毫无疑问,零信任绝对是2021年网络安全这条赛道最靓的仔。
2020,疫情第一年,大家还在观望新冠特效药和疫苗,人肉双周轮班保生产也就是阵痛而已。
2021,疫情第二年,意识到新冠可能是持久战,必须改变思路,目光都聚焦在了远程办公,以及其安全性。
于是,网络安全产业界嗅到了商机,迅速掀起了零信任的浪潮。
混乱,是产业界的机会。一时间,人声鼎沸。各路诸侯,不管以前是做网络(SD-WAN、VPN、NTA),还是做主机(桌管、HIDS、容器、沙箱),抑或身份(IAM),都赶紧圈地,竖起零信任的大旗。
混乱,却是甲方的梦魇。很多甲方被造词的先驱们忽悠的团团转,零信任到底是什么?是网关?是IAM?是桌管升级EDR?还是微隔离?是新瓶装旧酒?是技术还是一种思维?
每一场网络安全大会都刮着零信任旋风,吹的甲方发型凌乱,抱头直呼“不买零信任,枉在安全混”。
机会与风险相伴相生,喧嚣的2021年过去,零信任产业交出了一份并不太好看的成绩单。无论是“人买我推荐,真买我不买” 的尴尬,还是“销售一张嘴,交付跑断腿”的重人力消耗,最终体现出来的毛利和人效,都让资方眉头紧皱。
2019年,我在写信息安全三年安全规划的时候,就把零信任项目写了进去。2020年和一些综合安全厂商,以及多家创业公司交流后,也迟迟没有启动采购。在交流的过程中,我形成了两个观点(仅代表个人判断,与所在公司无关)。
第一、零信任要想在中大型企业落地,不太可能是乙方主导。
原因很多,随便讲两点。
1、乙方掰开揉碎的安全故事,还是不够性感。只有甲方在内部多年的深耕,才更能抓住决策者的兴奋点。尤其是护网这么3、4年打下来,决策层会有“我已经很安全”的错觉,仅仅拿“安全”说事,安全负责人有点虚。
2、零信任会动摇企业现有的办公基座,基座一挖,地动山摇,神仙打架不可避免。先不说乙方屁股在“卖给客户更多”,甲方在面对老板“为何不能复用现有投入”的灵魂拷问,两者存在的天然矛盾。就说大量的内部协调工作,无论业务部门还是运维部门,哪个山头的庙门是乙方知道朝哪儿开的?
第二、零信任在企业内部,如果仅靠安全部门(团队)主导,大概率动作会变形
不整虚的,看领导说什么不如看做什么。在金融甲方,看看安全团队负责人的职级,再看看团队的HC,就知道安全在企业的真实地位。总体来看,这还是个弱势的团队。
当这样的安全团队,和网络团队PK员工PC准入方式变更,和办公团队PK移动端MAM、PC沙箱,和基础运维团队PK服务器微隔离,和业务团队PK各种C/S架构应用兼容性、体验,和数据团队PK权限细粒度管控,和领导PK投入产出比,这里面会有多少退让?在反复的拉扯中,安全团队的目标是什么?底线是什么?会不会最后落得一个“零信任四不像”?
解决这些问题,就等于找到了甲方成功实施零信任的法宝。
我认为解法还是在人,甲方需要这样一个角色:
这个角色,可以是一个人,也可以是多人组合。
分享一个2014年做桌面云的故事。项目非常成功,不仅是证券行业第一个全面采用桌面云的机构,更是“打得一拳开,免得百拳来”,从架构层面一举奠定了前东家近十年的办公安全根基。
回想起来,项目成功的很重要一点,就是两个关键人物。
一个是公司老人,在公司呆了超过20年,作为安全负责人,虽然用手指戳键盘(调侃下老领导:->),但情商很高,富有投资思维(会讲故事,ROI抓住领导痛点),各种PK场合有理有节,点到为止。同时和各部门负责人、决策层有着深厚的友谊。
一个是公司社招新人(工龄>10年),智商很高,能力很强。对运维和安全的方方面面,了如指掌,运筹帷幄。在 PoC 阶段设计了充分的测试场景,提前发现了大量问题。
这样一对组合,正好契合了我们一直在说的两句话。
第一句,很多事情,看起来是技术问题,但其实是管理问题。关键人物里面的公司老人,用情商和关系,推动了整个项目的前进。
第二句,但往往死在了技术不过硬的问题上。关键人物里面的社招新人,用技术能力,让项目最终顺利落地。
我的读者,会是哪一种人呢?
前者多年的苦心经营,以及高情商,很难复制。
但后者的技术,我相信是读者朋友努力、坚持学习,就能做到的。
对于一个有志于提升自己在零信任方面架构、技术能力的读者,说两个好消息,和一个坏消息。
第一个好消息,Gartner 炒作曲线表明,零信任已经悄悄的度过了幻灭期,进入复苏期。也就是经过了市场的洗礼,可以真正投入实战了。你也可以安心下来认真研究。
坏消息是,如果你在网上找过零信任的资料,你就会发现,各个机构的零信任模型不同,各个厂商的解决方案也各不相同。行业内各家自说自话,令人摸不着头脑,看不明白到底什么才是零信任。
而好消息是,我最近看了一本《白话零信任》,非常系统的阐述了零信任的方方面面,也让我对零信任的一些细节实现收获颇丰。摘录书中几句话:
1、我想从头开始,把零信任的每个流派都梳理清楚,盘点各家的行业标准和技术框架。从Forrester的概念模型,到BeyondCorp的最佳实践。从NIST的技术标准,到国内外各大厂商的特色解决方案……提供一个全局视角,以便俯视百花齐放的市场现状
2、最流行的说法是,零信任是S.I.M.=SDP+IAM+微隔离。这种说法我非常认同,但是很多人理解得太片面了。在我看来,零信任应该是一个能融入现有网络架构,与传统安全产品联动,带动整个企业网络升级的安全架构,而不仅仅是几个产品的简单组合
3、因此,我在书中总结了完整的零信任模型,并且结合很多大型企业的整体建设、改造经验,试图展现出零信任架构的全貌,而不止是浮出水面的部分。
4、最后,我发现市面上介绍零信任理论的资料多,但介绍实践的资料少。所以,我在写书的时候,除了零信任的理念、模型之外,还整理了零信任的规划、建设步骤,各种场景下的部署运维方案、安全运营方案。建设完了之后,还得把零信任用起来。
书我花了三周的零碎时间,已经粗略看完。能明显看出作者有很多自己的思考和实践在里面,全书并没有夹带广告,对于落地中可能存在的坑,也真诚指出,相信在实施零信任的朋友能够会心一笑。当然,书中关于攻防的细节、一些流程规范的内容也存在瑕疵,但这并非全书重点,瑕不掩瑜。因此,可以负责任的将《白话零信任》推荐给大家。
送书规则:
1、在评论区发表与零信任相关的评论
2、截止本周五21:00,点赞数排名前五的读者获奖
获奖者可以通过公众号,或者加我微信,私信收件地址。
没有抽中的读者,可以扫描下方二维码购买,原价 89 ,粉丝福利,到手价 49 元。
最后
不要把零信任称为产品,也不要试图围绕零信任创建一个标准——“零信任”是一种策略。