零信任网络安全行业分析报告Word文档下载推荐.docx
- 文档编号:14896347
- 上传时间:2022-10-25
- 格式:DOCX
- 页数:24
- 大小:3MB
零信任网络安全行业分析报告Word文档下载推荐.docx
《零信任网络安全行业分析报告Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《零信任网络安全行业分析报告Word文档下载推荐.docx(24页珍藏版)》请在冰豆网上搜索。
1、中美双双加码零信任安全13
2、零信任安全正在普及应用15
(1)零信任架构成为企业IT安全建设的必然选择15
(2)零信任作为全新的安全理念,需要基于业务需求、安全运营现状、技术发展趋势等对零信任能力进行持续完善和演进16
3、海外零信任产业已初具规模,国内即将步入建设高峰17
(1)海外零信任起步较早,目前已初具规模17
(2)国内安全厂商积极布局零信任18
三、相关企业简析19
1、奇安信:
网络信息安全龙头,专注于新型安全领域20
(1)奇安信业务布局完整,公司处于快速成长期,现已成为国内网络安全龙头20
(2)在零信任架构下,奇安信推出一系列安全解决方案20
(3)为保障数字化业务开展,奇安信推出零信任远程访问解决方案20
2、美亚柏科:
国内电子数据取证行业龙头,大数据智能化、网络安全专家21
(1)作为“新基建”最大的服务对象,智慧城市正在步入发展“快车道”22
(2)公司重视“零信任体系”搭建,并将其拓展至智慧城市的建设中22
3、深信服:
领先的信息安全企业,从零信任到精益信任23
4、启明星辰:
老牌网络安全龙头,零信任管控平台为多种应用场景提供安全保障25
(1)公司是网络安全市场龙头企业,具有完善的专业安全产品线25
(2)推出零信任管控平台,为多种应用场景保驾护航25
5、安恒信息:
网络安全后起之秀,新兴安全业务发展迅速26
6、绿盟科技:
领先的网络安全解决方案供应商,产品逐步向零信任安全架构迁移27
7、南洋股份:
国内防火墙龙头企业,持续推动零信任安全理念的落地实践29
8、山石网科:
边界安全领域领导厂商30
9、格尔软件:
国内PKI领先企业32
四、主要风险34
1、网络安全政策落地不及预期34
2、零信任安全发展不及预期34
数字时代下旧式边界安全防护逐渐失效,零信任架构将成主流趋势。
传统的安全防护是以边界为核心的,一定程度上默认内网是安全的。
而云大物移智等新兴技术的应用使得IT基础架构发生根本性变化,可扩展的混合IT环境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势,传统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全防护效果有限。
面对日益复杂的网络安全态势,零信任以身份为中心实现动态访问控制,被认为是数字时代下提升信息化系统和网络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势
零信任架构适应多种业务环境及应用场景。
零信任架构的应用需要对IT基础设施与应用系统深度融合、全面覆盖,根据NIST下属的NCCoE(国家网络安全卓越中心)发布的《实现零信任架构》(草案)项目说明书中,建议零信任安全应用的八大应用场景,囊括各类业务访问、数据交换以及服务网格场景。
在数据中心、远程办公等实际场景均有较好的解决方案。
零信任安全需求正快速普及。
2019年底,CybersecurityInsiders联合Zscaler发布的《2019零信任安全市场普及行业报告》指出,78%的IT安全团队希望在未来应用零信任架构,19%的受访者正积极实施零信任,而15%的受访者已经实施了零信任,零信任安全正迅速流行起来。
Gartner的《零信任访问指南》也认为到2022年,在向生态合作伙伴开放的新数字业务应用程序中,80%将通过零信任进行网络访问,到2023年,60%的企业将采用零信任替代大部分远程访问虚拟专用网(VPN)。
我国零信任政策及标准正逐步落地,国内厂商积极布局零信任。
当前美国国防部已明确将零信任实施列为最高优先事项,同时海外零信任产业已走向规模化落地,营收超过1.9亿美元的厂商已超过10家。
自2019年开始,我国也加快了零信任相关政策及标准的落地,各个安全厂商亦陆续推出零信任相关产品或解决方案,在零信任快速普及的背景下有望迎来快速发展。
当前海外零信任产业已进入规模化发展阶段,国内厂商已陆续推出自身的零信任产品或解决方案。
在零信任安全逐渐普及的背景下,两类厂商最为受益:
1)综合实力强劲并已有相应产品或解决方案推出的网络安全公司:
奇安信、深信服、启明星辰、安恒信息、绿盟科技、南洋股份;
2)在SDP、IAM、MSG或是某一应用场景具备突出优势的厂商:
美亚柏科、山石网科、格尔软件。
一、零信任将成为数字时代主流的网络安全架构
1、零信任是面向数字时代的新型安全防护理念
零信任是一种以资源保护为核心的网络安全范式。
《零信任网络:
在不可信网络中构建安全系统》一书对零信任安全进行了简要归纳和概况:
1)网络无时无刻不处于危险的环境中;
2)网络中自始至终都存在外部或内部威胁;
3)网络位置不足以决定网络的可信程度;
4)所有的设备、用户和网络流量都应当经过认证和授权;
5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。
因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的,需要基于认证和授权重构访问控制的信任基础。
零信任的雏形最早源于2004年耶利哥论坛提出的去边界化的安全理念,2010年Forrester正式提出了“零信任”(ZeroTrust,ZT)的术语。
经过近十年的探索,零信任的理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。
