是国内第一家仅聚焦在自适应微隔离技术研究的网络安全企业,目前自主研发了蔷薇灵动蜂巢自适应微隔离安全平台,对数据中心的内部流量进行全面精细的可视化分析和细粒度的安全策略管理,快速便捷地实现环境隔离、域间隔离以及端到端隔离,构建数据中心内部零信任。
推荐理由:蔷薇灵动核心团队在创业之前曾就职于国内老牌安全大厂,负责主导下一代防火墙产品的研发与推广,凭借对云计算的理解和对防火墙技术的长期研究,其认为随着内部网络架构从传统IT架构向虚拟化、混合云和容器化升级变迁,在规模庞大、业务关系复杂、变化极快的云环境中,微隔离将作为防火墙的颠覆者成为云内虚拟化网络安全的基础组件。虽然都是零信任领域的实践者,蔷薇灵动由于技术方向选择与应用场景的区分度,其优势可见一斑:
第一,为用户带来难以替代的高价值。微隔离阻止攻击者在内网横向移动,极大减少数据中心内部威胁;基于软件定义的隔离能力,让安全同样敏捷可控,缩短业务交付时间;显著减少东西通信时所需的跳变,简化网络流量,提升业务应用性能;高度自动化和可编排能力大幅减少运维成本。
第二,拥有良好的市场验证。微隔离技术特性决定其需求场景是数据中心多、业务复杂、具有混合架构的大型企业的内部网络系统环境,目前蔷薇灵动用户已覆盖政府、金融、军工、能源、运营商等多领域,产品在中石化、中石油、中海油、国能集团、北京大数据中心等头部客户核心场景得到成功运用,是国内面向企业级市场屈指可数的可以为超大规模网络架构交付微隔离方案的供应商。
第三,应用场景贴合现代IT架构演进的趋势,前景广阔。除了提供超大规模网络内部安全管理解决方案,其还打造了多个场景化的解决方案:混合架构统一安全管理解决方案将不同架构下的数据平面、策略平面打通进行统一管理,策略可以作用在不同的云平台之间,跨平台的访问可以被有效识别和管理;容器隔离解决方案采用宿主机代理模式,将容器成功接入其管理中心,不仅能识别容器网络,绘制容器之间、宿主机与容器间的业务拓扑,还可以进行安全策略配置,保证网络安全和业务优化;DevSecOps安全开发解决方案通过策略配置保证每台机器上的策略都是恰当有效的,有助于用户做好研发侧的安全,将安全左移。
推荐厂商四:腾讯安全
厂商介绍:腾讯从2016年开始探索研究零信任,自主设计和研发了腾讯零信任安全管理系统iOA,可控制对企业公有云、私有云以及本地资源的访问权限,基于终端安全、身份安全、应用安全、链路安全等核心能力,对终端访问过程进行持续的权限控制和安全保护,确保对企业资源的可信访问,助力企业降低内网办公、远程办公、云上办公等不同业务场景风险。
推荐理由:腾讯基于自身IT建设过程中遇到的多样化终端接入、多职场协作、抵御职业黑客攻击等特殊安全需求,于2016年自研并实施零信任架构,腾讯iOA最终经过集团7万员工和10万台服务终端的验证,尤其在2020年疫情期间,作为统一工作门户入口支撑了全网员工的工作。据其复盘统计,腾讯iOA将员工身份验证效率提升了90%,最大承载流量较以往提升了20倍,较好平衡了远程办公安全与效率的问题。结合内部实践经验,腾讯iOA形成了一套完整的零信任安全解决方案,并通过开放生态能力协助金融、医疗、政务、教育等多个领域客户实现远程办公安全防护,已在慧择保险、中交建设集团、招商局集团、宝安区政府、四川人民医院等客户成功应用。其技术亮点在于:
第一,一体化建设满足从单一场景到复杂解决方案的客户需求。方案将权限管控、终端安全等能力集成于统一控制平面,避免多客户端、多管理端等问题。产品自由组合,利用统一控制平面,既能够提供一体化零信任安全解决方案,又能够根据企业规划可模块化拆分,支持企业信息化建设。
