零信任,VPN,智库,数据安全,云上安全

零信任概述&国内外现状

零信任技术核心

零信任安全(Zero Trust) 是在2010年由咨询公司Forrester的分析师John-kindervag提出的安全理念,其本质是以身份为基石的动态访问控制,即以身份为基础,通过动态访问控制技术,以细粒度的应用、接口、数据为核心保护对象,遵循最小权限原则,构筑端到端的身份边界。

对于零信任安全理念来说,在2017年Google基于零信任安全的BeyondCorp项目取得成功,验证了零信任安全在大型网络场景下的可行性,业界也开始跟进和开展零信任安全实践。同时业内人士提出实现零信任安全的三大技术为SIM,S为SDP (Software Defined Perimeter, 软件定义边界)、I为IAM(Identity and Access Management,身份管理系统) , M为MSG (Micro-Segmentation,微隔离)。国内零信任概念随着数字化信息安全防御旧时代结束,由互联网巨头带领下在2015年逐渐出现在公开舞台;但相对于国外,整体行业还处于探索阶段,未来有望高速增长。

《2021年零信任产业研究报告》 - 图1

《2021年零信任产业研究报告》 - 图2

SDP

SDP技术是通过软件的方式,在“移动+云”的背景下构建起虚拟,利用基于身份的访问控制及完备的权限认证机制提供有效的隐身保护。SDP是由云安全联盟(CSA)开发的一个安全框架,其体系结构主要包括SDP客户端、SDP控制器及SDP网关这三个组件,其中客户端主要负责验证用户身份,将访问请求转发给网关,控制器负责身份认证及配置策略,管控全过程,网关主要保护业务系统,防护各类网络攻击,只允许来自合法客户端的流量通过。SDP可将所有应用程序隐藏,访问者不知应用的具体位置,同时所有访问流量均通过加密方式传输,并在访问端与被访问端之间点对点传输,其具备的持续认证、细粒度的上下文访问控制、信令分离等防御理念可有效解决企业业务拓展中的安全问题,成为了零信任理念的最佳践行之一。

IAM

全面身份化是零信任架构的基石,零信任所需的IAM技术通过围绕身份、权限、环境等信息进行有效管控与治理,从而保证正确的身份在正确的访问环境下,基于正当理由访问正确的资源。随着数字化转型的不断深入,业务的云化、终端的激增均使得企业IT环境变得更加复杂,传统静态且封闭的身份与访问管理机制已不能适应这种变化,因此零信任中的IAM将更加敏捷、灵活且智能,需要适应各种新兴的业务场景,能够采用动态的策略实现自主完善,可以不断调整以满足实际的安全需求。

MSG

微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。当前微隔离方案主要有三种技术路线,分别是云原生微隔离、API对接微隔离以及主机代理微隔离,其中主机代理微隔离更加适应新兴技术的不断更迭及应用带来的多变的用户业务环境。

国外市场

《2021年零信任产业研究报告》 - 图3

海外零信任市场入围较多选手,实现路径各显神通

  • Duo、 OKTA、Centrify、Ping Identity推出以身份为中心的零信任解决方案。
  • Cisco、Akamai Symantec. VMware. F5以偏重于网络实施方式的零信任方案。
  • Vidder、Cryptzone、Zsclar、illumio等初创公司。

《2021年零信任产业研究报告》 - 图4

头部企业:Google

BeyongCorp是谷歌相对最早实践的零信任项目。从2014年12月起,谷歌共在《login:》杂志上发表了6篇BeyondCorp相关的论文,全面介绍BeyondCorp的架构和谷歌从2011年至今的实施情况。

2017年, Google对外宣布其基于零信任架构实践的新一代企业网络安全架构一BeyondCorp项目成功完成,为零信任在大型、新型企业网络的实践提供了参考架构。2020年谷歌宣布完成其内部使用的远程安全访问零信任方案BeyondCorp的产品化,并在谷歌云服务上发布销售,每个用户的月订阅费用是6美元,并且无需成为谷歌现有云服务或企业协同工具的用户也可使用该服务。

BeyondCorp实现的核心是引入或扩展网络组件,例如单点登录,访问代理,访问控制引擎,用户清单,设备清单,安全策略和信任库。这些组件协同工作,以维护三个指导原则:

