楊蓉

備受關(guān)注的“零信任”安全理念再度迎來發(fā)展里程碑。近日，國際電信標準組織ITU-T正式對外發(fā)布由騰訊牽頭提報的《服務(wù)訪問過程持續(xù)保護指（Guidelines for Continuous Protection of the Service Access Process）》。該標準重點分析了服務(wù)訪問過程中的安全威脅，規(guī)定了檢測異常訪問活動的安全保護措施以及服務(wù)接入流程的安全要求規(guī)范等，推動零信任內(nèi)涵從“持續(xù)驗證”向“持續(xù)保護”升級。

本次標準也是全球范圍內(nèi)首個零信任領(lǐng)域的國際標準，不僅代表著中國零信任的創(chuàng)新實踐和技術(shù)范式走入了全球視野，也將進一步驅(qū)動零信任理念在更多領(lǐng)域生根發(fā)芽，成為護航產(chǎn)業(yè)數(shù)字化的基石。

ITU-T發(fā)布的《零信任標準（Guidelines for Continuous Protection of the Service Access Process）》在云計算、大數(shù)據(jù)、5G和物聯(lián)網(wǎng)等技術(shù)的推動下，IT不再像過去那樣有明確的邊界，遠程辦公、移動辦公等成為常態(tài)。這使得傳統(tǒng)基于防火墻的物理邊界防御方式已不再適用，而基于IT無邊界化趨勢下興起的零信任安全理念則成為大勢所趨。自2010年零信任理念誕生以來，全球多家機構(gòu)企業(yè)紛紛開始探索這一理念的內(nèi)涵，并推動落地。據(jù)市場研究機構(gòu)MarketsandMarkets的報告顯示，全球零信任安全市場規(guī)模預計將從2019年的156億美元增長到2024年的386億美元。

然而，零信任理念在落地中仍然面臨諸多困難。由于業(yè)內(nèi)廠商都基于自身技術(shù)研發(fā)和實踐經(jīng)驗各自為戰(zhàn)，導致缺乏共通的話語體系，零信任推廣之路面臨很大阻力。面對市場秩序的混亂和技術(shù)標準的欠缺，通過標準手段構(gòu)建生態(tài)，對于引導產(chǎn)業(yè)技術(shù)發(fā)展以及企業(yè)開展零信任實踐，都具有很強的借鑒意義和參考價值。

《服務(wù)訪問過程持續(xù)保護指南》作為首個零信任領(lǐng)域的國際標準，詳細界定了標準的實施范圍，零信任相關(guān)概念的定義，同時深度分析了服務(wù)訪問進程中的安全威脅，并對服務(wù)訪問流程的安全要求、參考框架進行了詳細解釋，此外還根據(jù)典型的零信任應(yīng)用場景進行多維度解析。

該標準的成功發(fā)布，推動了零信任理念的創(chuàng)新，即由“持續(xù)驗證”向“持續(xù)保護”內(nèi)涵的升級。相較于傳統(tǒng)“持續(xù)驗證，永不信任”技術(shù)理念下對身份認證、資源訪問的控制，ITU-T零信任標準聚焦的范圍延展到了“事前、事中、事后”全過程全要素的安全保護?！俺掷m(xù)保護”具體而言，包括持續(xù)強化所有相關(guān)對象的安全（如用戶、設(shè)備、資源和網(wǎng)絡(luò)等），檢測不安全實體、不安全行為以及動態(tài)執(zhí)行授權(quán)決策和響應(yīng)威脅，最大化降低訪問過程中的風險。

例如，在遠程工作場景、訪問多云服務(wù)場景、服務(wù)器與服務(wù)器之間通信的三大典型應(yīng)用場景中，“持續(xù)保護”使得用戶不需要維護多個訪問接口，即可實現(xiàn)使用一個訪問控制策略來管理不同的云資源，還能避免諸如分布式拒絕服務(wù)（DDoS）攻擊等各類型網(wǎng)絡(luò)攻擊。部署“持續(xù)保護”具有諸多優(yōu)勢，包括有助于做出更精確的授權(quán)決定，縮小服務(wù)器的攻擊面，兼顧更好的用戶體驗和更強的安全性等。

本次標準的發(fā)布，充分凝聚了中國在零信任領(lǐng)域的探索和實踐。在2019年，騰訊便聯(lián)合國家互聯(lián)網(wǎng)應(yīng)急中心、中國移動通信集團設(shè)計院等零信任領(lǐng)域同行，共同申報零信任國際標準。經(jīng)過由全球200多名專家嚴苛審核的立項、答辯環(huán)節(jié)之后，不斷更新、精心打磨的標準得以在3年后順利通過。這是在新一代企業(yè)網(wǎng)絡(luò)安全體系的背景下，中國網(wǎng)絡(luò)安全解決方案邁向世界舞臺的一個縮影。

標準的通過也意味著騰訊等企業(yè)探索以及應(yīng)用零信任的最佳實踐，正成為全行業(yè)可復制的參考樣本。騰訊作為該標準的牽頭方，自2016年起便率先在公司內(nèi)部進行了零信任安全解決方案的實踐。在2020年疫情期間，騰訊基于多年實戰(zhàn)驗證打造的騰訊零信任iOA系統(tǒng)，安全滿足了騰訊7萬名員工、10萬臺終端的遠程辦公需求，完整支持包括內(nèi)網(wǎng)訪問、遠程辦公、云資源訪問、合作以及子公司職場協(xié)作辦公等各類辦公場景，為騰訊的整體職場管理運營提供安全和技術(shù)支撐。

騰訊iOA以持續(xù)訪問控制為核心，圍繞身份安全、設(shè)備安全、應(yīng)用安全和鏈路安全等要素，持續(xù)檢測關(guān)鍵對象的安全狀態(tài)，并根據(jù)安全狀態(tài)動態(tài)調(diào)整訪問權(quán)限，同時提供對關(guān)鍵對象全生命周期的安全保護。目前，騰訊iOA已在政務(wù)、醫(yī)療、交通和金融等多個行業(yè)成功應(yīng)用，支持百萬終端設(shè)備的安全接入。同時系統(tǒng)支持SaaS化和私有化模式部署交付，滿足遠程辦公/運維、混合云業(yè)務(wù)、分支安全接入、應(yīng)用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務(wù)集中管控、全球鏈路加速訪問等多個場景的動態(tài)訪問控制需求，并通過模塊化思路來完美解決企業(yè)多樣化的安全需求，成功護航企業(yè)安全。

標準化的過程也是生態(tài)建立的過程，《服務(wù)訪問過程持續(xù)保護指南》的發(fā)布，對于推動全球零信任技術(shù)商用進程有著重大意義。未來，騰訊安全將繼續(xù)發(fā)揮自身在零信任領(lǐng)域的技術(shù)優(yōu)勢和實踐經(jīng)驗，協(xié)同生態(tài)伙伴一道共同促進零信任產(chǎn)業(yè)規(guī)?；l(fā)展，更好地護航產(chǎn)業(yè)的互聯(lián)網(wǎng)發(fā)展。