越来越多的行业伴随着轰轰烈烈的新基建、供给侧改革开启了数字化转型。基于数据驱动的业务转型爆发了蓬勃的生命力,例如大量的 O2O 服务凭借着精准推送和大数据标签为企业提供了业务新的增长机会。在这个过程中,数据的生产、流动和安全关系着企业的数字化转型的成败。
在传统的 IT 架构下,业务位于企业的服务器机房中,数据从终端到服务器,都在固定的网络中流转,数据的收集和使用都在本地网络中进行,企业数据安全可以得到一定程度的保护,同时,这些数据只被限制在企业内部使用,无法发挥更大价值。
云计算的普及让数据流动成为可能,也让数据发挥的价值体现的更为淋漓尽致,例如作为数字政务的典型,数字广东的政务、城市交通、居民管理、城市建设等业务中积极汇总所有的数据,统一存放在数据中心,数据被充分的交叉验证和使用,提高政务运营效率。
未来随着全社会算力的迅速增加,尤其是移动设备和 IoT 设备的性能显著增强,这些小型化设备承担了越来越多的边缘计算的任务,计算出的数据呈现指数式爆发增长。与此同时,5G 和 NB-IoT 组成一高一低的网络覆盖,其产生的数据可通过互联网流动到企业内部被使用。数据的到来为企业的精细化运营创造了条件。
新技术的广泛普及和网络环境的巨大变化,都要求企业数据逐渐走出传统网络安全边界,在本地终端、数据中心、云服务器之间流动,发挥数据的巨大潜力,促进企业业务更精细化运营。这使得传统 IT 网络安全思路面临着巨大的挑战。
企业的数字化转型的一个特征是数据集中化,通过数据中台来调度数据的使用,挖掘数据价值。数据的集中化将放大数据安全的严重程度。如同鸡蛋都放在一个篮子中,当任何系统被攻破,就像是篮子的把手断了,全部系统都会呈现在风险之下,如同鸡蛋全碎一般,这样的损失是全量的。所以,在云计算和大数据时代,数据安全的重要性更高了。没有安全的应用彷佛像是在高速公路上开车不系安全带。
另一方面,企业为了做安全部署了很多的系统,包括代码扫描、漏洞扫描、端口扫描、安全编码规范,甚至面向业务做了大量量体裁衣的安全策略。这为系统业务升级或变更带来了很大的成本。另外,互联网思维要求快速上线、快速迭代,这与传统的安全要求产生了难以调和的矛盾,还导致业务部门对效率低下的抱怨,影响了企业业务的发展。
数篷科技认为,基础架构决定了安全问题的复杂度。安全即基础设施的理念,便是从基础架构的角度来思考、构建安全体系。同时,安全需要与业务解耦或松耦合;更进一步,安全如果赋能业务则达到了更好的效果。
数篷科技认为,零信任不是一种技术或者产品,而是一种理念和思想。零信任意味着,企业在开放的网络环境中,只有得到授权和验证的请求才可以访问特定的数据资源,并且保护这些数据资产。这其中包括三个关键词语:授权和验证、特定的数据资源、保护数据资产。目前在行业内已经有很多路线和技术都在尝试实现这样的效果,例如是 ZTNA 零信任安全框架,并且衍生出了许多“零信任”产品。但这些安全框架在实践过程中面临着很多挑战:无法保障数据资产安全、支持的协议有限、改造成本高。
对零信任也存在一种认知误区,认为零信任就是 IAM、就是 SDP。但事实上,包括 IAM 和 SDP 等技术不能单独的实现零信任,他们只能在某种程度上实现零信任的部分效果。并例如 IAM 只是实现了授权和验证的部分效果,SDP 只是实现了部分访问特定数据资源的效果。
在 9 月 4 日的 2020 ZTAT Summit 零信任框架技术峰会上,数篷科技发布了 HyperCloak®(凌界) 增强型零信任安全框架。 HyperCloak®(凌界) 作为数篷科技在零信任思路上的回答,不仅实现了在开放环境下,合法的人得到最适当的访问企业资源的授权,还可以确保企业的数字资产在安全的状态,不被非法访问、不被非授权转移。引起了各方的关注和讨论。
HyperCloak®(凌界) 作为一种零信任安全框架,与 ZTNA、Beyondcorp 等其他框架有很大的不同。通过安全沙箱、可信隧道、网络层到应用层的宽范围协议支持、深度隔离等技术手段,为企业搭建了软件定义的安全边界。这个安全边界实现了拓展到终端的细粒度管控,自适应的特征也使这个网络边界可以更充分的为业务的快速迭代提供空间,为企业提供数据的生产、流动、存储等全生命周期的安全,同时还可以实现免改造的效果。
数篷科技认为,未来企业的 IT 环境具有虚拟化、“无边界”、智能化、全球化的特征。虚拟技术的使用和云计算的普及大大提高企业的资源使用效率,提升冗余切换的速度和系统稳定性。“无边界”则是企业的网络边界将转向软件定义;随着业务和服务的增多,通过智能化的技术提升安全策略的健康和灵活;企业转向数据驱动,通过合理利用数据,将运营效率最大化。这些特征将给企业传统网络安全架构带来巨大挑战。
基于以上的特征,未来企业网络安全架构一定是软件定义的。数篷科技发布的 HyperCloak®(凌界) 零信任网络安全框架,可以给企业提供从终端、云计算到边缘计算的整体架构设计的参考。