甲方怎样落地零信任?解读安世加零信任建设调研报告

历时三个月,与133家企业的 CSO、技术总监或安全专家一对一深入交流后,安世加《零信任建设调研报告》终于发布了!

持安科技作为零信任领域的标杆企业,深度参与本报告内容策划、调研

持安希望与业界共同探讨学习报告中不同甲方对零信任的规划、实践落地情况,推动零信任在国内的发展。

甲方怎样落地零信任?解读安世加零信任建设调研报告_第1张图片

133份问卷数据

本次调研,安世加面向全国范围内各个行业的甲方企业广泛发布问卷,最终回收来自甲方企业信息安全部门、IT部门的问卷数据共133份。

在提及对零信任的理解时,报告显示不管甲方企业内部是否已经部署了零信任,93%以上的甲方企业都不认为零信任=SDP=VPN替代。

这证明甲方对零信任的认知,不再局限于远程办公等场景,零信任市场教育也在改变与前进中。

持安认为,零信任理念是在传统的IT基础设施之上,建立一套办公安全网络,以业务身份为中心,基于分层防护思想,最小权限原则,对访问者做动态、持续的可信验证。零信任平台承载业务,可以保障甲方全场景、全行业的办公安全,是一个体系化的方案,而非仅仅作用于网络层的SDP\VPN替代类产品。

133份企业问卷中,已部署零信任的企业58家,占比43.6%;未部署零信任的企业75家,占比56.4%。两者差距正在缩小。

近年来,安全正在变得越来越重要。一方面,关基保护措施、数据安全法等法律与政策的实施,信息安全建设已经成为组织发展的刚需。另一方面,边界防御失效、企业IT基础架构变化等原因,传统的网络安全产品,已经不能满足愈加复杂的业务环境,无力保障企业数据资产安全,网络安全领域需要一场理念上的变革。

零信任理念自2010年被提出,2020年疫情后,零信任在国内的关注度达到顶峰,因此2020年也被称为国内零信任元年,而今天,零信任理念的价值正在被更多甲方企业看见,零信任在国内的发展已经从理念走入落地。

持安科技是来自甲方的零信任明星企业,创世团队自2015年开始在大型甲方研究、落地零信任理念,至今已有8年经验。经历了零信任从一开始的无人问津到突然火爆,又到现在真正进入落地时代。我们相信未来,零信任一定可以真正的变成企业的IT基础设施,为更多企业提供安全与业务价值。

58家企业已部署零信任

哪些行业部署零信任较多?

在58份已布局零信任企业中,金融企业 23 家,占比 39.6%;互联网企业 14 家,占比 24.1%;制造业 10 家,占比 17.2%,其他占比 19.1%。

金融类甲方属于强监管类,他们的数据如果遭受攻击和泄露,导致的后果和损失尤为严重,因此金融机构也是最看重安全建设的行业之一。受到时有发生的安全事件和政策的推动,让金融机构不断地探求新的手段来加强自身安全建设。

甲方怎样落地零信任?解读安世加零信任建设调研报告_第2张图片

互联网企业的特点是大多数重要业务都在互联网端发展,员工的办公方式也较比较多样化,很难用简单粗暴的物理隔离,或者特征检测等传统的安全产品,来保障这种新型业务场景的办公安全,无法真正抵御未知攻击,因此互联网行业也是对零信任接受度较高的企业之一。

这些领域也是持安落地零信任的方向,目前,持安已经为互联网、金融、能源、科技、地产、高端制造、新零售等数十个领域提供零信任办公安全解决方案,获得行业头部客户一致好评。

推动甲方在企业内部署零信任的动力是什么?

报告显示,安全需求为大部分甲方最在意的因素,占据了 63.5%;其次是事件驱动,类如黑客攻击、数据防泄漏等不可控事件驱动,占比 22.7%;最后是监管要求达到 9.8%,自主评估、趋势要求等原因占据 4%。

甲方怎样落地零信任?解读安世加零信任建设调研报告_第3张图片

近几年来,网络安全教育成果初显,企业不再趋向于在安全事件发生之后再采取补救措施,而是提前建立体系化的防御机制,防患于未然。

零信任的默认不可信原则,变被动防御为主动防御,将传统的“先访问,再验证”模式,变为“先验证,再访问”,所有的访问请求必须先经过可信代理转给决策引擎,决策引擎综合评估其身份、设备、行为及上下文,只有经判断可信的数据包,才可以进入业务系统。改变攻防态势,提高黑客的攻击成本。

甲方建设零信任希望解决什么?

