Gartner发布2023年零信任网络技术成熟度曲线:19 种最受关注的零信任相关技术进展及发展趋势
大多数组织都有信息安全零信任策略,这直接影响网络策略和设计。该技术成熟度曲线将帮助基础设施和运营领导者选择合适的技术,以务实地将零信任原则嵌入其网络中。
战略规划假设
到 2026 年,10% 的大型企业将拥有全面、成熟且可衡量的零信任计划,而 2023 年这一比例还不到 1%。
需要知道什么
零信任是大多数组织寻求降低环境风险时的首要任务。因此,基础设施和运营 (I&O) 网络领导者及其团队越来越多地被要求将零信任概念应用于其基础设施。零信任通过基于身份和背景的持续评估风险和信任级别来取代隐性信任。I&O 领导者必须与安全领导者密切合作,将零信任原则纳入他们的网络中。
关于零信任有很多“噪音”,这使得人们很难区分可靠的做法和营销炒作。零信任不是单一的技术、实施或最终目的地。相反,它从根本上是一种心态或范式,导致特定架构和技术的策略和实施。
I&O 领导者必须投资于人员、流程和技术,以改善其网络环境的零信任状况。该技术成熟度曲线重点关注他们应重点关注的技术,以将零信任原则嵌入其网络中。
炒作周期
这是一个新的技术成熟度曲线,描述了 I&O 网络领导者最相关、最受炒作的 19 种零信任技术。我们定义每项技术,描述其优势,确定其市场渗透率,并指出其增长的驱动因素和抑制因素。
强调:
-
炒作顶峰:由于与公有云和 SaaS 服务相关的流量发生变化,以及组织希望融合安全工具和供应商,安全服务边缘 (SSE) 正处于期望过高的顶峰。人们对 SSE 的兴趣非常高,因为该技术通过提供云驻留执行和融合不同的供应商和操作接口来帮助解决这两个发展问题。
-
深陷低谷:由于众多技术厂商的夸大营销,安全接入服务边缘(SASE)正处于幻灭低谷。
-
接近平台期:多项技术正处于启蒙阶段,在企业采用方面已达到成熟状态。它们包括远程浏览器隔离 (RBI)、容器安全、微隔离、OpenID Connect 和零信任网络访问 (ZTNA)。这些技术在现实世界中得到了最广泛的采用,并在实现零信任的过程中提供了现实世界的好处。
-
进展迅速:RBI是发展最快的技术之一,因为它越来越多地作为 SSE 的一项功能嵌入,从而加速了采用。随着平台团队的数量和影响力的增加,服务连接层(SCL)也在技术成熟度曲线上快速发展——这些团队正在寻找能够简化网络和网络安全的软件抽象,以加快开发速度。
图 1:2023 年零信任网络技术成熟度曲线
优先级矩阵
我们预计微隔离、容器安全和 RBI 将在未来两年内实现主流采用,因为许多企业已经对这些技术表现出兴趣并采用这些技术。
我们预计没有任何具有变革性效益的技术能够在未来两年内实现主流企业采用。这是因为现有企业网络的重要性和/或实施重大调整的时间框架。不过,我们确实预计 SASE 和 SSE 将在未来两到五年内实现主流采用。这一进展将由企业在将工作负载转移到云时对云交付的安全性和融合功能的需求以及商业供应商的健康新兴供应推动。
表1 :2023 年零信任网络优先级矩阵
| 益处 |
主流采用的时间 |
|||
| 不到2年 |
2-5年 |
5 - 10 年 |
超过10年 |
|
| 变革性的 |
SASE 安全服务边缘 |
|||
| 高的 |
微隔离 |
数字体验监控 混合网格防火墙平台 OpenID 连接 统一终端安全 通用ZTNA |
托管SASE 零信任策略 |
|
| 缓和 |
容器安全 |
Kubernetes 网络 ZTNA |
CAEP 企业浏览器 服务连接层 |
|
| 低的 |
远程浏览器隔离 |
外联网即服务 网络保障 |
||
资料来源:Gartner(2023 年 7 月)
处于上升期的技术
1、企业浏览器
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
企业浏览器和扩展通过托管 Web 浏览器或插件扩展提供安全服务,以实现策略实施、可见性和生产力。此类别中的许多产品提供与 SWG、CASB、ZTNA、RBI、VDI 和 VPN 产品类似的轻量级功能和优势。企业浏览器是对现有安全解决方案的补充,并且已经在为非托管设备提供访问和状态评估安全性方面取得了早期成功。
为什么重要
企业浏览器代表了一种提供安全服务并从操作系统分层的现有安全代理接收实时情报的新方式。如今,许多此类产品能够提供其他安全产品的一些重要功能和优势;然而,权衡仍然存在。随着该类别变得更加成熟以及更多合作伙伴进入生态系统,这一差距预计会随着时间的推移而缩小。
商业冲击
现有的安全产品将继续为企业提供日益复杂的保护、访问控制和报告分析级别。然而,其中许多产品将通过战略合作伙伴关系、集成或浏览器扩展来扩展功能以支持浏览器。企业浏览器不太可能取代整个企业现有的安全控制,而是扩展这些工具的范围以增加用例覆盖范围。
驱动因素
-
企业浏览器正在采用新的远程工作模式,以巩固依赖非标准化设备的承包商、供应商和分支机构的安全远程访问。
-
现有的安全解决方案通常难以支持非托管设备。企业浏览器通过提供可接受级别的安全远程访问来维持最熟悉的最终用户体验,从而在这一领域获得了早期市场关注。
-
中小型组织也有望成为该技术的早期采用者。环境和要求较简单的组织可能会看到早期机会,用企业浏览器取代现有的或添加新的安全控制,这是一种更便宜、集中管理的选项,可以立即提高其成熟度水平。
-
许多安全供应商已经通过扩展提供与浏览器的集成,而其他供应商则寻求与浏览器制造商的战略合作伙伴关系和集成。企业浏览器代表了一种向组织提供安全服务的新方式,它扩展了传统网络安全解决方案的优势。
-
企业浏览器供应商正在加强与安全控制的集成,例如数据丢失防护(DLP)、配置管理、日志记录以及与安全信息和事件管理(SIEM)/扩展检测和响应(XDR)平台的集成、身份保护、网络钓鱼防护、安全服务边缘 (SSE) 功能,以及跨下载和扩展的恶意活动监控。
障碍
-
免费浏览器无处不在,以至于组织必须有特定的用例来证明购买单独浏览器的合理性。随着企业开始认识到浏览器的可扩展且灵活的企业安全和管理潜力,这些理由将变得更容易识别。然而,大多数公司不太可能将预算专门用于企业浏览器,而无法抵消其他方面的支出。
-
拥有成熟网络安全和基础设施运营的大型组织可能会发现使用企业浏览器降低现有环境的复杂性是不切实际的,尽管可能存在特定的用例来证明相对较小的购买是合理的(例如为通过合并和收购获得的新组织提供第一天的访问权限)。采购、承包商访问管理或脆弱的关键基础设施之上的分层安全控制)。
2、外联网即服务
效益评级:低
市场渗透率:不到目标受众的 1%
成熟度:萌芽期
定义:
ExtranetaaS 是一种将 Extranet 作为服务提供的网络软件产品。外联网是一个逻辑网络区域,将多个独立方连接在一起,通常位于不同的管理域下,通常具有不同的要求。这些有时也称为 B2B 网络。
为什么重要
ExtranetaaS 可以帮助使用云服务加速合作伙伴之间的信息共享。尽管外联网自 20 世纪 80 年代以来就已存在(外联网一词自 1995 年以来一直在使用),但随着企业越来越多地使用公有云和 SaaS 服务,ExtranetaaS 简化了现代外联网的设置和安全运营的能力。
