腾讯安全发布《零信任解决方案白皮书》

最新推荐文章于 2024-10-31 14:17:30 发布

原创

最新推荐文章于 2024-10-31 14:17:30 发布

· 5.6k 阅读

15 ·

版权

文章标签：

#信息安全 #零信任

不久前，腾讯安全发布「企业级零信任能力图谱」，受到业内人士的广泛关注。图谱从客户视角出发，结合相关零信任标准和国内外零信任最佳实践，针对企业用户如何构建零信任体系，提供具体的能力清单和指导框架，汇聚成通用性的零信任安全能力谱图，旨在帮助企业进行安全能力转型和升级。

此次，作为零信任能力图谱的延续，腾讯安全正式发布《零信任解决方案白皮书》，将核心能力聚合成解决方案、落地到关键组件，通过典型场景应用结合腾讯最佳实践，帮助企业构建新一代零信任安全网络架构提供帮助。

腾讯基于ZTA架构模型，参考谷歌ByondCorp最佳实践，结合自身十多年来的网络安全管理实践，形成了“腾讯零信任”的解决方案，于2016年在公司内部实践。方案打破传统基于网络区域的特权访问方式，基于可信用户、可信设备和可信应用的访问三要素验证，对访问主体授予最小访问权限，并对全链路访问加密和监控保护。目前已经过6万多员工的实践验证。新冠病毒疫情期间，很好解决了员工远程办公便捷性、稳定性和安全性问题。

以下是《腾讯零信任解决方案白皮书》全文：

1. 背景介绍

目前，绝大多数企业都还是采用传统的网络分区和隔离的安全模型，用边界防护设备划分出企业内网和外网，并以此构建企业安全体系。在传统的安全体系下，内网用户默认享有较高的网络权限，而外网用户如异地办公员工、分支机构接入企业内网都需要通过VPN。不可否认传统的网络安全架构在过去发挥了积极的作用，但是在高级网络攻击肆虐，内部恶意事件频发的今天，传统的网络安全架构需要迭代升级。

同时，随着云计算、大数据、物联网、移动互联网等技术的兴起，加快了很多企业的战略转型升级，企业的业务架构和网络环境随之发生了重大的变化。然而，传统基于边界防护的网络安全架构很难适应新环境，对于一些高级持续性威胁攻击无法有效防御，内网安全事故也频频发生。因此，传统安全架构已不能满足企业的数字化转型需求。

一种基于“零信任框架模型”的网络安全架构由此诞生。最初的零信任框架模型是由著名研究机构Forrester的首席分析师John Kindervag在2010年提出的，并在Google的BeyondCorp项目中得到了应用。Google是业界第一个将零信任架构模型落地实践的公司，ByondCorp项目对外部公共网络和本地网络的设备在默认情况下都不会授予任何特权，用户无论在哪里，无论什么时间，只有使用通过受控设备、通过身份认证，且符合“访问控制引擎”中的策略要求，通过专用访问代理才能访问特定的公司内部资源。

零信任的核心思想可以概括为：网络边界内外的任何访问主体（人/设备/应用），在未经过验证前都不予信任，需要基于持续的验证和授权建立动态访问信任，其本质是以身份为中心进行访问控制。

腾讯基于ZTA架构模型，参考谷歌ByondCorp最佳实践，结合自身十多年来的网络安全管理实践，形成了”腾讯零信任“的解决方案，于2016年在公司内部实践，该项目打破传统基于网络区域的特权访问方式，基于可信用户、可信设备和可信应用的可信身份三要素验证，对访问主体授予最小访问权限，并对全链路访问加密和监控。目前已经过6万多员工的实践验证。新冠病毒疫情期间，很好解决了员工远程办公便捷性、稳定性和安全性问题。

在零信任标准制定方面，腾讯基于在零信任的技术积累和实践经验，在业界率先发起零信任技术标准的研制工作。在国内，2019年7月，腾讯联合CNCERT、奇虎科技、数据通信科学技术研究所、中国移动通信集团设计院、奇安信、天融信、上海观安、恒安嘉新、深信服、北京微智信业、西安邮电大学等产学研机构，发起《零信任安全技术参考框架》行业标准立项，推进国内的零信任标准研制工作。在国外，2019年9月，在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组全体会议上，由腾讯、CNCERT、中国移动主导的“服务访问过程持续保护参考框架”国际标准成功立项。该框架提供有关持续身份安全和访问控制管理的标准化指导，成为国际标准组织中首个零信任安全相关的技术标准，表明中国力量在国际网络安全领域逐步在增强技术领导力和话语权，对推动零信任安全技术在全球范围规模商用的进程，加快零信任技术和服务快速发展与普及具有重要深远的意义。2020年3月，“服务访问过程持续保护参考框架”国际标准草案正式提交ITU-T，也在SG17安全研究组全体会议中得到普遍认可并获通过，后续将联动国内外相关机构持续推动。