如果要挑選2020年年度安全熱詞,相信「零信任安全」一定會是首選之一。
零信任安全(Zero Trust),是2010年由諮詢公司 Forrester 的分析師約翰·金德維格提出的安全理念,其本質是以身份為基石的動態訪問控制,即以身份為基礎,通過動態訪問控制技術,以細粒度的應用、接口、數據為核心保護對象,遵循最小權限原則,構築端到端的身份邊界。對於零信任安全理念來說,2017年是第一個分水嶺,當年Google基於零信任安全的BeyondCorp項目取得成功,驗證了零信任安全在大型網絡場景下的可行性,業界也開始跟進和開展零信任安全實踐。
而特殊如2020年,由於疫情的爆發,客戶方對遠程辦公中安全問題的重視,零信任安全理念也迎來第二個分水嶺——無論是大大小小的峰會話題,還是多家和零信任理念掛鈎的企業不斷獲得融資,這些現象都證明它已經被加速認知。在這個時點上,我們也和一些企業就此話題進行了交流,「數篷科技」是其中的一家。
36氪此前曾對「數篷科技」進行過報導,該公司成立於2018年,主要為企業提供基於輕量可信計算和零信任理念的下一代網絡安全架構解決方案。其曾於今年年初完成時代資本,基石資本、松禾資本領投及老股東經緯中國跟投的1300萬美元A輪融資。公司現有產品包括零信任終端安全工作空間(DACS)、零信任應用訪問網關DAAG,同時還在今年9月發布了HyperCloak®(凌界)增強型零信任安全框架。
其中,零信任終端安全工作空間(DACS)產品採用新一代安全沙箱技術,將零信任架構由訪問控制提升至數據安全級別,幫助企業實現對敏感數據的訪問控制及隔離管控,可替代 VDI、DLP、IDV、VPN 等傳統產品和技術。零信任應用訪問網關(DAAG)是基於零信任架構的細粒度應用訪問控制網關,可以幫助企業解決多業務系統的統一身份認證和權限管理問題,實現從網際網路安全訪問內部業務系統,快速、低成本地升級到零信任標準架構。
而HyperCloak®(凌界)增強型零信任安全框架,意在優化以Google BeyondCorp為代表的ZTNA(Zero-Trust Network Access)零信任安全框架在數據安全、協議支持和實施困難等方面的不足;同時,開放了相應的安全能力和SDK,可以與企業、行業現有產品深度協作,共同推動企業IT網絡安全基礎設施升級和數字化轉型。
在「數篷科技」創始人劉超看來,「零信任」是一種理念和思想,除了「永不信任、持續驗證」的特徵,還包含許多基礎架構方向的技術。市場中有諸多零信任廠商推出了各自的產品,但解決的問題側重點以及深度各不相同。不過不可否認,零信任市場整體還在早期,看到谷歌升級零信任架構用了五年時間,很多人也有零信任架構升級改造的成本過高、周期過長的顧慮。或許更合適的方式是,「從更底層的基礎架構做起,可以實現低成本、免改造和靈活的升級和部署方式。」劉超認為。
以下是對話部分(經36氪編輯):
36氪:今年大家對零信任討論的非常多,作為一家專注於零信任的公司,您覺得熱度為什麼是在今年爆發?
劉超:我覺得零信任也不是今年開始火,從2019年開始國內一些創業比賽里就湧現出了許多號稱零信任的公司。要提到今年的特殊意義,疫情其實起到了推波助瀾的作用。本質上是因為現在企業的運營環境和原來不太一樣了,很多企業的網絡和外界互聯,移動辦公以及跨組織的協作需求越來越多了,如VPN等方案暴露出的安全問題,也促使大家尋求一種新的解決方案。
36氪:零信任雖然是一種理念,不過觀察到當前大家對裡面的一些技術,比如IAM、SDP和微隔離等提的非常多,您怎麼看這一現象?
劉超:零信任本質上是要解決企業在開放網絡環境下,讓合法的人和應用得到合理的授權,同時保護企業數字資產安全的問題。其中的 IAM、SDP、微隔離還有AI決策引擎等等很多模塊,都是構成整個零信任安全框架的一部分。如果單獨拿一項出來,都可以稱之為零信任產品,比如零信任身份、零信任網絡訪問、零信任工作負載等等,但每個產品解決的問題是不同的,不具有完全的可比性。
36氪:單個技術都是單點突破,不過看到數篷前段時間也發布了HyperCloak®(凌界)增強型零信任安全框架,這一框架的意義或許有解決方案的考量?