第二,多版本适配不同业务场景。KA版采用集群部署形式,支持按规划逐步建设终端安全、应用安全、无边界接入、设备准入等能力,满足大型企业全方位的零信任安全体系建设需求。轻量版聚焦于提供核心的安全接入能力,适用于中小型企业的远程办公、远程运维等业务场景。SaaS版提供安全接入数据中心(本地、单云、混合云)的解决方案,企业客户通过iOA云控制台一键部署分钟级交付,实现对数据中心访问权限管理。并且支持对接企业微信,安全快捷访问公司内部应用。
第三,根据客户需求补齐管控类功能的支持。通过终端安全、身份安全、链路安全与零信任策略中心联动构建完整的零信任办公体系,对业务访问的整个过程进行持续的权限控制和安全检查,实现终端在任意网络环境中安全、稳定、高效的访问企业资源。
作为国内较早践行零信任的企业,腾讯一直注重通过标准化的方式,推动零信任理念的落地及商用。其联合业界多家权威机构编制了中国第一部《零信任系统技术规范》,填补了国内在零信任领域的技术标准空白,也在产业技术的发展升级、改善品质服务、降低部署成本等层面提供了具有操作性的指导意义和参考标准。近期,由腾讯牵头提报的全球首个零信任国际标准《服务访问过程持续保护指南》也得以发布,推动了零信任理念由“持续验证”向“持续保护”内涵的升级,也意味着腾讯等企业探索及应用零信任的最佳实践,正成为全行业可复制的参考样本。
第三,
推荐厂商五:易安联
厂商简介绍:江苏易安联网络技术有限公司(以下简称“易安联”)成立于2017年,是国内较早布局零信任解决方案的网络安全企业,以应用访问安全为核心,先后发布了EnSDP(零信任安界防护平台)、EnCASB(零信任云应用安全接入平台)、EnAPI(零信任数据交换网关)、EnIAM(零信任身份管理平台)、EnBox(零信任安全工作空间)、EnFast(国际电子资源加速系统)6款产品。具备异常行为智能分析、动态信任权限评估、内部应用安全引流、网络隐身、MFA认证、统一策略管理等核心技术,实现细粒度访问权限控制、用户动态评级授权、业务应用安全发布、服务生命周期管理、用户行为全流程可视化追踪审计,已构建全方位的应用访问安全防护体系。
推荐理由:易安联拥有VPN技术基因,在成立初期围绕云的应用访问安全方向进入云安全市场,属于国内较早落地CASB(云访问安全代理)理念的提供商。在意识到解决「云」上的安全访问并不够,还需要在「端」上做接入控制后,易安联于2018年将CASB框架全面升级为零信任战略。其零信任安全框架基于SDP软件框架模型,同时根据安全策略,依赖数据、计算、网络层面的隔离技术,在用户端上实现个人空间和工作空间隔离,确保组织数据安全和网络安全统一入口。通过代理网关,解决应用服务隔离,缩小网络攻击面,并实现基于请求的策略控制。当前,SDP市场反馈良好同时竞争激烈,立于其中的易安联逐渐树立的壁垒在于:
第一,all in 零信任。传统安全公司转型零信任往往存在业务结构冲突,易安联自成立之初就主导全面零信任化,在未来应用零信任化、传统安全产品零信任化的趋势下,发展会更加没有束缚。截至目前,其已获得零信任相关发明专利9项、在申请专利10余项、软件著作权70余项,建立4大虚拟实验室,参与零信任SDP相关专业文献贡献10余篇,全面推动产学研发展。
第二,产品成熟度较高,先发优势明显。从SSL VPN到CASB再到SDP,易安联一直围绕应用访问安全领域在发力,其对于零信任的认知理解、技术能力积累较同类厂商更深。据悉,易安联每年研发支出占比约60%,通过对EnSDP客户端、应用网关、控制中心的不断技术升级和产品迭代,使其在业内处于领先水平。
第三,产品适用范围广泛,落地实践经验丰富。易安联一直以客户视角搭建零信任产品矩阵,以EnSDP为基石实现了针对远程接入、统一门户、HW行动、数据交换、身份管理等不同场景下的解决方案,也推出了面向大型企业、运营商、教育、政府等的行业解决方案。为中国移动苏州研发中心、奇瑞汽车、中国核工业建设股份有限公司、南京大学、南京航空航天大学等百余家客户提供了云端防护和安全接入服务。