商业冲击
外联网是企业、合作伙伴、客户和其他外部方访问驻留在网络上的数据和系统的一种方式。它允许这些各方连接和交换所需的信息,例如应用程序组件或金融交易,并有助于连接具有共同利益的独立各方。金融服务行业就是一个例子,监管机构、证券交易所、市场数据公司和贸易清算之间通常需要本地连接。
驱动因素
-
传统上,外联网是使用专用电路或 IPsec VPN 在数据中心、附近的应用程序和数据中建立的。随着组织将应用程序迁移到公有云和SaaS ,这促使他们重新考虑现有的外联网方法。
-
原生公有云提供商不提供强大的高级网络配置来支持复杂的外联网连接场景,从而促使企业采用 ExtranetaaS 解决方案。
-
人们希望用更面向 API 和软件的解决方案来简化和替换物理基础设施,包括路由器、防火墙和 VPN 设备。
-
人们还希望取消昂贵的专用线路,例如 MPLS 或专用宽带。
-
小型和初创网络供应商积极瞄准企业,帮助他们解决组织将应用程序迁移到云服务时遇到的技术和安全挑战。
障碍
-
ExtranetaaS 对于大多数企业来说是一项全新且未知的技术。
-
外联网通常支持关键任务环境,从而导致适度渐进式变革的愿望。这与向 ExtranetaaS 的转变形成鲜明对比,后者需要由不太知名的供应商提供纯软件的 aaS。
-
公有云提供商的本机功能足以满足某些外联网用例的需要。
-
组织可以在云数据中心使用托管来应对使服务更接近公有云、SaaS 和合作伙伴服务的挑战,而无需使用 ExtranetaaS。
-
大多数企业网络团队对外联网部署采取“一劳永逸”的观点,而不是重新构建整个部署。这推动了现有外联网的适度增量现代化,而不是转换为外联网即服务。
-
ExtranetaaS 的投资回报率尚未得到证实。
-
供应商解决方案的供应尚不成熟,因为许多专注于该技术的供应商都是未经证实的小公司。
3、持续访问评估配置文件CAEP
效益评级:中等
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
持续访问评估配置文件 (CAEP) 是一项标准,使 IAM、安全工具及其保护的服务能够持续共享安全事件,以实现会话管理、减少违规行为并在去中心化环境中强化策略。CAEP 介绍了共享信号和事件 (SSE) 框架,该框架定义了在受信任方之间通信事件的机制,以实现连续的运行时访问决策。
为什么重要
-
应用程序和服务在混合且分散的 IT 环境中使用和部署。去中心化的环境需要新的会话管理机制。
-
系统之间的事件共享需要标准化的基于事件的协议。
-
CAEP 有助于解决长令牌生命周期、逐步身份验证、保证级别和设备状态的持续评估等挑战,并提供通信和响应身份生命周期事件的机制。
商业冲击
CAEP通过实现安全事件的持续交换来提高与身份联合相关的服务的安全性。这可以实现更高的会话保证级别和更好的用户体验。CAEP 提供了一种近乎实时的机制来验证索赔、请求升级身份验证和管理会话。因此,它可以在混合和分散的 IT 环境中实现集中安全。
驱动因素
-
组织的混合和多云环境中应用程序和服务的日益分散化使得持续会话管理变得困难。例如,单一注销的实施历来是不可能大规模实施的。
-
组织需要一种方法来了解用户经过身份验证后应用程序中发生的情况。因此,组织一直在寻找超越联合身份流的技术,这些技术仅保护“前门”,同时了解受保护应用程序“门后”发生的情况。由于缺乏允许基于事件共享访问信号的行业标准,云访问安全代理 (CASB) 历来是添加此控制的唯一替代方案。
-
OAuth 2.0 提供刷新和访问令牌来保持会话最新,但它的响应速度不够。在整个会话过程中保持高保证级别需要在中央身份提供商处重新评估用户,从而中断用户旅程。
-
在紧密编织的身份结构中,组织将多个 IAM 工具编织在一起来解决其身份用例,需要建立基于事件和运行时的通信机制来评估和建立信任,并为用例编排正确的工具。例如,有关用户的声明不再有效的事件,或者设备不合规的安全状况必须触发其他 IAM 工具响应该事件并在运行时重新评估其访问决策。
-
CAEP 是由广受好评的 OpenID 基金会定义的SSE框架的概要文件。
-
使用 CAEP 不断地将信号输入自适应访问引擎,使引擎能够拥有更多数据并做出更准确的访问决策。
-
社区开始提供 CAEP 测试平台(例如caep.dev)来提供教育,并测试 CAEP 实施,从而推动采用。
障碍
-
所有身份标准都需要很长时间才能得到普遍实施。身份标准在广泛部署之前存在“先有鸡还是先有蛋”的问题。目标应用程序等待标准是否成功,IAM 供应商等待其目标应用程序的广泛支持。CAEP 也是如此。现在部署的数量正在从小数量开始增长。部署是在供应商自己的工具内或在密切的合作伙伴之间进行的。例如,Microsoft 在 Azure Active Directory 中实施了 CAEP,并将其用于 Exchange、Teams 和 SharePoint Online。
-
CAEP 仍未被 IAM 专业人士或应用程序和服务开发人员广泛了解和理解。此外,IAM 供应商提供的有关 CAEP 的产品文档和教育材料仍然有限。
4、托管SASE
效益评级:高
市场渗透率:目标受众的 1% 至 5%
成熟度:新兴
定义:
托管安全访问服务边缘 (MSASE) 将 SASE 功能的整个生命周期作为托管服务提供。这包括设计、迁移、配置、安装、操作和管理。这些服务涵盖 SD-WAN、SWG、CASB、防火墙、零信任网络访问 (ZTNA) 元素以及安全态势和漏洞评估的核心 SASE 组件。
为什么重要
SASE管理往往由企业进行,因此SASE只适合具有成熟安全工程和运维能力的客户。许多企业缺乏管理和保护网络的专业知识,这表明 MSASE 对他们来说是更好的选择。60% 到 70% 的 SD-WAN 买家使用托管服务(例如MNS );我们预计 MSASE 会越来越多地以同样的方式进行调整。Gartner 客户对 SASE 的兴趣浓厚,在过去两年中收到了数以千计的咨询。
商业冲击
MSASE 可以加快企业实现价值的速度,减少内部资源的压力,同时降低运营风险,从而获得 SASE 的优势。目前,绝大多数 SASE产品都配备了新兴技术方面熟练且经验丰富的客户端网络和安全团队,而这是许多客户所缺乏的。MSASE 服务帮助这些客户更快地采用 SASE,并获得与拥有扎实的内部网络和安全专业知识的组织相当的优势。
驱动因素
-
客户对 SASE 很感兴趣,因为它使他们能够减少雇用的安全供应商数量,降低复杂性,同时支持关键转型计划,包括云和混合工作。
-
大多数企业无法雇用和留住足够多的员工,这些员工的技能足以满足不断扩大的安全运营的需求。
-
企业对 MSASE 的兴趣非常浓厚,因为它可以优化其安全架构并减少对内部资源的投资。
-
MSASE 提供商将 SASE 和供应商整合的浓厚兴趣视为利用这一趋势的绝佳机会,从而为客户带来更多的选择。
-
