若要挑选2020年安全行业热词,相信“零信任安全”一定是首选之一。 这一名词乍听之下不易理解,不过顾名思义,零信任指的是一种“从不信任、永远验证”的安全理念。也就是说,当过去以内外网分隔为主的安全体系随着员工办公习惯、数据流通方式改变等原因渐渐过时,能灵活、实时判定访问请求的安全理念当然更契合如今现状。 对“零信任安全理念”来说,2017年是一个明显的分水岭,当年Google基于零信任安全的BeyondCorp项目取得成功,验证了零信任安全在大型网络场景下的可行性,业界也开始跟进零信任实践。 而特殊如2020年,由于疫情的爆发,远程办公中的安全问题得到重视,零信任安全理念也迎来新的分水岭。在企业端,目前市面上至少有50家公司声称在开展零信任业务;投资圈也闻风而动,今年至少有8家和零信任理念挂钩的企业获得融资。 今年获得融资的零信任相关厂商(据36氪不完全统计,部分数据来自天眼查) 零信任理念被加速认知已是不争事实,或许是时候对这一领域进行深度剖析。在本文中,我们将重点讨论以下话题: 零信任的概念、价值; 从技术角度拆分的市场参与者; 行业当前的机遇与风险; 参与者的竞合关系。 相信通过对零信任的梳理,未来安全世界的一角也会得以揭示。 一. 当我们谈论零信任,我们在谈些什么? 1.前世今生 即使今年才开始大热,但零信任其实并不是新鲜词汇。 零信任理念,雏形最早源于2004年成立的耶哥论坛(Jericho Forum),其成立的目的是寻求网络无边界化趋势下的全新安全架构及解决方案。 到2010年,咨询公司 Forrester 的分析师约翰·金德维格将这一理念进行了更细化的拆分——金德维格认为,零信任本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。 在产业端,随着谷歌等公司在零信任上的进展,2019-2020年,NIST在5个月内连续发布两版《零信任架构》标准草案,意味着零信任正向标准化进展。 零信任概念演进历程图 来源:中国信通院 从出现到追捧,零信任已走过十余年时间。那么,为什么是现在? 这和近年来企业的业务、IT基础设施变化相关。过去,传统的安全防护基于边界,企业安全防护模式是构建一个内网,通过物理隔离或VPN等设施保证“内部安全区”。 今时情况不同往日: 首先,IT边界被打破。云计算、边缘计算等技术普及,加之大数据与AI的广泛应用,让数据流动与计算环境都发生了显著变化,IT边界变得越来越模糊。 并且,当前企业上下游伙伴和内部员工增多,用户访问请求更加复杂,成企业对用户过分授权的情况也更普遍。 疫情推波助澜,当多地协同办公、远程办公成为新常态,过去的办公习惯也被打破。 而物理隔离无疑站在远程办公的对立面,构建并部署 VPN 的基本前提就是存在企业边界。显然,内外隔离的安全思路是不灵活的,也无法适应新的需求。 零信任由此起势。其主要思想——默认企业内、外部的任何人、事均不可信,对任何试图接入网络和访问网络资源的人、事、物进行持续验证,打破了边界化的网络防御思路,是一种更适应新需求的理念。 站在市场维度,或许很难把零信任这类以理念为基础的事物划归为某个具体赛道,这是因为零信任的兴起不能简单看做某种技术、产品的扩展,而是对固有安全思路改变。 Gartner在《零信任网络访问市场指南》做出的假设也侧面印证了这一观察——其预测到2022年,80%向生态合作伙伴开放的新数字业务应用将通过零信任网络访问接入;到2023年,将有60%的企业淘汰大部分VPN,而使用零信任访问。 零信任和传统安全架构的区别 来源:绿盟科技、开源证券研究所 2. 实质:实时、动态地判断访问请求 和所有的理念型故事一样,零信任不能仅停留在表面,其落地往往遵循着思想、框架、技术、产品、商业化几个层面。 “对任何试图接入网络和访问网络资源的人、事、物进行持续验证”,这件事需要通过策略判定。 从NIST给出的最新零信任架构(参照下图)可以看出,零信任架构的核心组件包括策略引擎、策略管理器和策略执行点。 简单来说,策略引擎作为一个大脑,对访问请求做出“是否赋予权限”的决策,管理器依赖于引擎的决定,通过和执行点的互动,向后者下达指令。 NIST零信任架构核心组件示意图 来源:CSA大中华区 当前业界对零信任的实践还在过程中,所以也出现了一些细节不同的零信任框架。比如在中国信通院和奇安信发布的《网络安全先进技术与应用发展系列报告——零信任技术(2020版)》中,零信任架构的基本框架归纳如下图: 零信任架构总体框架图 来源:《网络安全先进技术与应用发展系列报告——零信任技术(Zero Trust)》 虽然各类框架有细节差异,但其实不论是哪种框架,都在论证实时、动态地对访问请求进行判断,以契合“从不信任、永远验证”的理念。 