随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,边界概念日渐模糊,传统安全防御模型越来越不足以应对威胁,以往静态的“隐式信任”模型亟待重构革新。基于“持续验证,永不信任”的核心思想,零信任理念进入行业视野。
但由于方案设计、技术实现、测试评估、实际部署等阶段暂时缺乏统一和准确的指导框架,加之业内厂商的探索方向不尽相同,缺乏共通的话语体系,零信任的发展面临很大阻碍。因此,行业亟需建立具有前瞻性并达成共识的技术标准。
近日,工业和信息化部发布2023年第38号中华人民共和国工业和信息化部公告,正式批准发布YD/T 4574-2023《零信任安全技术参考框架》(下面简称《参考框架》),这是由腾讯牵头提案的首个国家部委批准发布的行业标准,意味着行业今后在产业技术的发展升级、改善品质服务、降低部署成本等层面,都将“有标可依”。
《参考框架》于2019年正式通过中国通信标准化协会CCSA权威专家组评审并成功立项,此次获批填补了国内在零信任领域的技术标准空白。标准适用于零信任安全系统的设计、开发和使用,给出了零信任安全技术参考框架,包括基本原则、技术框架、工作过程、核心功能模块等内容的规范化要求,对于行业构建高质量网络安全架构和网络安全设施具有重要意义。
《参考框架》主要解决零信任网络安全技术的标准化、规范化等问题,帮助用户基于标准化的方式来评估其安全态势,重构网络与安全应用。其核心内容主要包括零信任网络访问主体、访问客体和零信任安全系统(零信任安全控制中心和零信任安全代理)三部分:其中,访问主体可通过现有的第三方安全产品/服务等方式接收并响应零信任安全系统的指令,向零信任安全控制中心上报安全状态,并通过安全代理与访问客体通信。
同时,明确了零信任安全系统是实现零信任安全技术的相关产品、服务或其组合;零信任安全控制中心具备对整个访问过程的持续安全监测、信任评估和动态更新访问控制策略等功能;零信任安全代理具备访问流量的重定向和保护等功能;访问主体能否对访问客体进行访问,取决于零信任安全系统的持续安全监测、信任评估和授权决策,访问主体对访问客体的访问,不允许绕过零信任安全系统。
作为国内最早实践零信任的企业,腾讯安全一直致力于推动零信任理念在中国的落地。早在2016年,腾讯就在国内率先落地零信任安全架构;2019年,腾讯将内部实践和研发出来的解决方案对外发布,形成了商业版iOA零信任安全管理系统,实现访问全程的4T可信零信任;2021年~2022年,腾讯将零信任解决方案升级,以接、防、管、控一体化实现零信任自适应持续保护机制。目前,零信任技术架构已在腾讯安全的产品中无缝落地,并在政务、医疗、交通、金融等多行业成功应用。
腾讯零信任iOA通过一体化终端的产品策略实现了零信任网络访问、职场办公安全、身份安全、以及终端安全管理、数据安全等维度的功能,基本满足了大部分公用云客户和私有化客户的定制需求。与此同时,腾讯零信任网络访问根据市场需求的变化不断调整,以更好满足企业的网络安全诉求。
未来,腾讯安全在输出自身安全能力的基础上,也将持续推动零信任理念在中国的加速落地,深耕“标准化+”新业态,助力网络安全产业有序健康发展,护航企业数字化建设。
评论 {{userinfo.comments}}
{{child.content}}
{{question.question}}
提交