  1. 特定的网络连接不得确定用户可以访问哪些服务;
  2. 根据对用户和设备的了解来授予对服务的访问权限;
  3. 所有对服务的访问都必须经过认证,授权和加密。

2020年4月Google宣布BeyondCorp-Enterprise正式上市,这是谷歌云基于零信任网络设计原则推出的一项新的安全服务。

BeyondCorp Enterprise取代了BeyondCorp Remote Access, 这是Google在四月份宣布的一项云服务,以响应由于COVID-19大流行以及对虚拟专用网络应用程序的需求增加而进行的远程工作。

该服务使员工可以从任何设备和任何位置安全地访问公司的内部Web应用程序。Google在内部已经使用BeyondCorp数年,以保护员工对应用程序、数据和其他用户的访问。

BeyondCorp Enterprise将这种经过验证的现代技术带给组织,使他们可以开始自己的零信任旅程。

Google对抗复杂攻击者的主要武器是Chrome, Chrome有望通过它提供简单的“无代理支持”。Chrome拥有超过20亿用户,颇具规模。在BeyondCorp Enterprise服务下, Chrome的其他主要安全亮点包括威胁防护,以防止数据丢失和泄露以及从网络到浏览器的恶意软件感染、网络钓鱼防护、持续授权,用户与应用之间以及应用与其他应用之间的细分和数字证书的管理。

BeyondCorp Enterprise允许管理员实时检查URL并扫描文件中的恶意软件;创建规则以指定可以跨站点上传,”下载或复制和粘贴哪些类型的数据,并跟踪公司发布的设备上的恶意下载,并监视员工是否在已知的网络钓鱼站点上输入密码。

腰部企业:Okta

Okta是一个身份资产管理平台(IAM)。它是身份验证和授权的领导者,它提供安全访问并使用户能够在零信任环境中安全地使用技术。几乎所有领先的云程序提供商都是Okta的合作伙伴。其中一种合作将Okta产品直接构建在合作伙伴产品中,一级在OktaIdentity Cloud. 上运行的产品演示吸引客户。Okta还与多家推动云计算迁移的大型技术公司合作,除了此类合作伙伴之外, Okta还利用他们的渠道合作伙伴,包括系统集成商、传统VAR和政府类VAR,从而扩大客户范围。

VAR:向量自回归模型,简单的讲就是看过去的变量预测将来的变量。

Okta于2017年在纳斯达克挂牌上市。从其融资和IPO (首次公开募股)的情况可以论证其商业模式和技术壁垒是受到资本青睐的。据了解, Okta在资本发展阶段中不断地在加码技术研究投入,深耕IAM技术。

在2021年3月3日0kta2021年第四季度收益发布中,宣布了拟议收购Auth0的消息。Okta未来将会在云、数字化转型和安全性等这些强大的趋势推动它的发展。

《2021年零信任产业研究报告》 - 图5

Okta在营收方面近四个季度中,分别是167.3百万美元、182.8百万美元、200.4百万美元、217.4百万美元,同比增长达到了44.9%、46.03%、42.69%、42.04%。同比在利润方面在近四个季度中, Okta的产品净利润分别为-1.13百万美元、-7.45百万美元、9.92百万美元、5.74百万美元;同比增速达到了72.64%、64.59%、291.51%、251.72%在近四个季度中的利润增长可以看出海外市场已经开始出现爆发式的增长。

从Okta公开财务数据中得到,订阅收入是公司的主要收入来源,专业服务业务收入增速最快。在近四个季度中,专业服务收入持续增长订阅数可以稳定在95%左右,可知订阅收入客户数量也在不断增加;原有客户留存率上升以及新的客户持续增加,可以预见公司未来具有较大的增长空间同时印证零信任市场规模也在持续上升。

初创公司:Illumio

Illumio创立于2013年,总部位于美国加州森尼维尔市,由多位网络安全专家创立,是一家专注于动态数据中心和云平台安全的初创公司Illumio通过构建独特的自适应安全架构,可自内而外地安全监控和防护每个工作单元或应用,而不是基于传统的边界防护,如防火墙。公司主要利用自适应微分隔技术(adaptive micro-segmentation)防止泄露在数据中心和云中扩散。Illumio不仅是全球资本的宠儿,更是说服企业放弃提供临时保护的外围防御系统、升级到能够持续监控系统以发现漏洞的产品的新一代创业公司。目前公司客户有100多家,主要分布在美国、法国、以色列等国家。

