访问信任-成为国际上首个零信任安全技术标准

  • 时间:

【iPhone浴霸三摄】

一舉拿下ITU-T 國際標準,標志著以騰訊公司為代表的中國互聯網企業在國際標準組織制定中已開始扮演越來越重要的角色,成為規則的制定者和引領者,體現了中國力量在國際網絡安全領域的技術領導力和話語權,更有力推動了零信任安全技術在全球範圍規模商用的進程。

作為中國互聯網企業代表,騰訊於2016年率先在國內將零信任網絡架構完整落地,其摸索提煉的最佳實踐準則亦在生產環境中得到有效驗證,而結合騰訊十多年終端安全管理實踐與零信任理念推出的“騰訊終端無邊界訪問控制系統iOA(https://cloud.tencent.com/product/ioa),就旨在為用戶打造統一、安全和高效的無邊界網絡訪問入口,實現基於按需、動態的實時訪問控制策略,以可信終端、可信身份、可信應用三大核心能力,把身份安全、終端安全與鏈路安全形成完整閉環,同時結合全球殺軟橫評排名第一的“騰訊御點”,實時攔截病毒木馬攻擊且高效修複漏洞,確保用戶在任意網絡環境中都可以安全、穩定、高效地訪問企業資源,再結合騰訊游戲運營在混合雲服務器訪問管理的零信任實踐,從而構建起全方位、一站式的零信任安全體系,實現安全管理升級。

2019年9月上旬,在瑞士日內瓦舉辦的ITU-T(國際電信聯盟通信標準化組織) SG17安全研究組全體會議上,由騰訊主導的“服務訪問過程持續保護參考框架”國際標準成功立項,成為國際上首個零信任安全技術標準。此項標準對促進全球網絡安全產業健康發展,加快零信任技術和服務快速發展與普及具有重要深遠的意義。

當前網絡訪問環境在不斷變化,傳統邊界防禦隨著企業數據的分散化與訪問方式的多樣化而不再有效,來自任何區域、設備和員工的訪問都可能造成安全風險,嚴格的動態訪問控制和安全檢測至關重要,尤其是針對網絡訪問過程中設備和資源的持續安全保護,訪問控制策略的持續優化,異常訪問行為的持續檢測精準都成為亟待提升的技術關鍵點。因此,分析網絡訪問過程的安全挑戰,保持訪問行為的合理性,保證訪問過程的安全性和效率,提供有關控制技術管理的標準化指導,定義網絡訪問過程的持續防護參考框架成為當前安全標準化亟待填補的空白。

產業互聯網時代正面臨前所未有的安全挑戰,市場亟待新一代安全技術標準的指導準則和參考框架,騰訊將與中外各方合作伙伴一起,攜手推動零信任安全技術標準化建設和在全面落地,為用戶構建新一代網絡安全體系、為全球網絡安全的健康發展做出貢獻。

附:ITU-T(國際電信聯盟)成立於1865年,是聯合國中歷史最長的專門機構,也是聯合國的15個專門機構之一,其成員包括190多個國家、700多個公司和學術機構,第17研究組(ITU-T SG17)主要負責安全領域的標準研究與制定。由於ITU作為國際組織的長期性和作為聯合國特別機構的特殊地位,ITU發佈的標準比其他同級別技術規範制定組織擁有更高的國際認同度。

在輸出自身安全管理能力的同時,騰訊一直積極推動零信任安全技術標準的業界共識,自今年7月《零信任安全技術-參考框架》在CCSA成功立項後,又在8月持續發力爭取國際標準話語權。ITU作為聯合國標準化組織,要平衡各成員國立場形成標準絕非易事,本次會議152個新提案中僅有25個提案獲得標準立項,成功率不足20%。零信任安全作為當今各國安全界的重點關註領域,不僅有競爭激烈的各巨頭環伺,更涉及不同國家的政策法規及市場環境,在持續兩周的時間里與40多個國家200多名專家多輪艱苦談判後,最終在中國代表團的共同努力下,騰訊憑藉自身零信任安全領域的優秀實踐和國際標準化能力成功立項。

零信任安全,是以身份為中心,進行網絡動態訪問控制,其核心思想是不信任網絡內外部任何人/設備/系統,需要基於認證和授權重構訪問控制的信任基礎。在當前基於邊界的企業安全防護體系正在消弭的背景下,零信任安全已成為下一代主流安全技術路線,此次騰訊牽頭聯合國家互聯網應急響應中心(CNCERT)、中國移動通信集團設計院、賽門鐵克公司提出的立項議題《Reference framework for continuous protection of service access process 》(服務訪問過程持續保護參考框架)是零信任安全技術參考框架的核心組成部分,重在識別企業用戶中在網絡訪問過程中受到的安全威脅,指定訪問過程中的持續保護措施,實時檢測網絡異常的訪問行為,引入授權增強機制。