二. 参与者:从技术视角划分 有意思的是,如果今年询问一家安全公司是否正开展“零信任”业务,可能会收获模棱两可的回答:我们是否在做零信任,取决于如何定义它。 这有些无厘头的反应似乎又不无道理。 零信任是一种理念。理论上讲,只要在一些场景实现“从不信任、永远验证”的目的,谁都能说自己在做零信任,这正是现在零信任厂商繁多、技术路线不同的原因之一。 在具体数据上,专业人士指出当前号称开展零信任业务的公司在50家以上。我们决定选取一些明确提供零信任安全产品/解决方案的公司略作展示(排名不分先后)。 部分参与者概览(经36氪整理) 零信任的参与者背景不一,无论是刚成立不到一年的早期安全公司,还是成立数年的大型上市企业,亦或不断延伸触角的公有云厂商,均已置身零信任浪潮。为避免“雾里看花”,从技术分类入手或是进一步理解零信任的思路。 如今相对普遍的共识是,零信任的主流技术分为三种:即SIM,S为SDP(Software Defined Perimeter,软件定义边界)、I为IAM(Identity and Access Management,身份识别与访问管理系统),M为MSG(Micro-Segmentation,微隔离),上图中也可看到三种技术不断交叠出现。不过需要提前强调的是,目前也有企业希望通过其他思路达成“零信任”目的,以下技术路线并不代表全部。 1. 身份识别与访问管理(IAM) 身份识别与访问管理(IAM)是网络安全领域中的一个细分方向。从效果上来看,IAM产品可以定义和管理用户的角色和访问权限,即决定了谁可以访问,如何进行访问,访问后可以执行哪些操作等。 根据Gartner的定义,IAM的核心主题围绕以下几个方向展开: 认证,指的是通过确认实体(包含人与设备等)的身份,建立信任,这其中的概念包括多因素认证等。 访问控制,确定实体通过认证之后,匹配怎样的权限,访问怎样的系统。 身份治理,对实体在整个生命周期内(如员工入职、转正、调岗、离职等身份变更过程)进行身份管理,匹配正确的权限。 特权身份管理,指的是对管理员等权限较高的账户等进行进一步管理。 在零信任广泛普及之前,IAM已经是一个独立赛道。不过如今零信任理念中的IAM指的是增强型IAM。过去的IAM认证体系较为僵化,只要有统一的权限管理即可,但增强型IAM强调持续的自适应认证,即在整个访问请求的周期内进行持续智能验证。 总而言之,以身份为基础,实时、动态地对访问请求进行判断,是实现零信任的手段。目前IAM相关公司有「派拉软件」、「竹云科技」、「芯盾时代」等。 2. 软件定义边界(SDP) 软件定义边界(SDP)是被云安全联盟采纳并推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。 之所以被称为黑云,和其预期达到的效果有关。SDP可以为企业建立虚拟边界,利用基于身份的访问控制和权限认证机制,让企业应用和服务“隐身”。当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问。 根据云安全联盟的定义,SDP的主要组件包括发起主机(客户端),接受主机(服务端)和SDP控制器,客户端和服务端都会连接到这些控制器。二者间的连接通过SDP控制器与安全控制信道的交互来管理。 资料来源:CSA大中华区 当前,国内有多家公司主打SDP,以曾入选Gartner零信任安全产品全球代表厂商的「云深互联」为例,其SDP包含三个组件——深云SDP客户端、安全大脑、隐盾网关。 深云SDP客户端:在深云SDP中,深云SDP客户端用来做各种的身份验证,包括硬件身份,软件身份,生物身份等。 深云SDP安全大脑:深云SDP安全大脑是一个管理控制台,对所有的深云SDP客户端进行管理,制定安全策略。深云SDP安全大脑还可以与企业已有的身份管理系统对接。 深云隐盾网关:所有对业务系统的访问都要经过 SDP网关的验证和过滤,实现业务系统的“网络隐身”效果。 深云SDP示意图 在「云深互联」之外,国内的相关公司还有「易安联」、「安几网安」等。其中,「易安联」在今年宣布完成B轮融资。 3. 微隔离(MSG) 微隔离,又称软件定义隔离、微分段,最早由 Gartner提出。 微隔离主要解决数据中心的东西向(内部服务器彼此互相访问)流量之间的安全问题,当前主要应用于数据中心,该技术的面向群体并非用户。 