企业数字化转型,业务上云使传统基于边界防护的网络安全架构难以适应新环境。疫情期间,近程协同办公让企业切实体验了提高效率、开源节流的同时,也减少了外部数据资源的网络裸露面和工作传输环境的复杂性,更容易遭逢不法分子的高级持续性威逼,晋升了企业网络安全的治理难度,零信赖平安理念开始受到行业关注。
但因为方案设计、技术实现、测试评估、理论部署等阶段临时不足对立和精确的领导,给零信赖的落地倒退造成了妨碍。 行业亟需建设具备前瞻性并达成共识的技术标准。
2020 年 6 月 24 日,腾讯联结零信赖畛域多家权威产学研用机构独特成立国内首个“零信赖产业规范工作组”。通过近一年的探讨钻研,2021 年 6 月 30 日, 由腾讯平安牵头起草,联结公安部第三研究所、国家计算机网络应急技术解决协调核心、中国移动设计院等业内 16 家零信赖厂商、测评机构及用户编制的中国第一部《零信赖零碎技术规范》(上面简称《标准》)正式公布。
(《零信赖零碎技术规范》)
《标准》规定了零信赖零碎用户在“拜访资源”和“服务之间调用”两种场景下,应有的性能及性能技术要求和相应的测试方法,包含逻辑架构、认证、拜访受权治理、传输平安、平安审计、本身平安等方面。 实用于零信赖零碎的设计、技术开发和测试,让“零信赖”行业领有了标准化技术规范,为所有平安厂商的服务、品质、倒退提供了松软的根底和方向指引。
《标准》岂但填补了国内在零信赖畛域的技术标准空白,也在产业技术的倒退降级、改善品质服务、升高部署老本等层面,提供了极具操作性的指导意义和参考规范。
(测试环境典型示意图)
一、零信赖的利用场景
零信赖在所有须要对资源拜访进行平安防护的场景都能够应用,次要场景分为两类,一类是站在发起方,用户拜访资源的场景,指的是用户拜访外部资源时,如何验证用户是可信的,如何确保拜访起源终端可信,如何确认领有拜访资源权限。
另外一类是站在服务方,即服务资源之间如何平安的相互拜访。但是否采纳,应依据企业可承受的平安危险程度和投入综合思考决定。
二、用户拜访资源场景技术要求
用户拜访资源场景下,次要包含四个逻辑组件:拜访主体,零信赖网关,零信赖控制中心和拜访客体。其中拜访主体为资源拜访发起方,零信赖网关提供对来访申请的转发和拦挡性能,零信赖控制中心提供对来访申请的认证和继续访问控制性能,拜访客体提供被拜访的资源。
另外,零碎还能够通过联动接口,与身份认证、平安剖析、入侵检测方面的其余零碎进行对接。
(用户拜访资源场景逻辑架构图)
三、服务之间拜访场景技术要求
服务之间拜访场景下,次要蕴含两个逻辑组件:策略控制点和策略执行点。策略控制点负责鉴权和受权判断,并提供业务流的可视化能力;策略执行点用于执行访问控制决策,容许 / 回绝通信或进行协商加密;有时也会将工作负载的相干信息同步给安全控制核心,从而辅助其进行决策。
策略执行点有两种状态:一是部署在工作负载上的服务端代理,另一种是运行在网络上的网关。
(服务之间拜访场景逻辑架构图)
此外,《标准》还对“用户拜访资源”和“服务之间拜访”场景下,应有的性能、零碎本身平安、性能、部署、容灾技术要求以及测试方法进行了具体解读。
(测试环境典型示意图)
《零信赖零碎技术规范》毫无疑问是国内零信赖倒退的一块里程碑,而达成这一重要阶段性成绩,背地离不开腾讯平安对零信赖平安理念标准化建设的踊跃推动。
- 2019 年 7 月,由腾讯牵头的“零信赖平安技术参考框架”获 CCSA 行业标准立项;
- 2019 年 9 月,腾讯牵头的《服务拜访过程继续平安指南》零信赖 ITU 国际标准正式立项,实现了国内在零信赖畛域国际标准的冲破;
- 2020 年 6 月,腾讯联结业界多家权威产学研用机构,在产业互联网倒退联盟下成立国内首个零信赖产业规范工作组;
- 2020 年 8 月,工作组在业界率先公布《零信赖实战白皮书》;
- 2020 年 10 月,工作组发动零信赖产品兼容性互认证打算,促成不同厂商间零信赖相干产品的兼容性和互联互通;
- 2020 年 11 月,工作组推动“零信赖零碎技术规范”联盟规范研制工作。
作为国内最早践行零信赖的企业,腾讯始终以来十分重视通过标准化的形式,推动零信赖平安理念在国内落地。并在外部实际落地零信赖网络架构、自研零信赖 iOA 零碎。
将来,腾讯平安将持续以本身技术和实践经验为根底,协同生态搭档独特促成零信赖产业规模化倒退,为零信赖在各行业畛域的落地提供参考和撑持,助力网络安全的衰弱倒退。
点击【零信赖零碎技术规范】,即可下载全文。