2010 年,Forrester Research 首席分析师 John Kindervag 首次提出了零信任(Zero Trust,ZT)理念,对访问控制在范式上实现颠覆,指引安全体系架构从“网络中心化”转向“身份中心化” 。零信任的基本原则是“从不信任,始终验证” ,即企业内外部的任何人、事、物、均不可信,应在授权前对任何试图接入系统的人、事、物进行验证,且数据资源按最小权限原则分配。
零信任架构 (Zero Trust Architecture,ZTA)对访问主体身份管控更加全面,访问鉴权更为精准,全面考虑了访问链路的安全性、稳定性和访问速度。零信任架构主要包含现代身份与访问管理、软件定义边界和微隔离三个关键技术。
奇安信集团提出了内生安全理念,即需要依靠聚合,从信息化系统内不断生长出自适应、自主和自成长的安全能力。内生安全框架包含三个重点——“理清楚”、“建起来”、“跑得赢”,目的是通过“新管理”,让网络安全体系具有动态防御、主动防御、纵深防御、精准防护、整体防护、联防联控的能力。
内生安全有三个关键点:内生安全的关键是管理,管理的关键是框架,框架的关键是组件化。奇安信把各种安全能力组件化,分别以系统、服务、软硬件资源等不同形态,合理部署到信息化系统的不同区域、节点、层级中。各种安全能力组件之间,通过网络和数据进行整体协同,使安全能力全面覆盖信息化所有范围,实现对各个层次的管理。
为了满足早期业务快速发展的诉求,安全架构一直以外挂式的防护模型保障业务发展,但随着网络安全、数据安全、个人隐私保护等监管要求的加强,由于安全体系仍处于企业架构范围之外,安全治理需求开始对企业已有的技术、应用、数据和业务架构带来强大冲击。
当前企业架构和业务逻辑呈爆炸性复杂态势,特别是大型数字化业务,系统、网络、应用、供应链都在高速发展和快速变化,云上业务和安全边界实时弹性扩缩,进一步加剧了安全问题。以前在小规模场景下简单的安全问题,在快速变化的复杂性爆炸场景下都变成巨大的挑战。比如最基础的数字资产盘点,在复杂性爆炸场景下,准确、全面、及时地刻画网络、设备、系统、应用、模块、数据等资产,对于整个业界都是一个巨大挑战。
企业需求是业务和安全能够融合在一起但又相互解耦,即安全能够深入业务逻辑,不再是外挂式安全;业务上线即带有默认安全能力,并实现跨维的检测、响应与防护;同时安全能力可编程、可扩展,与业务各自独立演进。原生安全需要一个正交融合的平行空间,以既融合又解耦的方式进行安全防护,非常好地满足了企业建立“原生安全”能力的需求。
将编程语言环境下的面向切面编程(AOP)思想推广应用到安全体系建设中,构建与业务正交融合的安全平行空间,在不修改业务正常逻辑的情况下,实现更高维度的安全防护,称之为安全平行切面。安全平行切面的定义: 通过嵌入在端—管—云内部的各层次切点,使得安全管控与业务逻辑解耦,并通过标准化的接口为安全业务提供内视和干预能力的安全基础设施。安全平行切面是一种创新的安全体系思想,是实现“原生安全”的一条可行路径。
(1)感知覆盖能力强 感知覆盖是安全领域“看得见”的基础能力,做不到感知覆盖就很难保障系统安全和数据安全。由于系统复杂性和碎片化导致想要做到感知覆盖挑战艰巨:在微观层面,应用内部行为的内视和细颗粒度数据的流转追溯难;在宏观层面,网络和数据安全态势感知更加不易。安全平行切面技术将安全基础设施融入应用和系统内部,且可以根据安全需求来调整感知目标,能极大的提升感知覆盖能力。 (2)快速应急攻防响应 在安全应急时往往需要快速发现和阻断攻击链,并且实现低漏报、零误报。但是让业务团队快速修补漏洞并不现实,由于业务系统的复杂性,导致补丁修复需要大量的测试,修复时间比较漫长。正交融合的安全平行切面能够在业务漏洞修复之前,快速阻断攻击链,达到快速应急响应的目的,保障业务系统安全连续性运行。 (3)高效的安全治理与灵活安全布防 在复杂性爆炸的场景下,在安全治理上的投入经常远大于做安全攻防的投入,甚至超过 80% 的安全成本是安全治理投入,导致治理的效率往往比较低。正交融合的安全平行切面可以支撑对业务的高效安全治理。再进一步,安全需要灵活部署安全阵地。攻防是人与人的对抗,核心是知己知彼。如果所有的防御体系都一样,那么有经验的攻击者总能找到机会来绕过这样僵化的防御体系。安全平行切面与业务解耦和独立演化,可以灵活部署安全防护,能提供差异化的安全防御体系,可以有效应对攻击者的挑战.