用形象语言表述,微隔离类似疫情时期的口罩,每个人带上口罩后,互相隔离以防止病毒传播。 微隔离技术把服务器之间做了隔离,一个服务器访问另一个服务器的资源之前,首先要认证身份。认证通过后,网关才会放行业务系统去获取数据资源,否则会被网关拦截。从效果看,在实现微隔离之前,攻击者会攻击到所有的服务器,而实现微隔离后攻击范围将大大减少。 这种技术的难点在于计算量和自动化——数据中心往往包括海量节点,频繁变化带来的工作量不可预估,传统的人工配置模式已无法满足管理需求,自动适应业务变化的策略计算引擎是微隔离成功的关键。 当前国外已出现较成熟的微隔离厂商,即美国公司Illumio。这家公司成立于2013年,在2019年已完成E轮融资,是全球13家安全行业独角兽公司之一。客户包括Salesforce、摩根士丹利、法国巴黎银行和Oracle NetSuite等。 国内微隔离的典型厂商是「蔷薇灵动」。公司创始人严雷曾透露,「蔷薇灵动」于2017年开始商业化探索,2019年营收达到千万级别。在融资进展上,天眼查数据显示其在今年先后完成两轮融资。 4.SIM相辅相成 NIST认为,一个完整的零信任架构需要三者结合,这或许是由于三种技术各自的擅长之处不一,可以“组团”发挥所长。 其中,对身份的判断是零信任的基石。这也是今年在创投市场中,以身份为主要业务的公司,即IAM厂商颇受追捧的原因之一——「派拉软件」于今年9月宣布完成C轮近3亿元融资,同月宣布的还有「芯盾时代」完成数亿元C+轮融资的消息,10月初,「竹云科技」也宣布完成3亿元C轮战略增资。 SDP解决南北向流量(通过网关进入数据中心的流量)的安全问题,那么微隔离则主要解决数据中心的东西向(内部服务器彼此互相访问)流量之间的安全问题。由于三种技术的差别,当前市场中主打IAM、SDP和微隔离业务的厂商并不完全重合,各家或会以既有的技术、产品优势为基础,向前延展形成较完备的零信任方案。 比如,天融信在介绍其SDP架构时曾指出,为了强化用户认证与权限管理部分,可提供增强组件IAM实现更细致的身份管控功能(如下图),这也说明了各种技术路线的互相延展的可能。 天融信SDP技术架构包括客户端、控制器、网关架构图 来源:CSA大中华区 这不是孤例,在日前CSA大中华区发布的《2020中国零信任全景图》中,同样可以看到多家厂商分别出现在不同技术分类中。 为何厂商能在短时间内渗透多个技术路线?主要原因是相关厂商早前已有所积累,尤其是IAM和SDP,它们在中国并非横空出世的新技术。总体而言,零信任最难跨过的门槛也许并不在技术,而在于工程化落地。 三. 机会与陷阱 目前由于零信任在国内风头刚起,打造完整、易用的解决方案还在进程中。这一理念要经受商业化考验,对客户的话语权非常重要,这和零信任的目标以及实施中的改造成本均有关联。 1.谁在规定最小权限 各方在讨论零信任时不断强调的一点是,零信任是一种理念,而非具体的技术、产品。理念虽听起来有些“虚无”,但也明确了目标——就如金德维格所说,零信任是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。 再精简一些,或许可以理解为对访问请求以最小权限原则进行动态管理。身份的判定是用权限进行动态管理的基础,上文不管是IAM、SDP亦或微隔离都提到了判断策略或者引擎。但另一个核心——最小权限,却甚少被讨论。 最小权限存在的意义是,对通过基础安全审核的访问请求进行严格管理。然而如何规定最小权限,或许目前还没有统一的标准。往下深究,最小权限是一个动态概念,需要针对不同客户、不同场景进行判断,所以其标准也很难界定。 也正由于标准不清晰,一位安全行业观察者调侃零信任的现状是,“谁都能说自己在做(零信任),但又或许谁都没做”。 举个极端些的例子,如果客户的安全基础设施仅停留在内外网范畴,对内网内的系统、数据并未进行分类分级,那么仅基于初步身份权限的分类,已是现有条件下的最小权限。但如果客户本身需要更细粒度的权限管控,单纯基于初步的身份管理,并不符合最小权限原则。所以,判断最小权限的话语权归结于客户。 而厂商需要找出某类目标客户对零信任的通用性要求,降低工程化成本。从这个角度,有深度服务目标客户经验,并能切入较通用场景的厂商或更易开展零信任业务。 根据《2020中国零信任全景图》的统计,目前国内零信任的目标客户主要集中在政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业、军工、民航、军队、零售等行业。