7月29日,ISC 2021举办了一场零信任与6A的开放论坛,主持人潘柱廷(360政企安全集团首席战略官)在现场阐述,6A,即Account & Subject(账号和主体)、Application & Object(应用和目标客体)、Authentication(认证)、Authorization(授权)、Access Control(访问控制)、Auditing(审计),明确定位在“标识访问层”,任何网络空间的活动,都会在这薄薄的“标识访问层”中留下自己的投影。正因为如此,进入零信任的各种厂商,其实就是进入了6A层。零信任是对6A的一系列看法、理念和解决办法,也带来了一系列工具、平台和项目工程。
论坛汇聚不同领域厂商的专家谈论关于零信任与6A的思考、实践和反馈,我们看到零信任的内涵和外延正在不断发展、快速演变中,零信任或许是安全隧道中的一盏明灯,但更是漫长耕作的道路,零信任不是银弹,它也有副作用和效用边界,安全世界没有一劳永逸的银弹。因此我们需要一次次的碰撞、落地、融合来不断演进提升。也正如论坛所说,不要漠视零信任,不要夸大零信任、不要误读零信任、不要错失零信任,用6A来标度零信任,用零信任来重构6A。
6A视角下看零信任
以下,把部分嘉宾的精彩观点带给大家:
格尔软件副总工 郎文华
6A是更细粒度的访问控制体系,与零信任不谋而合,需要做到知己、知彼、知风险。格尔软件提倡的零信任是以密码为基石、身份为中心、策略驱动的SDP。密码服务平台将确保身份的可信、数据的机密性和完整性,行为的不可否认性;身份服务平台以身份为中心从零建立信任,授予从小权限,并通过持续信任评估,动态控制所有的访问;策略服务平台是零信任大脑,策略即代码,以策略连接主体、客体、环境等等,智能化、自动化的策略将驱动持续发现、持续监控、智能分析、策略动态调整、自动化响应。
易安联CTO 秦益飞
安全都是有边界的,零信任也不例外,边界是一个条件,所有的条件都是在消除不确定性。我心中构建的零信任安全边界是什么?在终端上构建的应用访问安全边界,才更安全。打造端上安全空间,让宿主机与工作空间的数据隔离,只能在工作空间中访问应用,其中的关键隔离技术包括,文件隔离——隔离宿主机与空间文件系统、截切板隔离——隔离剪切板的数据通道、网络隔离——隔离应用访问通道、注册表隔离——隔离应用系统配置、进程通信隔离——隔离进程避免数据逃逸,在“混合”办公模式下,构建安全新边界。
芯盾时代行业解决方案部总监 孙永飞
数字化重塑全域产业链,业务边界vuca化。零信任重构新安全边界,呈现贴身化、 随身化、 微粒化的特性,基于多维可信身份,兼顾安全、体验与成本,在任意环境下实现主体对客体的可信任访问,消除隐式信任和静态信任。但零信任体系化实施很难,落地场景难选取,安全体系难改造,实施效果难评估,体系建设难持续,因此芯盾时代提出诊+规+点+线+环的、落地实践方法论,针对用户的安全能力、安全痛点进行深度调研,结合安全能力成熟度模型全面塑造用户画像,以此进行合理的安全规划,基于多维度的原则选取第一个落地点。同时,安全是长线的过程,让安全运营并行,充分发挥零信任价值,后续进行持续性的评估和优化,不断提升零信任的能力。
蔷薇灵动产品市场总监 熊瑛
网络世界正在快速走向熵增,不可预知、不可理解、不可控制,解决之道是让安全控制与基础设施解耦,让安全策略面向业务。零信任本质上是对“IP”的不信任,其管控面向资源(业务)而非网络(基础设施),是一张构建于物理网络之上的管理网络,实现IP向ID的转化并基于ID控制。ID并非狭义的“用户身份”,而是以多位标识刻画其业务角色,例如工作负载的ID可由其业务、环境、位置等属性定义,ID应实现“去实体化”,剥离其与基础设施的绑定关系。零信任将在离散、混乱的物理世界之上建立一切有序的“理想国”,以业务角色标定资产身份,以业务逻辑制定安全策略,以业务视角实现统一纳管,核心能力将始终围绕全业务可视化分析与全业务访问控制构建。
Authing CTO 尚斯年
互联网世界中充斥着隐秘的角落,过去,我们用防火墙物理隔离保证安全,现在,身份是网络安全的基础设施。第一步是将MFA部署到所有应用程序和用户设备中,得到一份完整的用户和设备列表,在用户身份中建立信任。然后,需要让用户设备和行为可视化,核心是创建并维护企业和个人所有设备的列表。接下来,应当确保用户设备的可信度,定义和审查端点设备的特征,在每次登录时交叉验证。最后,需要创建与用户和设备双重相关的安全策略,执行基于风险和自适应的访问控制。
华为安全产品领域 副总裁 王任栋
业务上云,网络被打破、数据价值放大、应用按需部署,面临着链接风险大、泄露风险陡增、单点防御失效三大安全挑战。零信任是护航行业数字化发展的良好安全体系,以6A为基础,打造持续风险评估,逐次授权的动态信任模型。其一,对设备风险持续评估,对人员身份动态鉴别,让风险可检测;其二,对应用精细化授权,让核心信息资产等数据不泄露;其三,对安全威胁精准识别,威胁发生及时隔离阻断,让威胁能闭环。
360政企安全集团零信任首席专家 柯善学
实施零信任具有显著的复杂性,需要“整个机构”的努力,向零信任架构的在转变是漫长旅程,成功在于整合。基于360新一代安全能力框架,整合零信任生态的优势在于,体系作战——以安全基础设施积累安全能力,以安全大数据分析为支撑;数据制胜——360云脑提供大数据情报支持,以安全大数据分析为基础;内外兼修——整合攻击侧防护和访问侧防护,符合CARTA(持续自适应风险与信任评估)安全模型;生态联合——构建安全大数据支持下的零信任生态体系,以生态整合构建零信任最佳实践。