MSASE 供应商的增加带来了价格下降的压力,对于考虑购买不带托管组件的 SASE 的客户来说,它成为更具吸引力的替代方案。
-
由于市场目前缺乏统一的平台和单一的门户界面,企业通过订阅 MSASE 服务可以清楚地看到效率和性能,该服务提供其安全状况的单一平台视图。
障碍
-
许多网络和安全供应商都提供 SASE 解决方案,但市场上很少有具有单一管理平面、统一数据模型、数据湖和简化定价的可行产品。
-
供应商尚未实现 Gartner 对 SASE 的全面愿景,这让一些客户大失所望,并更快地向供应商寻求更多功能。
-
供应商通常会概括特定的企业用例,并首先提出他们的解决方案。
-
如今,几乎没有完全部署的 MSASE 服务。供应商的产品范围不断扩大,但在市场采用的现阶段,生产环境中的解决方案证据点有限。
-
客户采用受到当前承诺的限制——要么是带有剩余折旧的资本支出承诺,要么是受合同条款限制的运营支出承诺。
-
缺乏与客户一致的迁移计划。
-
MSASE 缺乏产品化生命周期流程(第 0-2 天)标准化将导致 SLA 体验支离破碎。
5、网络保障
效益评级:低
市场渗透率:目标受众的 1% 至 5%
成熟期:成长期
定义:
网络保证工具使用户能够验证网络是否按预期运行。这些工具作为软件提供,通常发现网络环境并对其进行建模。
为什么重要
网络变得越来越复杂,并且不断变化。配置、用例或消耗的变化不应降低性能或产生意外的副作用。网络保障对于负责网络健康和性能的网络和基础设施领导者来说至关重要。网络保障工具使用的技术有助于测试和验证,并且可以支持自我修复。
商业冲击
对于网络运营来说,回答网络是否按照预期运行的问题并不容易。但这就是网络保证通过对网络及其流量进行建模并运行验证测试来解决的问题。拥有验证应用程序和网络更改的网络模型可以加速应用程序的交付并提高可靠性。通过部署网络保障获得的可见性还将缩短平均解决时间 (MTTR) 。
驱动因素
-
网络变得更加动态,网络变化更加频繁。网络操作正在耗尽资源来手动验证当前状态和即将发生的更改。
-
现代应用程序越来越分散,并且随着应用程序工作负载跨越管理域而依赖外部服务,使得网络更难以评估。
-
网络复杂性增加了维护网络健康意识的工作量。
-
数字体验监控的兴起同时暴露了应用性能问题,现代应用对网络提出了更高的要求。
-
由于配置的算法正确性、直接映射到业务意图以及持续、动态和实时的验证,提高了合规性并简化了审核。
-
有很多供应商正在积极投资并在市场上推广这些功能。
-
供应商将网络“数字孪生”作为测试和验证网络活动的安全环境来营销,以支持网络和安全用例。
障碍
-
网络保障是对组织现有网络工具包的补充,而不是替代。工具蔓延对于大多数网络团队来说已经是一个挑战。
-
网络保证需要与网络发现和事实来源工具集成,这会增加复杂性并且不能现成使用。
-
网络保障工具构建的模型假设交换机和路由器防火墙等网络设备没有错误,并且不存在电缆或硬件问题。除非它们摄取并处理实时数据,否则它们仅代表网络的部分状态。
-
组织将需要设计、创建和部署适合其网络的自定义验证测试,并面临高昂的运营成本。
6、统一终端安全
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:
统一终端安全(UES)是一种集成终端操作和终端安全工作流程和工具的战略架构,有助于创建完整的风险识别、分析和修复周期。UES 源自统一终端管理 (UEM) 工具和终端保护 (EPP)(包括终端检测 (EDR) 和移动威胁防御 (MTD) 工具)的选定功能的集成。
为什么重要
终端保护工具可以在设备漏洞得到修复之前阻止攻击,但许多工具无法解决潜在的错误配置、缺少补丁或更新的问题。
UES 架构是统一终端管理和 EPP 工具和工作流程的衬里,结合了实时的上下文威胁情报,以优先考虑托管终端的补丁和补救措施。EPP 保护易受攻击的系统并通知 UEM,后者通过定期维护修复根本问题。
商业冲击
将EPP 威胁情报集成到终端操作流程中可以改进:
-
UEM 进行基于风险的修补和配置优先级。
-
通过终端保护和统一终端管理工具的集成,实现终端配置和补丁合规性的一致性。
-
通过集成 UEM 和 EPP 工具来持续审查终端配置,进行主动、准确的风险计算。
驱动因素
2022 年 Gartner 安全供应商整合 XDR 和 SASE 趋势调查发现,75% 的组织正在积极推行安全供应商整合策略,这种集成有助于创建:
-
何时以及是否应该采取自动风险补救措施(以补丁或更新的形式)等规范。
-
与基于网络的控制和限制相比,跟踪用户的自动化、具有风险意识的终端状态保护对于离线访问 SaaS 应用程序的工作人员来说通常没有意义。
-
可防御的补丁指标以风险而非完整性为中心,以主动减少终端攻击面。
障碍
-
需要手动集成工具的多供应商环境。这些集成增加了维护和支持的复杂性。
-
从单一供应商选择一套整合的工具将增加对该供应商的依赖,并且如果定价或其他参与细节发生变化,可能会延长寻找替代品的过程。
-
Gartner 估计,这项技术需要两到三年的时间才能达到技术成熟度曲线的顶峰,因为许多组织的运营和安全域的所有权是分开的,这使得统一规划变得困难。
7、通用ZTNA
效益评级:高
市场渗透率:不到目标受众的 1%
成熟度:新兴
定义:
通用零信任网络访问 (ZTNA) 将现有 ZTNA 技术扩展到远程访问之外的用例,以支持园区和分支机构“本地”位置的本地实施。“通用 ZTNA”是一个营销术语,因为最初的 ZTNA 定义并不限于远程访问用例。通用 ZTNA 集中用户或设备零信任访问策略以启用单个访问策略定义。
为什么重要
将 ZTNA 产品扩展到园区环境可为企业带来多项好处,包括消除安全漏洞、统一策略、增强可见性、简化操作和现代化定价模型。
商业冲击
尽管远程工作近年来激增,但未来的工作是混合型的。由于网络访问实施不一致,混合工作给员工带来了挑战,这可能导致生产力下降并增加安全和网络事件的可能性。通用 ZTNA 有助于简化多个环境中的网络和安全策略。
驱动因素
-
已为远程工作人员部署 ZTNA 并希望为本地用户扩展相同技术的组织。
-
组织正在寻求开发统一的安全策略,以允许访问资源,无论用户或设备的物理位置如何。
-
供应商开始积极推销通用 ZTNA。
-
当与淘汰重复系统以实现本地或远程访问安全性结合使用时,将现有 ZTNA 实施扩展到远程访问之外可以使企业实现更低的总拥有成本 (TCO) 。
-
无论是在办公室还是远程访问公司资源时,最终用户都希望获得一致的体验。
-
组织正在寻求通过减少交换配置量(例如,VLAN 之间、802.1X、MACsec 、专用 VLAN、访问控制列表 [ACL] 和微隔离)或减少对网络访问控制 (NAC) 的需求来简化园区网络的管理。 )。
-
组织正在寻求改善本地网络内外最终用户设备的可见性和控制。
-
组织希望基于用户和设备的风险实现近实时的自适应访问控制,而不仅仅是依赖用户或设备的物理位置或 IP 地址。
障碍
-
孤立的网络和安全团队意味着组织忽视了使用单一工具统一远程访问和园区安全的机会——每个孤岛都选择自己的产品。
-