基中50%以上的零信任厂商都认为政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业是他们的主要目标行业。 零信任目标行业分布图 来源:《2020中国零信任全景图》 可以看到,政企、金融和能源占据了目标客户前三甲的席位,此类客户也是过往安全厂商的重点客户,或许意味着客户在选择供应商时会有所倾向。 2. 改造成本有多高 关于这三种技术倾向,NIST认为,零信任厂商在落地过程中可能会发现客户已有所选择,但这并不是说其他方案一定会失效,而是认为其他方案对该企业而言意味着已有流程的改变,所以更难实施。 更难实施体现在零信任的改造成本。对客户而言,零信任的改造成本也和其自身的基础设施情况相关。如果客户内部的系统非常繁多,那么一个个接入其中会使得实施周期漫长;如果客户此前的安全能力薄弱,则需要弥补的模块更多;如果要做全面的零信任改造,对企业现有流程也会造成些许影响。在此基础上,有观点认为如果一家厂商此前已经将自己的安全产品渗透入足够多的客户中,或会降低改造成本。 如果举例对比,传统的网络安全模型就像用一个城墙把所有人保护在一起。那零信任可能就像城门大开,但每个人都会配备一个士兵保护,这种点到点的防护策略会更加安全,成本也更高。不过,正和许多安全措施一样,改造是提高安全性的前提条件,如果改造成本较低,也意味着安全性或不理想。在很多场景下,安全是一个具备灰度的名词,需要根据客户的业务性质、要求综合考量。 36氪了解到,当前也有一些综合实力较强的厂商希望从合规角度出发,把零信任的要求落实到规定中。 众所周知,安全行业以合规要求和业务需求为双重驱动力。随着内外网络边界的消失,客户对零信任的业务需求已逐渐凸显,若加上严格而有效的合规要求,即使改造成本大,零信任都会加速落地。从竞争角度,这种以合规切入的视角至少在To G市场中称得上降维打击。 四. “阵营外”的竞合 当前,也有许多本该成为客户的公司在自行进行零信任改造。这类公司一般是大型互联网公司(Google正是一个典型),它们对业务安全性的需求较高,同时IT资产、权限配置复杂。在具备技术实力的基础上自发进行零信任落地,对这类企业来说既省去和供应商的磨合成本,在有余力的基础上还可形成解决方案对外输出,这也是更大的想象力。 在向外界输出的类型中,典例是阿里、腾讯以及华为。这是由于,零信任也属于云安全中的一环,云厂商必然不能放过这一市场,目前三家也都有相关解决方案提供。 其中,阿里云在今年9月发布远程办公零信任解决方案,阿里巴巴企业智能也已推出“联呗”终端访问控制系统。根据介绍,在今年疫情期间,阿里巴巴企业智能支撑了数十万员工的远程安全入网及云办公。目前“联呗”已通过远程办公零信任解决方案服务政务、教育、医疗、新零售、制造等多个行业客户,帮助客户管理数十万终端的安全准入。 云栖大会中发布的阿里云发布远程办公零信任解决方案 腾讯在零信任上更是动作频频。 从在2019年7月发起《零信任安全技术参考框架》行业标准立项,到今年5月底腾讯安全发布《零信任解决方案白皮书》,腾讯一直在输出其对零信任的理解。白皮书中提及,腾讯基于ZTA架构模型,参考谷歌BeyondCorp实践,结合自身经验形成了“腾讯零信任”的解决方案,于2016年在公司内部实践,目前已经过6万多员工的实践验证。 腾讯零信任方案架构图 另外,华为也在其官网上展示了HUAWEI HiSec零信任安全解决方案。 华为零信任安全解决方案架构图 保障租户的资产安全是公有云厂商的职责,过去这类厂商在云安全领域已取得一定进展。以腾讯为例,其发布的2020年度第三季财报显示,腾讯企业级安全业务前三季度收入同比增长133%,零信任安全产品同比增长64%。当成绩单摆在眼前,很多人的第一反应是传统安全领域中的零信任公司会遭受巨大冲击,但若仔细拆分公有云厂商的业务逻辑,也会有些新发现。 在华为的零信任案例中,可以看到IAM厂商「竹云科技」是其可信代理控制服务、认证服务、权限服务组件的供应商,并且在部署方案中被划入必选选项。这从侧面反映了公有云厂商和安全厂商在零信任领域中的竞合关系——公有云厂商无疑需要生态的力量补足能力,各种各样的供应商是生态中不可或缺的一环。 谁能和公有云厂商合作,考验的是独立厂商的价值。在技术上,许多安全公司在自己领域中深耕已久,比如IAM厂商「派拉软件」和「竹云科技」分别成立于2008年和2009年,在身份领域中积累了深厚的产品、解决方案经验,它们自然是有价值的合作对象。另外从市场端,公有云厂商更擅长做标准化业务,而中国的大B、大G客户对个性化需求较高,安全公司若可以抓住这类客户,既有利于提升竞争的“底气”,也可以获得较丰厚的收益,和公有云厂商合作或能成为一个可选项。 