7月25日,在中国通信标准化协会CCSA TC8 WG3第60次工作会议上,由腾讯牵头提案的“零信任安全技术-参考框架”行业标准正式通过权威专家组评审并成功立项。这是自2010年国际上提出零信任模型“ZeroTrust Model”后业界迎来的首个零信任安全技术行业标准。
每一年,数千家公司企业遭遇数据泄露,数十亿条数据记录被网络攻击者渗漏,导致企业破产倒闭,地缘政治情况恶化,大家开始失去对国家选举程序完整性的信心。
基于意图的隔离,就是通过结合AI,能够根据业务意图来分解业务和安全需求,然后动态地应用安全协议,包括实现机器速度下的检查与隔离。
不只是“信任但要验证”,零信任模型应该假设攻击者最终会开展入侵活动——即使他们还没有。目前有一些对零信任的误解阻碍了其发展。
零信任安全(Zero Trust)是以身份为中心进行访问控制的安全概念,其核心观点是不自动信任何访问者或设备
“零信任”这个词是佛瑞斯特研究所在2010年提出的,其概念也是谷歌在同时期设计的BeyondCorp架构的核心理念。公司企业历来假设自己的内部网络是安全的,谷歌挑战这一传统认知,声称公司网络不比公共互联网安全多少,每家公司都需要一个默认不信任任何人的安全架构。
无论公司网络安全与否,传统信任仲裁者——下一代防火墙、VPN、Web网关、网络访问控制、网络数据防丢失等,在边界外都没价值。因为所有新的企业应用创新基本都发生在云端而不是边界内的现场,这一问题越来越严重,无法在边界外执行计算的公司将被抛弃。
网络威胁似乎随时能够将人们构建的安全防线给吞噬掉。而对于企业网络来说,要想获得“终极”安全,零信任理念必须要建立起来了。
专家表示,“零信任”模式为解决用户导致的攻击带来希望,但是否有些矫枉过正?