提供强大的通用 ZTNA 产品的供应商数量有限。具体来说,缺点包括不受管理的设备和未经身份验证的用户,包括不受管理的操作技术 (OT) 和物联网 ( IoT )。
-
将流量引导至执行点可能需要重新设计网络,或者会产生延迟或复杂性并影响性能。
-
用于修补和软件分发的 IT 管理工具可能需要现代化,以支持到达孤立的终端,即使是在校园位置。
-
由于政策不当、ZTNA 基础设施存在漏洞或运营停机,ZTNA 故障的集中风险增加。针对远程和校园工作人员的帐户接管攻击的风险增加。
-
组织尚未定义哪些自适应信号很重要,以及当自适应信号低于某个阈值时应采取哪些操作。
8、服务连接层
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:
服务连接层 (SCL) 抽象了将应用程序服务连接在一起所需的必要网络管道和安全控制,无论位置或 IP 地址如何。该技术为非网络专家的开发人员简化了服务的拼接,并且可以提供发现和注册、连接、授权、身份和可观察性等设施。
为什么重要
SCL 技术(例如服务网格、云私有终端和服务连接结构)允许开发人员和应用程序架构师在假设网络平坦且服务可访问的情况下配置其服务,而无需关心底层网络基础设施的详细信息。
商业冲击
构建或运营现代分布式应用程序的组织将受益于缩短的周期时间、提高的生产力和操作简单性。SCL 将通过抽象服务和软件之间的连接来帮助更快地交付软件。开发人员可以更多地关注业务功能,而不是网络细节。
驱动因素
-
云服务的日益普及受益于安全、透明和受控的连接。网格应用程序和服务架构 (MASA) 的采用依赖于应用程序和服务之间以及服务之间无处不在的连接。
-
Amazon VPC Lattice 等新产品验证了 SCL 的出现。
-
Kubernetes 服务网格用户希望将服务网格的优势扩展到集群之外的更静态的环境中。SCL 可以弥合高度动态和静态环境之间的差距。
-
组织越来越多地利用云私有终端与公有云中的服务进行通信。
-
SCL通过将强制执行推广到服务终端,为零信任安全架构奠定了一些基础。
-
将身份扩展到服务和流程的技术正在获得关注。
-
SCL 与平台工程工作保持一致,因为它减少了应用程序开发人员的网络认知负载。
障碍
-
供应商生态系统尚处于新生阶段且不成熟,有些来自服务层,有些来自网络层。
-
网络、安全、平台和开发人员之间缺乏清晰的买家角色,使得供应商很难赢得客户。每次销售都需要在许多团队之间达成共识,包括网络、安全和应用程序架构师。
-
与现有遗留网络的构造、架构和操作流程的集成使得SCL的操作变得困难。
-
SCL 对于拥有平台运营团队并采用基础设施即代码的组织来说效果更好。一些开发人员以及基础设施和运营 (I&O) 团队没有意识到SCL 技术可以解决他们的一些问题。
9、混合网格防火墙平台
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟度:新兴
定义:
混合网格防火墙 (HMF) 平台是一个集中式策略管理平面,通过与本机云和本地网络安全控制以及其他相邻安全技术集成,通过不同的防火墙实施类型支持混合环境。管理平面主要是一种云交付服务,连接到来自单个供应商的本地、云和即服务防火墙实施点。
为什么重要
安全和风险管理领导者正在努力解决在多个环境中实施防火墙控制的需求,导致缺乏集中实施、管理和可见性。混合网状防火墙平台提供来自同一供应商的多种防火墙实施类型(例如,硬件、虚拟、云原生、防火墙即服务[FWaaS]),可以从集中管理界面进行部署和管理。
商业冲击
混合网状防火墙平台可帮助企业符合网络安全网格架构 (CSMA) 概念,以满足其防火墙要求。它允许您跨多个环境整合到单个供应商的防火墙平台中,支持整合的策略管理。它可以支持多种防火墙用例,例如数据中心、云、在家工作、漫游用户、分支机构和企业网络。
驱动因素
-
云托管的工作负载通常具有完全不同的“敏捷”部署管道,无法使用传统的防火墙控制。这需要对敏捷部署的工作负载和容器或无服务器计算进行防火墙控制,提供自动化和无缝集成来支持这种不断发展的用例。
-
零信任架构的日益普及也改变了防火墙的选择标准,因为企业已经不再只是向平台添加单点防火墙解决方案,这可以帮助他们跨多个用例使用防火墙。
-
远程和混合工作加速了 FWaaS 的采用以及来自同一防火墙供应商的偏好。
-
物联网 (IoT) 设备的采用正在改变互连性要求以及保护互连性的需求。
-
需要跨多个防火墙实施进行集中可见性和控制。
-
使用同类最佳的防火墙播放器来应对不断发展的用例会导致复杂性和管理开销增加。
障碍
-
供应商承诺的功能和自动化并不总是像宣传的那样有效。
-
与当前的混合和远程工作模型结合使用时,本地防火墙会出现部署和维护问题。它们需要不同的防火墙实施点,而不会给管理员带来额外的管理开销。
-
网络安全团队缺乏为新兴用例(例如 DevSecOps、混合环境的分布式连接)配置和运行防火墙的技能和资源,从而导致集成和支持挑战。
-
多种不同的执法类型导致不同的定价模型,从而导致定价和许可的复杂性,因为传统模型不再相关。
-
并非所有供应商都为所有防火墙用例提供成熟的实施类型;因此,团队必然会采用同类最佳的独立产品。
处于巅峰期的技术
10、安全服务边缘
效益评级:变革性
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
安全服务边缘 (SSE) 可保护对 Web、云服务和私有应用程序的访问。功能包括自适应访问控制、数据安全、可见性和控制。其他功能包括高级威胁防御以及通过基于网络和 API 的集成实施的可接受的使用控制。SSE 主要作为基于云的服务提供,可能包括本地或基于代理的组件。
为什么重要
SSE提高了组织灵活性,以确保网络和云服务以及远程工作的使用安全。SSE 产品是安全功能(至少是安全 Web 网关 [SWG]、云访问安全代理 [CASB] 和零信任网络访问 [ZTNA])的融合,以降低复杂性并改善用户体验。它们是从云端交付的。当组织追求安全访问服务边缘 (SASE) 架构时,SSE 与软件定义的 WAN ( SD-WAN )配合使用,以简化网络和安全操作。
商业冲击
混合工作正在继续推动公有云服务的采用,尤其是 SaaS 应用程序。混合工作和公有云服务的采用仍然是大多数 Gartner 客户的业务推动者。SSE 允许组织使用以云为中心的方法在访问网络、云服务和私有应用程序时实施安全策略,从而支持随时随地的工作人员。同时,SSE 降低了运行多个产品的管理复杂性。
驱动因素
-
组织需要保护分布式、分散式且需要安全远程访问的用户、应用程序和企业数据。
-
对于许多企业来说,大量关键数据现在托管在 SaaS 中。因此,需要对位于、前往和离开这些 SaaS 平台的数据执行数据丢失防护 (DLP)。
-
SSE为用户和设备提供灵活且主要基于云的安全性,而无需依赖于本地网络基础设施和连接。无论用户位于何处或连接如何,都会向他们提供相同的安全结果。
-
管理员可以增强对用户流量的可见性以及该流量的单一配置和监控位置。
-