不过另外需要提及的是,当前不同客户的业务性质不同,对权限的要求也不同,过多的场景会让厂商难以交付。不论是哪种类型的厂商,都需要找到尽量通用化的场景,避免切入过于狭窄的领域,同时也降低定制化带来的风险。 结语 长远来看,零信任“从不信任、持续验证”的理念契合了去边界化的安全状况。 Cybersecurity在2019年底的调查显示,现在网络安全最大的挑战是私有应用程序的访问端口十分分散,以及内部用户权限过多,这两方面正是零信任理念可以解决的问题。另一个有趣的现象是,调查对象中有78%的安全团队希望在未来实现零信任网络访问,但几乎一半的安全团队对他们使用当前安全技术提供零信任的能力缺乏信心。 这个例子再次印证了零信任的火热,但不可否认,即使客户已经意识到以往安全思路的狭隘,零信任作为一种新事物是否能获得广泛落地,还取决于市场和供应商的成熟。 一切才刚刚开始。 ———————————————— 注:36氪对零信任领域保持持续关注,通过和数位行业人士沟通,以及多方收集资料完成了本文。但由于资源、视角有限,本文难免出现错误、片面等问题,欢迎各位读者指正交流。
9月25日,Trusple正式发布。“Trusple平台用区块链技术重启了19年前我们内部一个保密项目,解决了国际贸易中买卖家之间的信任难题。”蚂蚁集团副总裁、智能科技事业群总裁蒋国飞表示。 要了解Trusple,首先要从小微商家跨境贸易中的痛点谈起。在浙江义乌经营外贸生意的袁晶是蚂蚁链智能跨境贸易平台Trusple上第一个吃螃蟹的商家。袁晶创业的公司主要经营玻璃制品、服装辅料、饰品配件等。经营外贸生意多年的她深知,国际贸易并不是一个简单的流程,工厂生产的产品基本是客户首付30%,提单后再付40%,剩余的30%完全靠着信用额度给到客户,客户约定会在1至2个月内把钱打过来。如果客户的商品没有卖好或者其他不可控的原因,袁晶就面临着无法收回全部货款的风险。 “一个年订单额100万美元左右的老客户,信用一直很好,希望在账期方面能有更大的弹性,我虽然理解,但心里还是很慌的,尤其是在疫情期间。”袁晶坦言,由于产品本身利润低,一旦出现违约风险,这几年就白干了,她不愿意让老顾客失望,也无力承担更大的风险。 正在这时,Trusple的到来给她打开一扇窗。在Trusple平台,当买家和卖家产生一笔贸易订单后自动上链并开始流转,银行会基于订单约定的付款条件自动进行支付,避免了传统模式下卖家需督促买家去线下操作转账,同时也能防止屡有发生的恶意拖延付款时间现象。而买家也可以基于上链的真实订单获得账期等金融服务,大大提升了资金利用率和采购效率。 而对买卖双方来说,在Trusple上的每一次成功交易都是一次“链上信用”的沉淀。当企业产生融资需求时,金融机构可以向Trusple平台提出验证请求,来确定企业的贸易真实性。 就在外滩大会开幕前几天,袁晶通过Trusple将一单水晶玻璃制品发往墨西哥,次日就收到货款,这在以前,仅交易的时间就往往需要一周。“Trusple是‘Trust make simple’的简称,取义于信任让生意更简单,我们希望让做贸易的人专心做贸易,把背后其他复杂的问题留给我们。”蒋国飞坦言。 这不是蚂蚁对于“信任”的第一次尝试,早在19年前,面对外贸交易中买卖双方互相不信任的问题,阿里巴巴B2B公司曾尝试用类似中间担保的模式解决。但由于企业和企业之间的交易比个人之间要复杂很多,付款方式和物流方式均有很大差异,这种方式最初无疾而终。直到2003年,这个模式用在了交易流程相对简单的C2C业务淘宝中,这也是支付宝诞生的原点,并推动整个电子商务行业的蓬勃发展。 如今,随着数字化的演进和区块链技术的发展,国际贸易复杂流程中的“信任”问题有了新的解法。“Trusple更多是B2B的,比支付宝时代个人之间的汇款应用要难的多。”蒋国飞坦言,而正因为基于多年的技术积累和生态培育,才得以让19年前夭折的“保密项目”再度重启。 Trusple正式亮相之前,蚂蚁链平台已经在超过50个区块链商业化应用和用户场景得以落地,包括商品溯源、司法、版权、公益、供应链金融、资产证券化、电子票据等,日均上链量超过1亿次,战略合作伙伴包括中国远洋海运、招商局港口、英特尔中国等等。25日上午,蚂蚁集团还与上港集团签署战略合作协议,共同打造基于区块链的港航生态圈。 Trusple的发布传递一个重要信号——蚂蚁链的应用开始结点成线、连线成网,开始触及流程更复杂、场景更多元的业态,比如跨境贸易。 “我们从不怀疑,中小企业将成为未来跨境贸易的主力军,因此客户流量不会成为Trusple的障碍,关键是产品能否真正解决小微企业商贸活动中的痛点。”蒋国飞坦言,“这不是一个零和游戏,信任本身是有价值的,用科技打通信任的壁垒,就是蚂蚁链价值的体现。至于Trusple本身赚不赚钱,我们并不担心,想想今天的支付宝就清楚了。” “有了Trusple,明年生意至少能实现30%的增长。”袁晶已经尝到了甜头,而技术带来的普惠金融服务也吸引了越来越多的银行机构。在外滩大会现场,法国巴黎银行、花旗银行、星展银行、德意志银行、渣打银行成为Trusple首批五家合作伙伴。而基于Trusple 的真实贸易数据,金融机构降低了风险,未来也可以提供更多元的金融服务。 马云曾说过:“蚂蚁链的名字是我起的,大家要热爱这个名字,养育它,这个决定的重要性不亚于我们2004年决定成立支付宝。”据蚂蚁集团招股书披露,蚂蚁链业务已经商业化并产生收入。蒋国飞强调:“蚂蚁集团对区块链有信仰,不要高估、也不要小看我们。”
9月14日,2020年国家网络安全宣传周正式拉开帷幕,5G云网新基建、新技术、新应用等网络安全新议题成为亮点。有业内人士表示,新基建涉及整个社会全场景的数字化改造,其安全需求来自于各行各业不同层面,从基础设施到数字化平台、再到行业应用,其安全需求至少是千亿级别。记者了解到,不少上市公司已经提前布局。 新基建激发千亿安全需求 接受记者采访时,奇安信集团合伙人、负责战略投资与生态体系建设的主管副总裁陈华平正密集穿梭于券商策略会,新基建给网络安全企业带来的新机遇成为机构关注的热点。 今年3月,奇安信推出了面向新基建的新一代网络安全框架。“目前通过框架的指引,有数十个重点客户的五年或三年期网络安全规划正在进行中,从而为甲方客户的安全体系化发展奠定基础,并牵动大量预算,这为公司主力产品及业内伙伴创造了大量市场机会。”陈华平告诉记者。 “当越来越多敏感信息和关键业务离开内网环境暴露在互联网中,对安全的需求和要求也更进一步提升——在任何终端或边缘,在任何时间、地点都能够安全连接和访问,正成为安全的大趋势。”网宿科技副总裁吕士表在接受记者采访时坦言。 “新基建的加码引发了安全的关口前移、规划先行,安全的战略地位提升到与信息化平级,在企业预算投入和部署上占比明显提高。”陈华平告诉记者,“新基建涉及整个社会全场景的数字化改造,其安全需求来自于各行各业不同层面,从基础设施到数字化平台、再到行业应用,以政策作为牵引和加持,后期则依靠市场驱动来落地。新基建是万亿级的投入,之后是规模更为庞大的市场,其安全需求至少是千亿级的规模。” 网络巨头频频加码云安全 新基建带来新需求,网络安全厂商如何把握?云安全成为一个突破口。根据中国信息通信研究院调查报告,42.4%的企业在选择公有云服务商时会考虑服务安全性,43%的企业在私有云安全上的投入占IT总投入的10%以上,企业如何构建安全云平台成为上云的关键要素。 在腾讯副总裁丁珂看来,云已成为安全攻防的主战场。日前,腾讯安全正式对外发布腾讯云原生安全防护体系,围绕安全治理、数据安全、应用安全、计算安全和网络安全等层面,搭建完整的云上安全防护架构。此外,腾讯安全还与中国信息通信研究院、天融信、绿盟科技、深信服等联合发布了国内首部《云原生安全白皮书》,探索安全与云计算的深度融合。 今年7月,奇安信正式登陆科创板,“云和大数据安全防护与管理运营中心”成为募投项目之一。陈华平告诉记者,目前该项目进展迅速,从7月份立项至今,已经完成研发和测试环境搭建,以及团队扩充、招募、培训和产品体系第一阶段产品规划,即将开始研发和测试工作。 据吕士表介绍,网宿科技正在加大云安全领域的布局和投入,依托CDN的边缘安全优势和海量节点资源,以大数据分析挖掘和人工智能为驱动,打造强大的智能边缘云安全平台,能重点覆盖网站云WAF、智能云清洗(抗DDoS)和业务防护三大领域,实现全面、智慧的云安全防护体系。与此同时,网宿在全球范围内上线了12个清洗中心,安全防护规模已达到15Tbps。 科创板上市公司安恒信息已尝到云安全市场高增长的甜头。公司2019年年报显示,云安全平台产品收入同比增长176.25%,是安恒信息增速最快的产品。面对新机遇,安恒信息又推出了集多云管理和多云安全管理于一体的一站式服务平台——“安恒云”。在公司看来,多云和混合云的场景在国内市场上将会长期存在,因此多云安全和混合云安全将成为云安全解决方案需要解决的痛点。 “零信任”下产业新格局 今年8月,零信任产业标准工作组发布《零信任实战白皮书》。