内部管控与身份验证是甲方落地零信任时最关心的因素,占据了需求因素的一半,各占 26%;数据安全与边界安全逐渐成为甲方关心的重要因素,仅次于前两项,各占到 24%,其次是应用防护。

甲方怎样落地零信任?解读安世加零信任建设调研报告_第4张图片

许多人最早了解到零信任都是 Google 的Beyondcorp 项目白皮书。 Google 当年遭遇了严重的APT攻击,攻击者通过多种0day漏洞组合,导致内部业务系统被攻陷。而后Google 通过 Beyondcorp 应用层零信任架构来加强业务防护,同时做到真正不区分内外网、无边界访问安全的办公体验,兼顾安全与效率。零信任也是在此之后,真正走入大众视野。

作为Google Beyondcorp 架构在国内的最佳实践,持安从甲方到乙方,是国内首批参考Google Beyondcorp 架构落地的企业,采用切面分层模型,从链路、网络、应用到数据均实现了不同颗粒度的零信任代理和控制能力,真正实现了基于身份访问的动态策略:

1. 内外网无感知访问:站在业务视角,通过一体化平台的方式,提供安全、高效、无感知的办公方式,无论用户处于内外网何处位置,都可以使用相同的方式进入业务系统。

2. 应用层零信任:业务系统零改造,无感接入,实现了基于Google Beyondcorp的应用层零信任能力,可防护内外网未知威胁;

3. 数据安全控制:可精准识别什么人在访问什么应用的敏感数据,通过零信任策略对数据获取进行控制,将零信任能力深入到业务数据;

甲方主要在哪些场景落地零信任?

远程访问场景总占比达到35%,内网访问场景也已经占到被访谈企业的20%,证明企业正开始逐步构建不区分内外网的零信任。

甲方怎样落地零信任?解读安世加零信任建设调研报告_第5张图片

越来越多的数据泄露和勒索病毒事件,让大家意识到,边界防御模型中的“内网”也不是绝对安全的,存在隐形信任,社工、渗透等攻击一旦突破了边界防御,在内网中会很容易横向移动。

SDP或VPN替代类,或是传统的安全产品,无法完全解决内网的安全问题。

基于VPN开发的SDP,需要通过多个网关或POP节点建立隧道,但同一时间同一个客户,只能链接到同一个接入点,在大型企业内网中,会导致网络延迟、风险过于集中、单点等问题。

持安以真正零信任最佳实践的方式落地零信任,可以在内外网快速落地的同时,兼顾安全与效率。

持安在网络层、主机层、应用层、数据层,分别做了不同的能力,每一个层级都施行分布式访问,接入点都部署在业务前面,用户在任一地方访问,通过零信任综合调度,选择最近、最快的路线访问,一个端点可以同时访问多个地方,使内外网访问皆无延迟,具备大型企业内网全面落地的能力。

未来,甲方对零信任有什么计划和期待?

计划用零信任来帮助安全运营占比28.2%,数据安全占比25.5%,权限管理占比 16.2%,生产环境占比9.3%,终端占比9.3%,沙箱占比4.6%,身份管理占比4.6%,API安全占比2.3%。

甲方希望通过建立零信任系统来实现更多价值,例如提高企业的安全运营效率、加强数据安全与权限管控能力等。

在安全运营角度,持安零信任产品基于业务身份建立,为基于人的身份识别从终端、网络,到应用访问、业务操作和数据获取的全链路过程,大幅提高安全分析能力,实现精准溯源和安全分析,提高安全运营的效率。

数据安全层面,持安零信任能力可深入到应用层、数据层,对资源施行分层、分级管理,自动发现敏感的应用和数据。

另一侧,零信任可以深度感知员工的异常行为,例如文件下载与外发、突然大量访问业务系统等,立即阻断并上报,对其施行加强认证或阻断。

75家未部署零信任

未部署零信任的75家甲方安全状态是什么?

在企业的安全建设上,大多数甲方企业仍采用了防火墙、WAF、IPS、IDS、防病毒等安全设备与设施。在办公设备方面,甲方目前使用杀毒软件、桌管等较多。

但这些属于较为传统的安全产品是基于特征做对抗,无法发现所有的漏洞,无法检测出所有的攻击手段,安全部门只有被动防守,无法做主动防御。

零信任基于可信验证,根据访问者的业务身份构建信任链,只有经过验证满足多种元素可信标准的请求,才可以进入到业务系统。此时,业务系统内即使存在漏洞,到达业务系统的数据也是可信的,可以有效抵御未知人员发起的未知攻击。

未来会部署零信任嘛?

对于未来是否将会部署零信任的问题,有26 家甲方企业表示有计划在1-3年内引入零信任,占据34.7%;17 家甲方企业则表示暂无相关计划,占据22.7%;而8%的甲方企业对于零信任还是在考虑中,处于观望阶段, 部分甲方企业对此则未做出回应。

甲方尚未部署零信任,主要原因是:预算不足、担心零信任无法落地、如何说服高层接受零信任理念。

持安零信任可在甲方快速落地:

1. 高性价比:持安以平台化的方式构建零信任架构,所有组件微服务化,可动态拔插,组件分布式部署,组件调用十分高效,可以做弹性扩容。可与企业原有的安全产品相融合,实现联防联控,显著提高安全投入产出比。

2. 提高效率:零信任能够在甲方快速落地,就需要效率至上,用户无感知、0学习成本,业务不需要改代码、接入成本低,可一体化管理,提高效率。

3. 产生业务价值:不单单做网络层,我们站在业务的角度,帮助业务解决安全与效率问题。

持安科技目前已服务40余家大型客户,多家客户员工数过10万人和万人规模,总用户数过60万,接入业务系统20000+,实现了零信任内网全面落地,产品经受住了长时间、高并发的考验

你可能感兴趣的:(网络)