2021年6月24日零信任细分行业的先驱领导者lumio宣布了2.23亿美元的F轮融资,本轮估值高达27.5亿美元,该轮融资由ThomaBravo领投。本轮融资资金主要用于技术研发和销售,大力投入研发保持其自适应安全平台的优越性和先进性。Illumio在近些年里推出了零信任分段,该SaaS平台可以在几分钟内轻松实现自动化执行,通过阻止成功的网络攻击和勒索软件转移到其他应用程序、云、容器、数据中心和端点,大大降低了风险。如今,许多财富100强公司和数百家全球企业都在使用Illumio,其中包括三大顶级企业SaaS公司、五家领先的保险公司以及全球十大银行中的六家。

Illumio提供快速、简单、云原生的零信任分隔技术。Illumio Core和IllumioEdge可以轻松划分混合多云IT资产并保护任何规模的工作负载,从100到100,000多个工作负载。同时Illumio可在几分钟内提供智能可见性、极其简单的策略创建引擎以及自动分段和实施。Illumio阻止网络灾难蔓延的独特方法推动了公司历史上最快的增长时期。

国内市场

奇安信、腾讯、阿里、华为、深信服、启明星辰、易安联等安全和互联网厂商都利用各自在安全领域的技术优势,推出了零信任整体解决方案,并积极寻找机会,开展全面应用实践;

竹云、九州云腾等身份管理厂商积极推动身份管理技术在零信任架构上的应用;云深互联、蔷薇灵动、山石科技等厂商则积极推动SDP、微隔离等零信任技术方案的应用实践。2019年以来,我国相关部委、部分央企、大型集团企业开始将零信任架构作为新建IT基础设施安全架构。

《2021年零信任产业研究报告》 - 图6

《2021年零信任产业研究报告》 - 图7

根据对国内云厂商和安全厂商关于零信任解决方案的调研发现,一方面,国内厂商注重零信任解决方案研发与落地实施,零信任生态已小有规模,安全厂商从自身安全专项产品优势出发,推出有技术侧重的零信任解决方案,云厂商则利用自身基础设施供应能力强且用户体量大的优势,率先进入较全面的零信任解决方案市场;另一方面,各个厂商具备多项零信任安全的核心技术,这些核心技术均由商业化的产品提供技术支撑,再配合相关技术共同组建零信任解决方案。可以发现,头部企业的能力覆盖面更加全面、技术发展更为成熟。

应用案例

应用案例方面,腾讯SDP在VPN替代、安全运维以及云.上业务访问的身份安全、业务加速、端口隐藏等场景.上都有成熟的案例。

  • 案例一

知名的地产企业远程移动办公场景案例。2020年疫情以来,很多企业都有灵活办公地点的需求。由于地产企业人员众多,分支机构多,原来的VPN比较老旧了,扩容起来也不方便。同时对于手机侧的应用和视频流的应用传统VPN都比较卡顿。企业的诉求是能够支持自带设备(BYOD设备)远程办公。除了windows传统的办公终端,也需支持macOS、安卓和iOS等各种终端系统。应用的系统数比较多,对接入权限也需要做更细粒度的控制。应用侧接入的访问系统是有不同的部门和不同的安全级别要求,所以对接入的身份需要进行MFA多因素认证,以及最好能够实现免密登录。通过腾讯SDP实现了泛终端的接入安全管控,对应用服务器采取连接器的接入方式,无论应用是在公司内网还是在云侧都能够连接到。通过手机发起多因素认证,包括企微的账号、OTP token和人 脸识别、指纹识别等组合进行动态身份验证。结合腾讯的移动终端感知能力,防止客户通过移动端访问时,会碰到像网络WiFi钓鱼以及手机被威胁软件劫持等问题,实现了灵活办公和安全的双要求。

商业模式

海外市场聚焦布局在SECaas模式

安全即服务(SECaaS) 一般指网络安全服务的云交付模型。与软件即服务(SaaS)非常相似, SECaaS在由云提供商托管的订阅基础上提供安全服务。随着IT基础架构向云的迁移,安全模型不得不进行调整以保证信息系统的安全。安全即服务是这一趋势下的产物,意味着安全工具也正在向云转移。SECaaS是使用第三方托管的基于云的软件来保证组织安全。通过减少本地服务器成本,访问许可费用和管理开销,同时优化了IT组织安全工具集的总体拥有成本(TCO)。CSA将SECaaS细分为十个子集类别:

