零信任以基础设施身份改变认知 未来高度取决于AI加持与用例扩展

首页 / 业界 / 报告 /  正文
作者:闫小川
发布于:2023-08-04
零信任已成为一套完整且成熟的框架型安全解决方案,对外保护业务,对内保护数据,技术应用展现出极强的融合拓展能力。这是零信任历经多年发展我们给予的定义,企业需要为不断复杂的数字化业务找到一种合理且能够顺利落地的框架型解决方案,零信任技术无疑是最佳选择之一。
 
日前,基于市场上29家零信任头部供应商的系统调研,研究咨询公司Forrester发布《零信任平台前景,2023年第二季度》报告,报告总结了最新的零信任定义、价值、成熟度、市场动态、差异化能力,以及当前零信任核心用例等,报告对于甲方需求企业、零信任商业实践企业均具有借鉴意义。



零信任发展关键词:平台化发展、为客户减负、市场成熟度高……
 
根据这份报告的说法,过去供应商将许多零信任功能作为独立的产品交付,现在他们在落地实践过程中通过持续研发、收购实现了更多能力上的集成,从而让零信任平台化发展,其目的将不仅仅落地零信任核心原则和基础功能,更是在于帮助实现零信任实践所需的整体认知和流程上的更改。
 
Forrester对零信任平台的定义:
 
“核心安全技术的统一产品,作为其他安全工具、应用程序或流程可用于启用信息安全零信任模型的基础。这些平台跨七个零信任域提供各种功能:数据、工作负载、网络、用户、设备、自动化和编排以及可见性和分析。零信任平台包括来自单个供应商产品组合的集成产品和第三方供应商的技术集成,以形成零信任技术生态系统。”
 
这也是人们常说的零信任不是技术,而是理念,理念的落地不应该是一种产品,而是一种全新的安全模型和框架,其将通过自身的零信任基础能力和扩展能力,支撑起全面的框架性零信任落地实践。报告就指出,零信任平台将通过整合工具,帮助组织增强用户体验、简化部署、集中管理并实现成果。
 
可见,零信任将成为企业信息系统的基础设施,既能实现本身能力的交付,同时也能集成第三方工具实现能力扩展。
 
谈及商业价值时报告着重强调了一点,零信任不是现有企业的附加工具,其将以本机方式或通过集成组合关键的零信任功能,以提供对供应商解决方案的集中管理和/或来自第三方解决方案的集中报告。对于甲方需求企业而言,加速零信任转型将有助于以下几点分别是统一不同的安全工具、跨混合业务和运营模式应用有效的安全控制、使基本功能与行业框架保持一致。
 
总体而言,这将为需求企业全面减负网络安全,其一表现为零信任架构的建立将缓解“供应商蔓延”问题,解决企业现有安全产品功能性重叠,但又无法实现对等价值交付等问题,零信任平台将在一个统一的解决方案中结合多种功能,降低部署和配置管理等复杂问题,并通过对数字化时代跨域业务保护、运营模式上的改变提供精细控制。最后是合规遵循问题,零信任是一种行业公认的模型,采用率不断提高,其发展路径与法律合规保持一致,这将有助于客户全面地跨域合规遵循。
 
报告指出,零信任于 2010 年代中期首次出现,自该理念市场化以来,零信任供应商不断增加其功能性,通常是自主研发,同时兼顾并购和合作来不断夯实平台能力,以提供多种零信任功能。通过多年的发展,零信任平台已经成为一个成熟的市场,其表现为基本功能越来越强,比如要支持企业的向云扩展和多云战略,人工智能和机器学习的进步当前也在持续提高零信任更好的响应能力和自动化能力。而作为一种模型框架,其不足的能力则可以通过与友商建立战略合作关系来解决,或本身平台持更加开放的态度。
 
零信任的落地实践如何选型?结合以上发展趋势就能够得到答案。报告就从主要趋势、主要挑战、顶级颠覆三个维度进行了解释。
 
结合市场分析其重点在于零信任平台自身功能强大的同时需与当前部署的技术相集成,这反映为客户无需大规模的技术改造的产品替换。主要挑战在于客户的预算支出是否能够为复杂的环境在部署零信任之后匹配熟练的安全管理人员,妥协的做法当然是阶段性部署,而有的供应商做法是为客户提供一定上的托管服务。同时人工智能是个好东西,作为顶级颠覆技术将为客户创造更多价值并压缩运营成本,能够更好利用AI技术的零信任供应商将占据未来市场主导地位。
 
为方便企业落地实践零信任,报告还给出了客户视角上的零信任核心用例及扩展用例,该部分内容也值得零信任供应商在未来持续扩展其零信任解决方案的延展方向。
 
核心用例包含:启用和保护混合(任何地方)员工、监控和保护整个企业的网络流量、防止未经授权的活动的横向移动、对所有实体强制实施最低权限,以及集中管理关键安全控制。以上核心能力主要由零信任平台供应商自身解决。
 
扩展用例包含简化解决方案采购和集成、识别未修补/配置错误的系统、实施以数据为中心的动态控制、扩展和增强对企业资产的可见性,以及增强跨分布式企业的分段。除了核心用例之外以上扩展用例是客户希望解决的部分,但零信任平台供应商现阶段并不具备全面的扩展用例集成。以入选报告的唯一国内零信任平台供应商为例,腾讯安全零信任平台的扩展用例仅在扩展和增强对企业资产的可见性有所体现。
 
显然,零信任平台市场中的供应商应不断扩展用例范围,以适应动态和不断发展的企业基础架构,即扩展零信任作为框架性解决方案的能力外延,以满足超出预期用例和基础架构环境的增长需求。