SSE 允许组织在边缘实施基于身份和上下文的态势。
-
通过整合供应商,组织可以降低复杂性、成本和用于执行安全策略的供应商数量。使用单个 SSE 平台而不是多个点产品,它们既可以降低复杂性,又可以缩小安全覆盖范围的差距。
-
敏感数据检查和恶意软件检查可以在所有访问渠道上并行完成。SSE 允许并行执行这两项检查,从而比单独执行这两项检查具有更好的性能和更一致的配置。
-
无论应用程序位置或类型如何,自适应访问都可以考虑更多输入信号并更一致地执行。
-
与在 SD-WAN 产品中可能拥有最少安全功能集的供应商相比,组织在构建 SASE 架构时寻求更深入的安全功能。
-
离散 SD-WAN 和 SSE 供应商之间存在紧密集成,无需采用单一供应商方法即可实现互操作性。
障碍
-
由于市场是通过能力的融合而形成的,供应商可能在某些能力上较强而在其他能力上较弱。供应商还可能缺乏 SSE 功能或与 SD-WAN 供应商之间的整体紧密集成。
-
并非所有供应商都提供足够敏感的数据识别和保护来管理业务风险。
-
一些供应商不太关注 SaaS 安全性和集成。然而,企业越来越需要这种可见性和保护。
-
由于以云为中心,SSE 通常无法满足内部防火墙等本地控制支持的所有需求。
-
组织关心其业务所依赖的服务的正常运行时间或可用性。一些供应商的 SLA 薄弱,加剧了这一问题。
-
并非所有供应商都在所有地区本地提供所有功能,从而导致性能或可用性问题。
-
现有供应商的转换成本或合同到期时间阻碍了近期的整合。
-
从 VPN 迁移会增加成本。
11、零信任策略
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
零信任策略构成了一组核心原则和程序级活动,用于建立基于上下文的自适应访问控制。它将隐式信任替换为显式自适应信任,并与计算出的访问资产敏感性的风险相一致。首席信息安全官 (CISO) 通常定义并拥有零信任策略,并执行零信任计划,以实现组织风险优化的安全态势。
为什么重要
零信任策略降低了攻击者滥用环境中的隐式信任的风险,这些环境可以实现横向移动、利用可用的漏洞并获得特权升级来实现其目标。它将安全控制级别与资源的敏感性相匹配,以改善最终用户体验。此外,它还限制了攻击者通过建立持续信任评估来绕过静态控制的能力。
商业冲击
零信任策略根据网络安全原则建立战略目标,以改善组织的最终用户体验并降低某些网络安全威胁的风险。这是通过用细粒度访问控制替换传统的外围安全方法来实现的。零信任策略可以限制事件发生时的影响,并通过在需要保护的资产附近安装灵活的安全控制来实现企业的数字化转型。
驱动因素
-
信息安全界对零信任策略的过度炒作导致整个组织的部门可见性更高,甚至对于非安全领导者也是如此。
-
对安全事件的战略响应是,攻击者滥用对用户帐户、设备和工作负载的过度信任,导致勒索软件和数据泄露事件。
-
希望通过更具适应性的控制来改善最终用户体验。此外,还需要减轻访问不太重要的资源的负担,同时需要更多上下文来获取更敏感的资源。
-
减少攻击面并限制扫描和利用攻击的策略是隐藏现有网络和应用程序,使其不被发现。
-
希望不再强调用户和设备位置作为单一的弱信任代理。
障碍
-
供应商围绕零信任的炒作往往对其实现组织零信任战略愿景的能力做出过度承诺,但兑现不足。
-
组织对零信任的抵制被解释为对员工不信任。
-
CISO 团队内孤立的战略发展缺乏背景,并且与其他组织目标相冲突。
-
业务领域利益相关者和技术人员所需的参与和可用性限制了使用外包策略开发来克服技能和资源限制。
-
外部限制(例如技术债务和来自不同安全供应商的多种技术的集成)限制了战略范围,并且需要比组织预期更多的资源来实施。
-
零信任策略的结果预期不一致导致组织取代而不是增强现有的安全控制。
12、Kubernetes 网络
效益评级:中等
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:
Kubernetes 网络满足三个要求:Pod 到 Pod 的通信、外部实体到服务的通信(通常称为南北向流量)以及 Pod 到服务的流量通信(通常称为东西向流量)。容器网络接口 (CNI) 插件处理 Pod 到 Pod 网络和 Pod 到服务网络;入口控制器/网关 API 处理南北流量;服务网格提供增强的东西向服务流量控制和安全性。
为什么重要
Kubernetes 已经成为容器编排事实上的标准系统。K8 中的本机网络功能不足以满足大多数企业大规模生产工作负载。CNI 软件和入口控制器弥补了这一差距。
商业冲击
许多组织正在投资 Kubernetes,将其作为其数字业务战略的基础技术。为了安全地扩展 K8 内的网络,需要 CNI 和入口控制器。K8s 的 CNI使开发人员能够实施网络策略和多租户,而无需开发人员关心较低级别的网络任务。一些 K8s CNI 还支持网络策略,从而有效地实现集群范围的分布式防火墙和多租户。
驱动因素
-
K8s 中的默认网络功能无法扩展以满足生产企业的需求和/或从安全性/可见性和大规模管理的角度来看达不到要求。Kubernetes 入口控制器具有多种优势,包括自动加密流量以及提高网络性能和可见性。
-
开源选项减少了采购摩擦和初始成本(与商业供应商相比),并符合许多喜欢 OSS 的高级客户的文化。
-
网络虚拟化供应商和数据中心网络供应商拥有 CNI 插件,可将其策略模型扩展到 Kubernetes 应用程序,并受到商业 Kubernetes 平台的支持。
-
对于本地 Kubernetes 部署,需要第三方 CNI 插件和入口控制器。但是,商业平台包含对默认 CNI 插件的支持。
-
在入口控制器方面,大多数负载平衡以及一些 API 网关解决方案都扩展了其产品以提供入口控制器功能。
障碍
-
公有云提供商提供自己的本机集成 CNI 插件和入口控制器,与其云平台和负载均衡器集成。此外,它们的第 7 层负载均衡器可以充当入口控制器。
-
Kubernetes 网络供应商正在转向成为 CNAPP 或服务网格供应商。
-
许多企业缺乏深厚的K8s专业知识。此外,许多企业还缺乏深厚的K8s网络专业知识。
-
不使用 K8 的组织不需要网络功能。
-
提供 CNI 的商业供应商很难跟上 K8s 版本的步伐,这可能会限制对企业的价值。
-
在 Kubernetes 网络中,Pod 没有固定的 IP 地址,这破坏了许多现有的网络安全流程。
-
与容器网络解决方案相关的技术格局是支离破碎的,有许多商业供应商和开源 CNI 插件——这可能会让客户感到困惑——并因为担心做出错误的选择而推迟采用。
处于下滑期的技术
13、数字体验监控
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:成熟主流
定义:
数字体验监控 (DEM) 技术监控最终用户或数字代理与应用程序和支持基础设施交互时的可用性、性能和体验质量。用户可以是服务的外部消费者、访问公司工具的内部员工,或两者的组合。DEM 技术旨在以“用户旅程”的形式将用户行为观察和建模为连续的交互流。
为什么重要
