新技术新应用如雨后春笋,云环境也因此变得越发复杂,安全建设不能墨守成规是大家的共识。这些年,基于“零信任”理念构建安全体系已经逐渐成为业界处理云环境安全问题的有效方法。“从不信任,始终验证”,既能实现上云后的统一管控,为用户提供一致的访问体验,保护分布式的关键数据和业务;同时还能细化防护粒度,守护云工作负载安全。而眼下的2023年,零信任热度仍将一路飙升。
这一观点,从国内外的政策举措、全球权威咨询机构的分析预测以及零信任用户的亲身反馈中,都能得到印证。
不论海内外,零信任已逐步成为国家层级的战略选择
-
在我国,一系列推动零信任落地的政策接连发布
自2019年起,工信部发布《关于促进网络安全产业发展的指导意见》和《网络安全产业高质量发展三年行动计划(2021-2023年)》,都明确提出支持发展零信任安全,并将多个零信任项目列入试点示范项目。信安标委、通标协、信通院等机构已经从多层级启动零信任标准研究,推动产业规范发展。
-
美国政府发布零信任战略,将落地首个国家级零信任架构
美国各界对零信任的关注由来已久,2020年美国国家标准与技术研究院发布的《零信任架构》定义零信任为一系列概念和思想;2021年美国政府管理和预算办公室(OMB)及国土安全部网络安全和基础设施安全局(CISA)先后发布了《联邦政府向零信任迁移的原则》和《零信任成熟度模型》。
2022年11月,美国国防部最新发布了《零信任战略》(DoD Zero Trust Strategy),该战略的发布,将有助于加速“零信任文化”在国防部内的落地生根,也意味着首个国家级的零信任架构的诞生。
实实在在缩减数据泄露损失,零信任将越来越吃香
-
IBM报告发现零信任降低了数据泄露损失成本
IBM发布的《2022年数据泄露成本报告》调研了全球的550家企业和组织,发现没有部署零信任框架的企业数据泄露的平均成本为510万美元,而拥有零信任框架的企业为415万美元,相差了95万美元。部署了成熟零信任框架的企业节省的成本更高,与处于零信任计划初始阶段的企业相比,他们的数据泄露成本降低了约150万美元。
-
Forrester:组织在风险管理以及信息安全投入将向零信任等领域倾斜
Forrester在2023年预测峰会发布的“十大中国市场趋势预测”中提及,未来企业仍然继续面临着复杂的内外部风险挑战,随着企业的风险优先级正在从合规性转向韧性,企业的高管和董事会正在期待首席风险官能够帮助企业识别新的商业机会,通过推动组织变革来提升企业应对内外部风险的韧性。
同时,在这一变革的影响下,企业在风险管理以及信息安全投入也将向云安全、API 安全以及零信任等领域倾斜,用于应对随时随地办公安全需求以及不断出现的系统性信息安全隐患。
-
福布斯:零信任将成为家喻户晓的网络安全模型
福布斯发布的“组织为2023年制定的六项网络安全预测”中将零信任单独列为一项:零信任将成为家喻户晓的网络安全模型。“零信任是一种相对较新的安全范例,它将经典的“城堡和护城河”边界安全模型发展为更精细的‘从不信任,始终验证’模型。零信任定义了跨网络、数据和应用程序的以身份为中心的整体安全性的愿景。”
目前各个行业已有不少用户“尝鲜”使用,例如中信建投证券选用了深信服零信任,已经全面推进取消办公类系统的互联网入口,实现13000+员工随时随地安全办公。这个决定,源于证券行业数字化转型虽然带来办公体验的无边界化,但IT基础设施云化、容器化,业务上云、微服务化使以安全域划分、边界防护的传统理念受到挑战。因此中信建投证券选择进行零信任改造,基于身份访问控制、终端安全沙箱和数据分级保护技术,先行保护高风险场景(移动端开发安全、外包人员开发测试),收敛互联网暴露面,防止数据泄露。未来,则将实现增强访问行为分析和持续信任评估能力,基于风险构建自动化处置,有效阻断潜在威胁。
Gartner认为,零信任网络接入(ZTNA)将成为全球增长最快的网络安全细分市场,而远程办公和“去VPN化”趋势是零信任市场增长背后的主要动力。Gartner预测,到2025年,至少有70%的新远程访问部署将主要由ZTNA而不是VPN服务提供服务,而2021年底这一比例还不到10%。
2023,零信任将开启狂飙,不妨跟上。