近日,国际电信标准组织ITU-T正式对外发布由腾讯牵头提报的《Guidelines for continuous protection of the service access process》(《服务访问过程持续保护指南》)。该标准重点分析了服务访问过程中的安全威胁,规定了检测异常访问活动的安全保护措施以及服务接入流程的安全要求规范等,推动零信任内涵从“持续验证”向“持续保护”升级。
本次标准也是全球范围内首个零信任领域的国际标准,不仅代表着中国零信任的创新实践和技术范式走入了全球视野,也将进一步驱动零信任理念在更多领域生根发芽,成为护航产业数字化的基石。
据了解,《指南》详细界定了标准的实施范围,零信任相关概念的定义,同时深度分析了服务访问进程中的安全威胁,并对服务访问流程的安全要求、参考框架进行了详细解释,此外还根据典型的零信任应用场景进行多维度解析。
该标准的成功发布,推动了零信任理念的创新,即由“持续验证”向“持续保护”内涵的升级。相较于传统“持续验证,永不信任”技术理念下对身份认证、资源访问的控制,ITU-T零信任标准聚焦的范围延展到了“事前、事中、事后”全过程全要素的安全保护。“持续保护”具体而言,包括持续强化所有相关对象的安全(如用户、设备、资源、网络等),检测不安全实体、不安全行为以及动态执行授权决策和响应威胁,最大化降低安全风险。
例如,在远程工作场景、访问多云服务场景、服务器与服务器之间通信的三大典型应用场景中,“持续保护”使得用户不需要维护多个访问接口,即可实现使用一个访问控制策略来管理不同的云的资源,还能避免诸如分布式拒绝服务(DDoS)攻击等各类型网络攻击。部署“持续保护”具有诸多优势,包括有助于做出更精确的授权决定,缩小服务器的攻击面,兼顾更好的用户体验和更强的安全性等。
标准化的过程也是生态建立的过程,《指南》的发布,对于推动全球零信任技术商用进程有着重大意义。目前,零信任理念在落地中仍然面临诸多困难。由于业内厂商都基于自身技术研发和实践经验各自为战,导致缺乏共通的话语体系,零信任推广之路面临很大阻力。面对市场秩序的混乱和技术标准的欠缺,通过标准手段构建生态,对于引导产业技术发展以及企业开展零信任实践,都具有很强的借鉴意义和参考价值。
京公网安备 11010802033237号