这是国内首个基于攻防实践总结的零信任安全白皮书。 什么是零信任?吕士表告诉记者,零信任创建了一种以身份为中心的全新边界,是适应数字化浪潮的安全访问架构,这主要是因为随着越来越多企业上云,以及员工自携设备办公、移动办公等方式的兴起,传统IT网络安全中的“边界”愈发模糊,从而导致了传统防御手段显现出瓶颈。 “我们能看到全球各大厂商都在布局零信任,而且已经有权威报告指出这一技术正在快速普及。比如Gartner就称,到2023年,60%的企业将采用零信任代替大部分VPN。”吕士表坦言,“从云安全服务商的角度,我们能感受到客户们对安全的需求更加迫切。” 是否引入零信任理念开始成为投资者考量网安企业技术实力的一大选项。互动平台上,以“零信任”为关键词的提问明显升温。 据吕士表透露,网宿科技正在布局的零信任相关技术,其总体思路和Gartner提出的SASE更为接近,主要是利用网宿在CDN领域的优势,在零信任访问框架下,将SD-WAN、网络安全和边缘计算相结合,实现用户“在任何终端或边缘,在任何时间、任何地点都能够安全连接和访问”,目前我们的ESA产品就是采用了这一思路。“我们认为,随着新基建快速推进,数字化加速实现,这将是一个非常确定的市场机遇。” 山石网科透露,目前公司已发布的产品中,山石云·格是典型的采用微隔离的方式实践零信任的理念;同时,公司的下一代防火墙、内网安全、态势感知等产品均基于零信任的理念进行设计研发。 启明星辰也透露近两年正重点布局零信任,已推出启明星辰零信任管控平台,包括身份管理、认证管理、权限管理、审计管理四大模块,实现细粒度的访问控制、应用系统改造、全方位的敏感数据防护等特色功能。 奇安信也已将“基于零信任的动态可信访问控制平台”作为募投项目之一,并已经开始服务平台的搭建。陈华平强调,零信任是能很好地实现“内生安全”,是一套新的方法论,也不是一家企业可以独立完成的,必须与具体业务相结合,依赖终端、网关、云的全产业链协同才能实现。
原标题:零信任成为网络安全新理念新架构 从概念走向应用落地,新基建推动零信任在多个行业快速普及 备受关注的“零信任十周年峰会”近日在北京举行。此次峰会由国际云安全联盟(CSA)组织发起,以“十年磨一剑,零信任出鞘”为主题,包括华为、阿里云、腾讯云、奇安信、360、云深互联和山石网科等在内的行业巨擘均现身承办或协办单位之列。 相关专家和公司高管在大会发言和接受记者采访时表示,不管是在国内还是国外,零信任都将是未来网络安全发展的新方向。尤其是在当前新形势下,零信任愈发被政府部门和业界所关注。相较于传统的防护手段,零信任这种网络安全的新理念新架构更有优势。伴随着5G网络、大数据中心、工业互联网等新基建的加速推进,零信任结合国内实际应用场景的落地发展也将走上快车道。 零信任理念符合网络安全发展方向 “零信任安全理念符合网络安全的发展方向,希望零信任实践在数据保护上能够得到充分运用。”中国友谊促进会理事长、公安部原副部长、国家网信办原副主任陈智敏说。 在今年全国两会上,陈智敏提出了关于深入推进APP违法违规收集使用公民个人信息治理的提案,提案中有关个人信息保护的观点与零信任安全架构的安全理念不谋而合。 工信部原副部长杨学山表示,工信部2019年起草的《关于促进网络安全产业发展的指导意见(征求意见稿)》提出,要积极探索拟态防御、可信计算、零信任等网络安全的新理念、新架构,促进网络安全理念和技术的创新。 中国工程院院士倪光南认为,网络安全面临的挑战日益多样化,建立自主创新、安全可控的网络信息技术体系是数字经济发展的必要保障。探索包括零信任在内的我国网络安全关键技术的新理念非常有意义,同时希望能够结合国内的应用场景,让零信任更好地落地发展。 中国工程院院士邬江兴指出,政产学研需要推动网络安全技术创新,拟态防御与零信任安全都是基于给保护目标穿上“隐身衣”的新理念、新架构,比传统的查漏堵门、杀毒灭马等防护手段更有优势,也更适合云时代无边界的防护体系需求。 零信任从概念走向应用落地 据了解,传统的网络安全是基于防火墙的物理边界防御,也就是为大众所熟知的“内网”。防火墙的概念起源于上世纪80年代,该防御模型前提假设是企业所有的办公设备和数据资源都在内网,并且内网是完全可信的。 然而,随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。随着以5G、工业互联网为代表的新基建的不断推进,还会进一步加速“无边界”的进化过程。与此同时,零信任安全逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构。 