DEM 帮助组织解决两个关键领域的可见性问题:
-
远程员工的体验:检测公司网络相对容易。对家庭或咖啡店网络做同样的事情可能具有挑战性甚至是不可能的。
-
Web 应用程序:由于应用程序的位置以及检测基于云的环境的难度,对基于即服务的应用程序(包括电子商务)性能的可见性提出了独特的挑战。
商业冲击
DEM 中的 RUM 和 STM 技术使企业能够了解用户(客户)如何通过移动设备和网络与品牌互动。终端监控技术为组织提供了更大的灵活性,无论工作人员位于何处,都可以获得终端、网络和用户服务的可见性,并且无需对物理环境进行大量检测。
驱动因素
-
用户体验:组织逐渐认识到指标只能说明故事的一部分。如果用户的体验不太理想,那么无论指标说什么都是没有意义的。DEM 不仅可以帮助提供基于指标的性能的可见性,还可以提供用户体验的主观部分的可见性。
-
SaaS:随着组织从基于本地的应用程序迁移到基于 SaaS 的应用程序,他们将失去对这些应用程序性能的可见性和控制。在一个位置使用特定终端(例如笔记本电脑或移动设备)的基于 SaaS 的应用程序的用户可能会与在不同位置使用不同终端的不同用户获得完全不同的体验。即使同一终端上的同一用户也可能有非常不同的体验,具体取决于他们当时所在的位置。DEM 使组织能够了解性能瓶颈所在,以便解决这些瓶颈。
-
随时随地工作:COVID-19 大流行带来的员工地点的巨大变化正在推动基础设施和运营 (I&O) 团队采用终端监控技术来分析和优化远程员工对应用程序的访问和使用。
-
全栈可观察性的“最后一英里”:从服务器端监控应用程序很重要,但I&O团队需要了解最终用户的旅程和必然的体验。通过 DEM 工具进行终端监控,I&O 团队可以通过服务提供商网络等跟踪终端与 Wi-Fi 连接的性能。
-
商业现成 (COTS) 和虚拟桌面基础设施:组织通常依赖 COTS 应用程序来进行关键业务运营。这些解决方案的本质使得它们很难(如果不是不可能的话)从应用程序的角度进行检测。I&O 团队依靠 DEM 工具提供的可视性从最终用户的角度提供性能信息。
障碍
-
很少有 DEM 供应商能够提供涵盖DEM 所有三大支柱(综合监控、终端可见性和真实用户监控)的功能,因此很难选择能够提供完整解决方案的供应商。
-
大多数 DEM 可见性来自安装在终端上的代理,这对于已经运行大量终端代理的组织来说可能是一个挑战。
-
大型组织可能很难通过 DEM 工具用户界面管理数万或数十万个终端。
-
由于 DEM 工具生成的数据量巨大,没有强大分析方法的组织可能很难理解所有数据。很少有供应商使用分析来在这个领域采取主动的方法。
-
通过自动纠正异常情况可以增强用户体验。然而,很少有 DEM 供应商提供自动修复的能力。
14、SASE
效益评级:变革性
市场渗透率:目标受众的 5% 至 20%
成熟期:成长期
定义:
安全访问服务边缘 (SASE) 提供融合网络和安全功能,包括 SD-WAN、SWG、CASB、防火墙和零信任网络访问 (ZTNA)。SASE 支持分支机构、远程工作人员和本地安全访问用例。SASE 主要作为服务提供,并根据设备或实体的身份,结合实时上下文以及安全性和合规性策略,实现零信任访问。
为什么重要
SASE 是现代数字业务转型的关键推动者,包括随时随地工作以及边缘计算和云交付应用程序的采用。它提高了可见性、敏捷性、性能、弹性和安全性。SASE 还主要通过云交付模型极大地简化了关键网络和安全服务的交付和运营。SASE 减少了安全访问一两个明确合作的供应商所需的供应商数量。
商业冲击
SASE 能够:
-
数字业务用例(例如分支机构转型和混合劳动力支持)提高了易用性,同时通过供应商整合和专用电路卸载降低了成本和复杂性。
-
基础设施、运营和安全团队以一致和集成的方式提供丰富的网络和网络安全服务,以支持数字业务转型、边缘计算和随时随地工作的需求。
驱动因素
-
数字业务转型,包括移动员工采用基于云的服务、边缘计算和业务连续性计划,其中必须包括灵活、随时随地、安全、基于身份的 SASE 逻辑边界模型。
-
需要通过零信任安全架构灵活支持数字业务转型工作,同时管理复杂性,这是采用 SASE 的一个重要因素,SASE 主要作为基于云的服务提供。
-
对于 IT 而言,SASE 可以减少新用户、位置、应用程序和设备的部署时间。
-
对于信息安全,SASE 支持通过单一方式在所有类型的访问(互联网、Web 应用程序和私有应用程序)中一致地设置策略实施,从而减少攻击面并缩短补救时间。
-
企业希望通过减少策略引擎和管理控制台来简化网络和网络安全部署。
障碍
-
组织孤岛、现有投资和技能差距:完整的 SASE 实施需要跨安全和网络团队采取协调一致的方法,考虑到更新/更新周期、孤岛和现有员工专业知识,这具有挑战性。
-
本地部署的组织偏见和监管要求:一些客户厌恶云并希望保持控制。
-
全球覆盖范围:SASE 取决于云交付,供应商的云足迹可能会妨碍在某些地区(例如中国、非洲、南美和中东)的部署。
-
SASE 成熟度:SASE 功能差异很大。敏感数据可见性和控制通常是一个高优先级的功能,但许多 SASE 供应商很难解决。虽然您首选的单一供应商可能缺乏您所需的功能,但两家供应商的合作伙伴关系可能是一种可行的方法。
处于启蒙爬坡期的技术
15、ZTNA
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
Gartner 将零信任网络访问 (ZTNA) 定义为创建基于身份和上下文的逻辑访问边界的产品和服务,该边界包含企业用户和内部托管的应用程序或应用程序集。这些应用程序是隐藏的,不被发现,并且通过信任代理将访问限制为一组命名实体,从而限制了网络中的横向移动。
为什么重要
ZTNA是一项关键技术,用于通过信任代理实现动态用户到应用程序分段,以实施安全策略,允许组织隐藏私有应用程序和服务,并为应用程序实施最低权限访问模型。它通过创建仅包含用户、设备和应用程序的个性化“虚拟边界”来减少攻击面。
商业冲击
ZTNA 在逻辑上将源用户/设备与目标应用程序分开,以减轻完整的网络访问并减少组织内的攻击面。这改善了用户体验 (UX)和远程访问灵活性,同时通过简化的策略管理实现动态、精细的用户到应用程序分段。基于云的 ZTNA 产品提高了安全远程访问的可扩展性和易于采用性。
驱动因素
-
组织内零信任计划的兴起导致需要在本地和云应用程序中进行更精确的访问和会话控制。
-
人们越来越需要现代化和简化传统的 VPN 部署,这些部署针对连接到数据中心环境的静态用户位置而不是位于企业外部的应用程序、服务和数据进行了优化。
-
当混合工作需求超过硬件容量时,需要基于云的 ZTNA 服务来增强本地远程访问方法,以卸载基于硬件的解决方案。
-
一些组织需要在实施精细控制之前获得观察应用程序访问模式的能力。
-
一些组织需要将供应商、销售商和承包商等第三方安全地连接到应用程序,而无需通过 VPN 暴露其整个网络,或者需要将应用程序连接到互联网进行访问。
-
进行并购的组织需要能够将应用程序访问扩展到被收购的公司,而无需部署终端或互连其公司网络。