劉超:現在有Gartner提出的ZTNA(Zero-Trust Network Access)框架,美國國家標準技術與標準研究院的零信任安全架構,Google的BeyondCorp安全框架等,而HyperCloak®(凌界)零信任安全框架優化彌補了以Google BeyondCorp為代表的ZTNA零信任安全框架在數據安全、協議支持和實施困難等方面的不足,還能夠和其他的企業、行業的產品融合,可以說比其他框架要更進一步,更能適應數據安全和易於部署的需求,更適合中國企業的現狀。
36氪:更進一步具體體現在?
劉超:體現在三個方面。首先,我們不僅解決零信任的訪問接入和認證問題,還解決了在節點上的數據安全問題。第二,我們支持的協議比業界傳統的要廣,讓客戶在部署和實施的時候比較容易。有很多客戶講零信任很困難,實施周期很長,老系統的改造成本很高,我覺得通過我們對更多協議的支持,可以讓用戶方在具體實施上感受到便利。第三,我們覆蓋的場景比較多。ZTNA其實重點著眼於企業遠程辦公、替代VPN這個方面,HyperCloak®(凌界)橫跨了企業辦公到雲計算再到邊緣計算場景,對企業來講其實是更全面解決方案。
36氪:現在大家談到零信任,一個問題是說客戶在使用零信任產品的時經常會覺得改造成本高,您覺得產生這種現象的原因是什麼?
劉超:我覺得基於兩點,第一就是霧裡看花,可能有些人沒實際做過這個技術,之前是通過理論研究、報導等去了解,就會下一個結論說零信任很複雜、改造成本高。第二,和解決問題的視角、技術實現方法有關。
以谷歌的實踐來看,它到2017年才完成了零信任架構的升級,大概實施了5年時間,所以大家印象中會覺得谷歌的技術能力這麼強,還花了這麼多時間,那麼零信任可能天然就要花很多時間和成本。但為什麼谷歌要花5年的時間去改造?因為谷歌內部有自己的一套機制,比如各個應用系統之間應該怎麼通信,這種機制是基於應用層的,要做零信任改造,意味著各個業務系統都得改造。在應用系統都得改造的情況下,當然會對時間和成本產生高要求。我覺得我們在國內可以參考別人的思想,但不能照搬別人的做法,還是要結合國內用戶的實際情況,比如從更底層去做,減輕零信任架構的改造成本。
36氪:現在零信任安全入局者也非常多,如果要給正「霧裡看花」的客戶建議,您覺得一個客戶要做好零信任選型需要注意哪些方面?
劉超:最根本的一點,客戶要想清楚自己想解決什麼問題,這是衡量結果的標準。第二點,零信任解決方案都是靠軟體來實現的,和用戶的業務密切相關,所以技術指標、技術能力其實是一個非常重要的判斷標準。可以通過POC測試找到最佳的解決方案。
36氪:根據您的回答,是否會存在一些客戶天然更適合做零信任改造?
劉超:最主要的是客戶有沒有需求。客戶要清晰自己整個公司的安全策略和網絡架構,自己能夠想明白要達成什麼目的。
36氪:如果一些廠商之前為客戶深度服務過,應該會更好推這類產品。面對這類競爭,數篷有壓力嗎?
劉超:對客戶更了解肯定是優勢,但從本質上來講,數篷做的東西相當於零信任的基礎架構解決方案,就像網絡交換機、網絡路由器和網線,這些通用的東西和使用者什麼類型公司沒有關係。企業對客戶業務的熟悉,並不能在產品上產生直接的競爭優勢。
數篷科技的產品具備一定獨特性。我們是從基礎架構的角度來看這個問題和設計產品的。我們過往的工作經驗就是做大規模分布式系統,對HyperCloak零信任安全框架相關的模塊都是松耦合的,擴展性比較好;客戶可以用數篷原生的程序,也可以提供API調用或者SDK嵌入。我們可以根據企業的實際情況來做特定的解決方案,調整自己的部署架構來適應客戶的情況,而不是讓客戶改造自己的系統來適應產品。同時,數篷科技的產品還可以和企業現有的安全產品融合,讓企業更平滑地升級。另外,數篷不向客戶售賣零信任的概念,客戶可能要解決遠程辦公的問題,可能解決原始碼泄露的問題,可能要解決研發效率不高的問題,可能要解決數據保護的問題,我們把客戶的業務需求作為切入點,大家的接受程度就會比較高。因為他們衡量的不是零信任,而是衡量你有沒有幫他很好地解決這些問題。
36氪:現在零信任在安全圈裡談的非常多,不過在客戶端應該還處於一個需要市場教育的階段,您覺得大概多久這件事就會在市場中走向成熟?
劉超:市場教育肯定還是需要的。你得讓技術人員理解這種方案的優勢在哪裡,這個方面我覺得還是需要過程的。也幸好業界大家都在談論這個概念和技術,零信任畢竟現在還處於膨脹期,在未來的2~5年會成為一種主流方案。而且,零信任安全框架相關的產品還在不斷完善的過程中,把技術創新做好、產品做紮實才是最根本的。