《2021年零信任产业研究报告》 - 图8

国内市场任重道远,聚焦全民数字化

国内零信任技术从2015年正式开始在各行各业中,实践由于零信任安全技术从国外咨询机构及信息安全厂商传播过来,国内安全厂商都从自身的产品优势出发研究解决方案并大力宣传,从2019年开始逐渐出现完整的解决方案。

国内的信息安全市场与海外市场最大的差异在于国内的网络安全市场需求主要集中在政府,金融、高科技、高新制造、运营商等行业;这些客户目前已建立云,结合自身的业务发展对零信任技术接受度更高。

在国外成功商业模式的引导和国内头部客户的切实需求下,共同驱动着国内资本和安全厂商在零信任这一领域加大投入, 目前国内厂商技术路线主要由零信任SDP技术路线、零信任IAM技术路线、BeyondCorp技术路线三种类型组成。

通过对比海外零信任技术商业模式,可以发现我国技术商业模式更具有多样性;在我国全面数字化及云上的趋势带动下,传统企业信息安全边界逐渐被攻破。以身份为中心的进行访问控制的零信任安全得到了各行各业的广泛认可,不可否认零信任将成为未来网络信息安全行业的核心发展。

市场规模及增速

全球安全市场随着全面数字化高速增长,零信任占整个安全市场比例在2024年有望达到15% ;据MarketsandMarkets的报告,2019年安全市场规模在156亿美元,未来在2024年将有望达到386亿美元。从2019年到2024年复合年增长率为19.9%,同时在另一份报告中提到,预计在2023年网络安全市场规模将达到248.6亿美元,因此零信任在2024年达到15%占有率可能性非常大。根据IDC最新预测, 2020年中国网络安全市场总体支出将达到78.9亿美元,预计2024年将达到167.2亿美元, 2020-2024年均复合增长率为18.7%。

以大数据安全检测与管控、零信任安全、应用开发安全、云安全、工业互联网安全、大数据安全与隐私保护为核心的新赛道产品的营业收入,占公司主营产品收入比例接近6成,合计同比收入增长率在60%以上。

新一批国内零信任领跑者,成功把握这类新兴需求风口正是公司崛起的本质。而这一过程中,公司为了抢占风口,也采取了高举高打的方式,快速规模化占领市场,短期牺牲了利润表现。

行业展望

零信任在美国而言是一种水到渠成,在中国而言其实是一种未雨绸缪。零信任在美国的发展,本质上是由基础设施的根本性变革导致的。一方面,云计算,尤其是公有云的广泛使用,使得网络的物理边界消失,多应用混合部署,多租户混合部署成为常态。另一方面,美国的办公方式更加多样化,社会化协同广泛存在,组织资源可以被组织内的人访问也可以被组织外的人访问,可以在内网访问,也可以在互联网访问。这种基础设施架构的根本变化,使得零信任成为一种当然的技术选择。

而在中国,客观的说我们的基础架构还远远不是美国的样子,虽然云计算与远程办公,多团队协作已经开始出现,但还远远不是主流,占中国企业级市场绝大部分的国企、金融、运营商、政府等部门基本还是以私有云和本地办公为主体。这就使得零信任虽然被广泛关注,但是推进速度并不快。所以,我们讲零信任在中国更多的是一种未雨绸缪。但是,整个社会的发展方向应该还是向着更广泛的互联,更全面的数字化去发展,即使是在前面提过的那些部门里,在本组织内基本上就是和美国差不多的用法,这种大集团的体量,在空间.上的广泛分布,使得其面临着和美国差不多的问题。因此,零信任虽然缓慢,但是发展的确定性是明确的,脚步也是坚定地。

未来两年,在中国的头部用户处,零信任将被普遍研究和使用,未来五年里,零信任将得到全面的部署。而在更广阔的的中小企业市场,则还需要更长的培育时间。使用零信任替代VPN是未来零信任的发展方向。

趋势预测

根据Gartner预测, 2022年将会有80%面向生态合作的新数字业务采用零信任访问, 2023年将有60%的企业从远程访问VPN面向零信任网络架构转型。VPN等传统远程访问方式在稳定性、灵活性、安全性等方面存在不足,零信任强调通过多源数据对每一个访问行为进行信任评估,能够对远程访问和数据交互的人员、设备、环境等进行有效的安全把控。