障碍
-
成本:ZTNA 通常按每个用户/每年按指定用户进行许可,价格大约是传统 VPN 的两倍或三倍。
-
有限支持:并非所有产品都支持所有应用程序。例如,一些基于客户端的 ZTNA 解决方案不支持 UDP 应用程序,无客户端 ZTNA 解决方案通常仅支持 Web、远程桌面协议 ( RDP) 和安全外壳 (SSH ) 协议。一些供应商将 VPN 即服务 (VPNaaS) 称为 ZTNA,但缺乏对某些零信任状态功能的支持。
-
采用仅限于 VPN 替代:基于云的信任代理可能无法在本地扩展策略执行点,与通用 ZTNA 产品相比,使用案例受到限制。
-
访问策略的粒度:组织必须映射用户的应用程序访问权限,但许多组织缺乏这种理解,最终导致访问规则要么太细粒度,要么不够细粒度。
16、OpenID 连接
效益评级:高
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
OpenID Connect (OIDC) 是一种基于 OAuth 2.0 框架构建的身份联合协议,使 Web 服务能够外部化身份验证功能。它使应用程序(例如,基于网络的、移动的和JavaScript)能够对人类最终用户进行身份验证,并通过API 获取基本的配置文件信息。
为什么重要
-
OIDC允许应用程序所有者和开发人员跨网站和应用程序对人类用户进行身份验证,而无需创建、管理和维护身份。
-
借助OIDC,您可以提供单点登录 (SSO) 并使用现有的企业或社交帐户访问应用程序,从而提高可用性、安全性和隐私性。
-
OIDC 提供同意管理、对混合和多云环境的支持,并且还支持比以前开发的联合协议更多的客户端类型。
商业冲击
OIDC构建在 OAuth 2.0 协议之上,提供了灵活、高效的 SAML 替代方案。其主要优点是:
-
通过提供轻量级的身份验证和授权以及细粒度的同意管理来改善用户体验。
-
通过 SSO 和联合支持减少用户注册期间的数据输入负担。
-
为密钥发现和轮换提供比 SAML 更好的支持。
-
通过移动和单页应用程序有效支持以令牌和 API 为中心的架构。
驱动因素
-
人们对该协议的兴趣日益浓厚,在新的面向客户和企业应用程序的偏好方面,该协议已经取代了 SAML 。OIDC 为 API 访问控制、隐私监管、同意管理、加强身份验证、合规性和自适应访问实施带来的好处将加速其达到稳定状态并成为主流。
-
为 OIDC 构建的扩展建立了一个联邦服务联盟(多边联盟),该联盟通常用于高等教育和医疗保健等特定行业,在这些行业中遵循一组共同的政策。
-
OIDC 是一种使用一组用户凭据访问多个站点的方法。
-
事实证明,与基于 XML 的标准(例如 SAML)或纯专有实现相比,OIDC 可以更无缝地进行身份交互,并且对开发人员来说摩擦更少,并且比以前的协议具有更高的安全性。
-
金融、政府和医疗保健机构可以从其不断增加的 OIDC 规范描述工作中受益,以支持垂直行业并对其使用进行微调。
-
目前正在进行扩展 OpenID Connect 以支持更多用例的工作。这包括在 OpenID 提供商和依赖方之间快速建立信任、支持可验证凭证以及建立共享风险信号的标准。
-
OIDC 成熟且得到良好支持,组织可以通过OpenID Connect Foundation 找到经过认证的解决方案,该基金会根据OIDC的服务器一致性配置文件对解决方案进行认证。
障碍
-
支持 OIDC 的 SaaS 应用程序列表持续增长;然而,它的市场渗透率仍然小于 SAML。
-
开发人员经常低估协议的复杂性,并使用规范中的“精选”功能来构建自行开发的库,从而导致实现不安全。相反,他们应该使用经过验证且经过充分测试的开源和/或供应商提供的库,这些库是最新的并符合最新的安全建议。
17、微隔离
效益评级:高
市场渗透率:目标受众的 5% 至 20%
成熟度:早期主流
定义:
微隔离(也称为基于身份的分段或零信任网络分段)可以创建比传统网络分段更精细和动态的访问策略,传统网络分段仅限于互联网协议/虚拟 LAN (IP/VLAN) 电路。
为什么重要
一旦系统遭到破坏,攻击者就会横向移动(包括勒索软件攻击),这可能会造成严重损害。微隔离旨在限制此类攻击的传播。它还可以大大减少初始攻击面。
商业冲击
微隔离可以减轻网络攻击的风险和影响。它是零信任网络的一种形式,可控制工作负载之间的访问,并用于在攻击者破坏企业网络时限制横向移动。微隔离还使企业能够跨本地和基于云的工作负载(包括托管容器的工作负载)实施一致的分段策略。
驱动因素
-
随着服务器虚拟化、容器化或迁移到基础设施即服务 (IaaS),传统防火墙、入侵防御解决方案和防病毒软件等现有防护措施难以跟上新资产的快速部署步伐。这使得企业很容易受到攻击者的攻击,攻击者获得立足点,然后在企业网络内横向移动。这引起了人们对现代数据中心中应用程序、服务器和服务之间东西向流量的可见性和粒度分段的兴趣日益浓厚。
-
零信任正在成为数据中心设计的要求,而微隔离是实现这一目标的实用方法。
-
数据中心工作负载日益动态的特性使得传统的以网络为中心的分段策略即使不是不可能应用,也难以大规模管理。
-
一些微隔离产品提供丰富的应用程序通信映射和可视化,使数据中心团队能够识别哪些通信路径有效且安全。
-
应用程序向微服务容器架构的转变也增加了东西向流量,并进一步限制了以网络为中心的防火墙提供这种分段的能力。
-
数据中心向 IaaS 的扩展将重点放在基于软件的分段方法上——在许多情况下,使用云提供商的内置分段功能。
-
对零信任网络方法日益增长的兴趣也增加了人们对使用应用程序和服务身份作为自适应应用程序分段策略的基础的兴趣。这对于在基于容器的环境中使用的动态网络环境中实施分段策略至关重要。
障碍
-
复杂性- 如果没有正确规划和确定范围,微隔离项目可能会在完成之前失去组织支持。
-
缺乏知识——安全和风险领导者不知道哪些应用程序应该与其他应用程序通信,从而对自动生成的保护规则产生怀疑。
-
传统网络防火墙——一些数据中心拥有网络防火墙,用于更广泛的东西向流量分段,这对于某些组织来说已经足够了。当策略重叠或冲突时,传统防火墙还会给某些基于身份的分段解决方案带来操作挑战。
-
组织动态——采用 DevOps 的以云为中心的组织可能更看重敏捷性而不是安全性,认为任何额外的安全控制都会带来操作摩擦。
-
费用——完全微隔离的成本可能很高。许多组织认为微隔离是一个全新的预算项目。
18、容器安全
效益评级:中等
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
容器安全是指基于容器的环境中的技术和流程、测试和控制。全生命周期容器安全性从开发开始,评估容器内容、机密管理和容器实例配置的风险或信任。这通过运行时容器分段、威胁防护和访问控制扩展到生产中。
为什么重要
通过提高速度和敏捷性来简化开发,基于容器的应用程序已成为主流。编排平台(例如 Kubernetes)的快速采用使得传统供应商和一些安全团队没有适当的工具来确保安全的应用程序部署。容器安全需要生命周期方法,从开发中扫描容器和运行时保护容器开始。