根据全球知名IT咨询机构Gartner发布的零信任网络访问(ZTNA)行业报告, 零信任网络访问也称为软件定义边界(SDP),是围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界。如今,零信任安全已经成为美国国家级网络安全战略。 在国内,工信部2019年起草的《关于促进网络安全产业发展的指导意见(征求意见稿)》中,零信任安全首次被列入网络安全需要突破的关键技术。同年,中国信息通信研究院发布的《中国网络安全产业白皮书》说,零信任已经从概念走向落地。这份白皮书首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。 云安全联盟(CSA)大中华区主席李雨航表示,零信任在全球已经成为网络安全的关键技术和大趋势,但在海外的落地实践中走过一些弯路,主要原因是客户对零信任有一些误区。今后,联盟将推出系列活动和研究指南帮助产业对零信任进行理解、消化和实施。在零信任海外发展十年经验的基础上,争取在下一个十年让零信任最佳实践在中国落地。 新基建推动零信任快速普及 值得注意的是,互联网安全行业专家对零信任安全抱有较高的期望值。 零信任安全专家、CSA大中华区SDP工作组组长、云深互联CEO陈本峰今年带领工作组完成了国内首个零信任安全专家认证CZTP教材的编写以及NIST美国国家标准《零信任架构》草案的中文翻译版发布。他在会上指出,零信任真正落地需要因地制宜。虽然近年来零信任在国内外发展十分迅速,但是中外之间仍存在一些差异。美国目前已经形成一套完善的零信任理论,但对中国来说是刚刚起步。在国内终端环境多样化的情况下,需要大家不断摸索和研究,争取开发出一套属于中国自己的零信任理念和架构。 陈本峰表示,软件定义边界(SDP)是在企业上云、远程办公、移动办公的大环境下设计出来的,是零信任安全理念具体落地的技术手段。作为SDP领域的代表性安全厂商,云深互联利用新一代零信任网络隐身技术,为企业构建起“云-管-端”一体化的数据资产安全防护体系。随着中国企业上云以及以5G、工业互联网为代表的新基建的快速推进,零信任理念与SDP技术架构将很快在多个行业普及。 阿里云安全资深产品专家尚红林认为,零信任安全靠旁路和植入是很难做到高效实时的,但是云原生特有的优势可以把从IaaS、PaaS到SaaS的身份彻底构建连接,让零信任在实施过程中更加高效。而构建从IaaS、PaaS到SaaS的连接也将成为未来技术发展的趋势。 奇安信集团身份安全事业部总经理张泽洲说,零信任是一种安全理念和架构思维,企业在落地过程中务必从架构视野上把握零信任全貌,并结合企业现状开展零信任的工程化实践。尤其应结合业务和安全需求选择零信任的切入场景,依据安全现状筛选优先构建的零信任能力,基于具体的风险缓解目标设立务实的安全预期,从而分阶段有序推进零信任落地。 360集团云安全研究院高级安全总监魏小强则表示,零信任是一种方法论,是一种安全范式。身份管理是零信任的基础,没有身份管理,零信任将无法成功实施。身份正从单一属性走向多属性,从认证走向连接。身份管理的本质是连接,连接既创造价值也带来风险,安全连接则是零信任的基石。因此,应从安全连接的视角去重新思考零信任架构,寻找新的解决方案以应对软件定义时代的到来。
>>钢铁股缘何集体躁动? 沉寂已久的钢铁板块近两日猛然拉升。业内人士认为,一方面,上市钢企纷纷拓展数字化业务,有望使钢铁股估值得到提升;另一方面,目前钢材价格较为坚挺,且下半年国内用钢需求预期较为乐观,市场看好钢铁行业表现。 >>强动能补短板 “两新一重”投资全面提速 近期,从中央到地方都在以“两新一重”(新型基础设施建设,新型城镇化建设,交通、水利等重大工程建设)为抓手,列出方案、计划、清单,抓紧推进和储备重大投资项目。 >>多地文旅消费复苏点亮“夜经济” 随着我国多地进入新冠肺炎疫情防控常态化阶段、天气转暖,各地“夜经济”复苏。更多文旅主体及特色活动加入,让各地“夜经济”“热”起来。 >>多重红利释放618消费活力 一年一度的618年中大促如期上演。记者获悉,除线上电商补贴外,多地正在放大招出台刺激政策,培育壮大电商网购、在线服务等“互联网+”消费。 >>零信任成为网络安全新理念新架构 备受关注的“零信任十周年峰会”近日在北京举行。此次峰会由国际云安全联盟(CSA)组织发起,以“十年磨一剑,零信任出鞘”为主题,包括华为、阿里云、腾讯云、奇安信、360、云深互联和山石网科等在内的行业巨擘均现身承办或协办单位之列。