随着大、云、物、移、智、链等技术的飞速发展,以及新冠疫情对于全球的持续冲击,零信任技术落地迎来了新的发展机遇。而在无法全面落地的情况下,局部零信任就成为了很多企业的选择。
例如零信任的核心之一,身份认证体系就不断被强化,成为落地零信任的局部尝试。
随着企业数字化转型的加速,上云成为必不可少的路径,而云端架构使得企业面临更大的风险,一旦储存的数据泄露或遭到攻击,将对企业造成难以估量的损失。据统计,80%的数据泄露都与账号密码被盗用有关,身份认证成为企业信息安全的重要关口。
在这种情况下,传统的身份认证体系已经难以满足日新月异的网络发展,更难以确保访问者身份的安全性,因此,以零信任的理念来构建新型身份安全理念,优化身份安全验证体系成为很多企业的选择,并为未来全面落地零信任打好基础。
例如在疫情期间,为了强化线上办公的安全性,某企业就对原有的身份认证体系进行改造升级。从以账户管理为基础转向以身份管理为基础,通过多因子、实时、动态的认证来确保访问的身份和其所代表的身份一致。
在落地的过程中,企业也充分考虑授权策略的自适应、可管理、可扩展几方面的平衡。通过RBAC实现粗粒度授权,建立满足最小权限原则的权限基线,也可通过ABAC模型,基于主体、客体和环境属性实现角色的动态映射,满足灵活的管理需求。同时也可通过风险评估和分析,对角色和权限进行过滤,实现场景和风险感知的动态授权。
事实上,局部落地零信任的方式更加适合我国企业的现状。越来越多的公司开始尝试在细节处引入零信任,对现有的安全体系进行改进,包括授权管理、业务审计、信息安全运行监测预警系统、终端安全系统等多个方面。
这么做的好处十分明显,企业不需要对既定的安全架构“大动干戈”,也就意味着不需要大规模的资源投入,因此也更加容易获得领导层的支持。同时,企业在实施的过程中还可以进一步感知零信任对于企业安全的提升,以及是否会对业务产生不利影响等等。
某种意义上来说,零信任要做的并不是完全替代原有的安全体系,而是从微隔离或网络隐藏的角度出发,以身份管理、权限控制、动态认证、数据安全、终端安全等技术为基础,不断强化原有安全体系之不足。
零信任嵌入式安全沙箱技术
支撑数字化的下一代企业软件是什么样子的?凡泰极客认为“小程序化”、“安全沙箱化”是其中一个基石。逻辑如下:
- 企业的一切业务内容,表现方式就是软件化代码化。企业的数字内容资产,就是软件
- 软件形态和过去不一样了,它已经彻底脱离PC时代的“单机”,它天然是网络化的、连接型的、传播式的,企业需要掌握软件的出版权、分发权、流动权、使用权
- 随需随用、用完即走的“轻应用”软件形态(见《怎么理解后App时代的轻应用技术》 ),最符合上述要求。其中“小程序”又是轻应用类型技术中最有广泛基础、最贴近Web因此最有生命力的技术(见《似水无形 - 小程序化》 )。
- 用户甚至不再需要去主动意识到“软件”这个概念的强存在,代码都是自动下载、看到就用到的,不再有传统观念下的安装、升级,一切都是透明的
- 通过网络分发传播而下载运行的代码,永远不可信赖,它只能被关在安全沙箱这样的隔离环境里面跑,没有其他选择
- 传统企业之间的资源交换与整合,它的数字化形态就是交换自己的“数字内容资产”,也就是我的平台让你的软件放进来跑一跑服务我的客户,我的软件投放到你的环境里触达一下你的客户。“你中有我,我中有你”,可是我们俩彼此在技术层面没有任何信任基础,只认技术安全,“零信任”。所以你的代码我只能放在沙箱里跑,我投放到你那边的代码,也用沙箱隔离着你的环境
- 在所谓企业“内网”里,运行的一切软件,也不能保证安全,谁知道代码里面用了什么开源组件、供应链是不是已经被污染、是否随着员工随身设备“肉身翻墙”进入了防火墙内部?都得被安全沙箱关着才能运行
凡泰极客的FinClip技术,是一种云端可控的设备端(包括IoT)安全沙箱技术,它以可分发、可流通的小程序代码格式为软件形态,充当下一代企业应用软件的技术底座。 作为Web前端技术的“超集”,基于令牌(non-forgeable token)的安全模型,和当前“零信任架构”下的其他基础技术在最贴近用户、应用的地方能建立良好的配合。
同时,FinClip它有一个比较有趣的逻辑:企业的软件供应链在数字化时代可能是需要被重新定义的 - 有可能你的合作伙伴的代码运行在你这里、也有可能你的代码借道合作伙伴的平台去触达对方的客户。FinClip的核心是一个可嵌入任何iOS/Android App、Windows/MacOS/Linux Desktop Software、Android/Linux操作系统、IoT/车载系统的多终端安全运行沙箱。
FinClip安全沙箱中运行的轻应用,选择了兼容互联网主流的小程序规范。这是一个非常明智的设计,FinClip的开发团队没有重新发明自己的技术规格,而是全力支持小程序这种形态的轻应用,一方面是因为小程序类技术的体验和效果在互联网上得到充分验证、获得巨大成功,另一方面是网上积累了丰富的技术生态、开发框架、以及更重要的 - 人才资源,从而让企业IT几乎是无缝掌握这个技术,能迅速投入应用。
最后,零信任落地或许可以走出一条先局部后整体的道路,这条路的时间也许会很久,但却是一条可行性的路径,让企业有足够的时间和资源不断探索零信任、评估零信任。
版权归原作者 Lydiasq 所有, 如有侵权,请联系我们删除。