数字时代下,旧式边界安全防护逐渐失效。
传统的安全防护是以边界为核心的,基于边界构建的网络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM及入侵防御检测等安全产品的组合将安全攻击阻挡在边界之外。
这种建设方式一定程度上默认内网是安全的,而目前我国多数政企仍然是围绕边界来构建安全防护体系,对于内网安全常常是缺失的,在日益频繁的网络攻防对抗中也暴露出弊端。
面对日益复杂的网络安全态势,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势。
2、“SIM”为零信任架构的三大关键技术
零信任的本质是以身份为中心进行动态访问控制。
零信任对访问主体与访问客体之间的数据访问和认证验证进行处理,其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。
访问主体通过控制平面发起访问请求,经由信任评估引擎、访问控制引擎实施身份认证及授权,获得许可后系统动态数据平面,访问代理接受来自主体的数据,从而建立一次可信的安全访问链接。
过程中,信任评估引擎将持续进行信任评估工作,访问控制引擎对评估数据进行零信任策略决策运算,来判断访问控制策略是否需要作出改变,若需要作出改变时,将及时通过访问代理中断此前连接,从而有效实现对资源的保护。
综上,可将零信任架构原则归纳为以下五个:
将身份作为访问控制的基础:
零信任架构对网络、设备、应用、用户等所有对象赋予数字身份,基于身份来构建访问控制体系;
最小权限原则:
零信任架构中强调资源按需分配使用,授予的是执行任务所需的最小特权,并限制资源的可见性;
实时计算访问控制策略:
零信任的授权决策根据访问主体的身份、权限等信息进行实时计算,形成访问控制策略,一旦授权决策依据发生变化,将重新进行计算,必要时将即时变更授权决策;
资源受控安全访问:
零信任架构对所有业务场景及资源的每一个访问请求都进行强制身份识别和授权判定,符合安全策略才予以放行,实现会话级别的细粒度访问控制,同时所有的访问连接均须加密;
基于多源数据进行信任等级持续评估:
零信任架构中访问主体的信任等级是根据实时多源数据(如身份、权限、访问日志等)计算得出,人工智能技术提高了信任评估策略的计算效率,实现零信任架构在安全性、可靠性、可用性及成本方面的综合平衡。
“SIM”,即SDP(软件定义边界)、IAM(身份与访问管理)、MSG(微隔离)是实现零信任架构的三大关键技术。
NIST(美国国家标准委员会)在2019年发布的《零信任架构ZTA》白皮书中,总结出实现零信任架构的三大核心技术“SIM”,分别是“S”,即SDP(软件定义边界);
“I”,即IAM(身份与访问管理);
“M”,即MSG(微隔离)。
(1)SDP(软件定义边界)
SDP技术是通过软件的方式,在“移动+云”的背景下构建起虚拟,利用基于身份的访问控制及完备的权限认证机制提供有效的隐身保护。
SDP是由云安全联盟(CSA)开发的一个安全框架,其体系结构主要包括SDP客户端、SDP控制器及SDP网关这三个组件,其中客户端主要负责验证用户身份,将访问请求转发给网关,控制器负责身份认证及配置策略,管控全过程,网关主要保护业务系统,防护各类网络攻击,只允许来自合法客户端的流量通过。
SDP可将所有应用程序隐藏,访问者不知应用的具体位置,同时所有访问流量均通过加密方式传输,并在访问端与被访问端之间点对点传输,其具备的持续认证、细粒度的上下文访问控制、信令分离等防御理念可有效解决企业业务拓展中的安全问题,成为了零信任理念的最佳践行之一。
(2)IAM(身份与访问管理)
全面身份化是零信任架构的基石,零信任所需的IAM技术通过围绕身份、权限、环境等信息进行有效管控与治理,从而保证正确的身份在正确的访问环境下,基于正当理由访问正确的资源。
随着数字化转型的不断深入,业务的云化、终端的激增均使得企业IT环境变得更加复杂,传统静态且封闭的身份与访问管理机制已不能适应这种变化,因此零信任中的IAM将更加敏捷、灵活且智能,需要适应各种新兴的业务场景,能够采用动态的策略实现自主完善,可以不断调整以满足实际的安全需求。
(3)MSG(微隔离)
微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。
当前微隔离方案主要有三种技术路线,分别是云原生微隔离、API对接微隔离以及主机代理微隔离,其中主机代理微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。
3、零信任安全应用场景丰富
今年在YQ及新基建的双重刺激下,远程办公、云计算得到快速发展,政府大数据快速推进,对于零信任安全建设的必要性亦大大增强。
而基于零信任的安全架构可以很好地兼容云计算、大数据、物联网等各类新兴应用场景,支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构。
如适用于远程办公的零信任安全架构,不再区分内外网,在人员、设备及业务之间构建虚拟的、基于身份的逻辑边界,实现一体化的动态访问控制体系,不仅可以减少攻击暴露面,增强对企业应用和数据的保护,还可通过现有工具的集成大幅降低零信任潜在建设成本。
在大数据中心的应用场景中,东西向流量大幅增加,传统以南北向业务模型为基础研发的安全产品已不适用,零信任架构可通过微隔离技术实现有效防护。
零信任架构具备多种灵活的实现部署方式,适应多场景。
现代IT环境下,业务场景呈现多样化趋势,根据访问主客体、流量模型以及业务架构可将这些场景归纳为三大类:
业务访问、数据交换以及服务网格场景。
其中业务访问场景是指用户访问业务应用的场景,是零信任架构的主要应用场景,包含移动办公、PC办公等各类子场景,成功的零信任解决方案能够满
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信任 网络安全 行业 分析 报告