2020年网路安全行业市场分析报告.docx

2020年网路安全行业市场分析报告 2020年9月 行 1、 零信任是安全建设思路的转变 1.1、 零信任诞生的背景：IT 无边界化 在传统的安全体系下，内网用户默认享有较高的网络权限，而外网用户如异地办公员工、分支机构接入企业内网都需要通过 VPN。不可否认传统的网络安全架构在过去发挥了积极的作用，但是在 IT 无边界化已经成为大趋势，高级网络攻击肆虐，内外部威胁愈演愈烈的环境下，传统的边界安全体系需要迭代升级，零信任理念应运而生。 图1：传统边界安全架构无法适应当前业务体系 资料来源：深信服 零信任的最早源自 2004 年成立的耶利哥论坛（Jericho Forum），其成立的使命是为了定义无边界趋势下的网络安全问题并寻求解决方案。2010 年约翰·金德维格（John Kindervag）首次提出了零信任安全的概念，其核心思想是企业不应自动信任内部或外部的任何人/事/物，应在授权前对任何试图接入企业系统的人/事/物进行验证。历经十年发展，零信任安全理念在国外逐渐被广泛认知。 图2：零信任安全理念在国外逐渐被广泛认知 资料来源：云安全联盟 CSA、市场研究部 1.2、 零信任的核心原则：从不信任、始终验证 根据 NIST 的定义，零信任（Zero trust）提供了一系列概念和思想，旨在面对被 4/27 行 视为受损的网络时，减少在信息系统和服务中执行准确的、权限最小的按请求访问决策时的不确定性。零信任架构（ZTA）是一种企业网络安全规划，它利用零信任概念，并囊括其组件关系、工作流规划与访问策略。因此，零信任企业作为零信任架构规划的产物，是指为企业准备的（物理和虚拟的）网络基础设施及操作策略。 图3：零信任逻辑组件基本关系及其相互作用 资料来源：NIST 与边界模型的“信任但验证”不同，零信任的核心原则是“从不信任、始终验 证”。传统上机构（及一般企业网络）都专注于边界防御，授权主体可广泛访问内网资源。而根据 Evan Gilman《Zero Trust Networks》书中所述，零信任网络建立在五个假设前提之下：1）应该始终假设网络充满威胁；2）外部和内部威胁每时每刻都充斥着网络；3）不能仅仅依靠网络位置来确认信任关系；4）所有设备、用户、网络流量都应该被认证和授权；5）访问控制策略应该动态地基于尽量多的数据源进行计算和评估。 表1：区别于传统安全架构，零信任的核心原则是“从不信任、始终验证” 传统安全架构 零信任安全架构 以“网络”为中心的防护 以“数据”为中心的防护 防护对象 “攻防对抗”为主 关注“应用/资源” 基于“边界”的防护 “无边界”防护 防护基础 以“信任”为基础 默认“不信任”，最小权限 一次认证、静态策略 持续评估、动态访问控制 防护理念 被动、静态地防御 主动、自动化防御 资料来源：绿盟科技、市场研究部 1.3、 实现零信任的三大技术路径：SDP、IAM、MSG 零信任是一种理念，而不是一种技术。因此，没有单一的产品或解决方案能够使企业独自实现零信任。但是，业内普遍认为软件定义边界（SDP）、身份识别与访问管理（IAM）、微隔离（MSG）是实现零信任的三大技术路径。 软件定义边界（SDP） 软件定义边界（SDP）由云安全联盟（CSA）于 2013 年提出，用应用管理者可控的逻辑组件取代了物理设备，只有在设备证实和身份认证之后，SDP 才提供对认 5/27 证基础设施的访问，SDP 使得应用所有者部署的边界可以保持传统模型中对于外部用户的不可见性和不可访问性，该边界可以部署在可以访问的任意位置，如网络上，云中，托管中心中，私有企业网络上，或者同时部署在这些位置。 SDP 改变了传统的网站连接方式。在传统的连接中，首先，客户端需要建立与服务器端的连接，这一步骤使服务端暴露在公网中，若服务端有漏洞，则有可能被利用；其次，用户通过登录页面输入用户名和密码，这一步骤有可能使得用户名和密码被窃取；最后，除用户名和密码外还可使用多因素认证，通过多因素认证，可 以抵抗用户名和密码的丢失，但是多因素认证对于用户而言不是很友好。而在 SDP 中，首先，客户端进行多因素认证，认证设备的可靠性等，这一步对用户而言是透明的。认证通过之后，才进入用户登录阶段。这两步均是客户端与 Controller 进行交互，不涉及对于具体服务的访问。当认证通过后，客户端才能够与可访问的服务建立连接。 图4：软件定义边界（SDP）模型包括三大组件 资料来源：CSA、关注网 身份识别与访问管理（IAM） 身份识别与访问管理（IAM）具有单点登录、认证管理、基于策略的集中式授权以及审计、动态授权等功能。它决定了谁可以访问，如何进行访问，访问后可以执行哪些操作等。 IAM 涉及四个领域的内容：包括身份治