商业冲击
容器本质上并不是不安全的,但它们的部署不安全,存在已知的漏洞和配置问题。如果没有适当的控制,开发人员可能会将漏洞引入开发以及随后的生产环境中。这可能会使组织面临可避免的风险。此外,安全部门在采用安全容器开发实践和工具方面进展缓慢,导致组织没有意识到潜在风险,也没有准备好应对攻击。
驱动因素
-
开发人员采用容器和 Kubernetes 已将威胁从传统环境转移到容器化环境,迫使安全团队使用不同的工具和方法来应对这些新威胁。
-
容器即服务 (CaaS) 产品,例如 Amazon Elastic Kubernetes Service (EKS)、Azure Kubernetes Service (AKS) 和 Google Kubernetes Engine (GKE) 正在兴起。这些需要安全集成来覆盖它们托管的集群和容器。
-
随着容器的采用不断增加,安全和风险管理领导者需要解决与容器相关的漏洞、可见性、妥协和合规性安全问题。这将有助于满足数字业务和应用现代化的需求。
-
多点解决方案现在可以透明地集成到持续集成/持续交付管道和 DevOps 实践中,以主动扫描容器以查找安全性和合规性问题。然而,组织必须仔细管理这些单点解决方案,以尽量减少它们引入的复杂性。
-
微服务架构正在激增并推动 DevOps 流程中的容器部署,这导致保护环境的部分责任转移给了开发人员。DevOps 管道集成提供了防范这些环境中的供应链和其他开发风险的机会。
障碍
-
容器安全必须从开发开始,但许多安全供应商和企业将容器安全视为仅运行时的问题。更糟糕的是,一些供应商只是在容器上放置一个代理,转发日志并称之为“容器安全”。
-
如果不尽早引入容器镜像治理策略,随着不同的软件产品团队开始实施自己的容器镜像构建流程,应用标准就会变得越来越困难。
-
组织和团队可能会因为担心破坏应用程序和业务而拒绝使用主动运行时容器安全性。
19、远程浏览器隔离
效益评级:低
市场渗透率:目标受众的 20% 至 50%
成熟度:早期主流
定义:
远程浏览器隔离 (RBI) 将不受信任的内容(通常来自互联网)的呈现与用户及其设备分开,或者将敏感应用程序和数据与不受信任的设备分开。当用于防范不受信任的内容时,RBI 可以显着降低泄露的可能性,因为大量攻击已转移到用户和终端。当用于保护敏感数据和应用程序免受非托管设备的影响时,RBI 有助于降低与 BYOD 相关的风险。
为什么重要
浏览器隔离将终端与其正在访问的 Web 服务之间的会话保持隔离,从而降低恶意软件和数据丢失的风险。当终端访问 Web 内容时,RBI 会阻止 Web 传播的恶意软件直接传递到终端。RBI 也可以反向发挥作用。在通过云访问安全代理 (CASB) 进行 SaaS 访问或通过零信任网络访问 ( ZTNA )进行内部应用程序访问等使用案例中,它可以保护敏感数据和应用程序免受不受管理和可能受感染的设备的攻击。
商业冲击
如今,大多数攻击都是通过公共互联网进行的,要么通过网页浏览提供的漏洞利用,要么通过电子邮件链接诱骗用户访问恶意网站。将浏览器从最终用户的桌面连接到在单独位置运行的另一个浏览器可以提高现有安全工具的效率。RBI 保护还可以扩展到保护从非托管设备访问的私有和 SaaS 应用程序,从而减少数据泄露的威胁。
驱动因素
-
许多组织希望通过使用隔离作为安全服务边缘 (SSE) 内的正向代理、反向代理和私有应用程序的策略操作来建立自适应零信任状态。
-
通常需要对托管和非托管设备应用恶意软件防护和数据保护。
-
与依靠缓慢的静态阻止列表来阻止有针对性的攻击相比,隔离网站是提高安全性的更有效方法。
-
允许隔离访问未分类的网站,而不是阻止它们,可以减少用户摩擦。
-
可以隔离外部解析的基于电子邮件的 URL,以防止针对员工的网络钓鱼攻击。
障碍
-
最终用户经常提到,当为所有站点部署 RBI 时,体验很差,导致一些组织将 RBI 限制为仅针对某些类别的站点。
-
市场上几乎没有独立的 RBI 供应商,这限制了选择,因为大多数 RBI 选项现在都作为安全访问服务边缘 (SASE) 和 SSE 平台的功能包含在内。
-
本地化基于云的多租户 RBI 的浏览体验需要将 IP 地址分配与 VPN 出口点或本地存在点进行区域性组合。
-
RBI 是额外的防御层,需要额外的成本,因为它很少完全取代其他安全控制。
-
大多数 RBI 产品都是基于软件和云交付的,这限制了寻求本地、基于硬件的隔离选项的组织的选择。
-
RBI 无法防止允许下载到终端的受感染内容。需要文件防病毒和沙箱、PDF 转换、远程查看器以及内容解除和重建 (CDR) 等机制。
附录
技术成熟度曲线阶段、效益评级和成熟度水平
表2 :技术成熟度曲线阶段
| 阶段 |
定义 |
| 创新触发点 |
突破、公开演示、产品发布或其他活动会引起媒体和行业的极大兴趣。 |
| 期望过高的顶峰 |
在这个过度热情和不切实际的预测阶段,技术领导者进行的一系列广为人知的活动带来了一些成功,但随着创新被推向极限,也带来了更多的失败。唯一赚钱的企业是会议组织者和内容出版商。 |
| 幻灭的低谷 |
由于创新没有达到其过度夸大的期望,它很快就变得过时了。除了一些警示故事外,媒体的兴趣逐渐减弱。 |
| 启蒙斜坡 |
越来越多样化的组织进行集中的实验和扎实的努力,使人们真正了解创新的适用性、风险和收益。商业现成的方法和工具简化了开发过程。 |
| 生产力高原 |
创新的现实好处得到了证明和接受。随着工具和方法进入第二代和第三代,它们变得越来越稳定。越来越多的组织对风险水平的降低感到满意;采用的快速增长阶段开始了。当该技术进入此阶段时,大约 20% 的目标受众已经采用或正在采用该技术。 |
| 主流采用的时间 |
创新达到生产力高原所需的时间。 |
资料来源:Gartner(2023 年 7 月)
表3 :效益评级
| 效益评级 |
定义 |
| 变革性的 |
实现跨行业开展业务的新方式,从而导致行业动态发生重大转变 |
| 高的 |
支持执行水平或垂直流程的新方法,从而显着增加企业的收入或节省成本 |
| 缓和 |
对已建立的流程进行渐进式改进,从而增加企业的收入或节省成本 |
| 低的 |
稍微改进难以转化为增加收入或节省成本的流程(例如,改进用户体验) |
资料来源:Gartner(2023 年 7 月)
表4 :成熟度级别
| 成熟度级别 |
地位 |
产品/供应商 |
| 胚胎 |
在实验室 |
没有任何 |
| 新兴 |
供应商的商业化 行业领导者的试点和部署 |
第一代 高价 大量定制 |
| 成长期 |
成熟的技术能力和流程理解 超越早期采用者的采用 |
第二代 减少定制 |
| 早期主流 |
成熟的技术 供应商、技术和采用迅速发展 |
第三代 更多开箱即用的方法 |
| 成熟主流 |
强大的技术 供应商或技术没有太大发展 |
几家占主导地位的供应商 |
| 遗产 |
不适合新开发 迁移成本限制了替代 |
维护收入重点 |
| 过时的 |
几乎没有使用过 |
仅限二手/转售市场 |
资料来源:Gartner(2023 年 7 月)