下载掌阅APP,畅读海量书库
立即打开
零信任安全理念诞生以来,一直深受国内外学者乃至国家层面的重视,许多国家已经展开自上而下的策略进行贯彻零信任安全架构的落地。这也反映出国内外对零信任安全理念和架构的积极态度。
2019年9月,工业和信息化部会同有关部门,为贯彻落实《中华人民共和国网络安全法》,积极发展网络安全产业,起草了《关于促进网络安全产业发展的指导意见(征求意见稿)》,面向社会公开征求意见。该指导意见首次在国内政府正式文件中将零信任作为网络安全关键技术提出,要求“积极探索拟态防御、可信计算、零信任安全等网络安全新理念、新架构,推动网络安全理论和技术创新”。
同年,中国信息通信研究院发布的《中国网络安全产业白皮书》指出,零信任已经从概念走向落地,也首次将零信任安全技术和5G、云安全等并列为我国网络安全重点细分领域技术。
2021年7月12日,为深入贯彻党中央、国务院关于制造强国和网络强国的战略决策部署,落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》有关要求,加快推动网络安全产业高质量发展,提升网络安全产业综合实力。工业和信息化部发布《网络安全产业高质量发展三年行动计划(2021—2023年)(征求意见稿)》,指出:
发展创新技术。推动网络安全架构向内生、自适应发展,加快开展基于开发安全运营、主动免疫、零信任等框架的网络安全体系研发。加快发展动态边界防护技术,鼓励企业深化微隔离、软件定义边界、安全访问服务边缘框架等技术产品应用。积极发展智能检测响应技术,提升用户实体行为分析、安全编排与自动化响应、扩展检测与响应等技术应用水平。推动发展主动安全防御技术,推进欺骗防御、威胁狩猎、拟态防御等技术产品落地。加速应用基于区块链的防护技术,推进多方认证、可信数据共享等技术产品发展。加强卫星互联网、量子通信等领域安全技术攻关。
5G安全。针对5G核心网、边缘计算平台等5G网络基础设施,推进安全编排与自动化响应、深度流量分析、威胁狩猎、信令安全等产品应用,推动云边协同安全能力建设。针对网络切片、网络功能虚拟化等技术特点,推动容器安全、微隔离等虚拟化安全防护产品及5G空口和信令防护检测等安全产品部署应用,提升5G内生安全能力和5G网络威胁的感知能力。针对5G虚拟专网、5G共建共享等网络建设模式,积极推进安全资源池、零信任安全架构、资产识别等安全解决方案应用,构建按需供给的安全 能力。
云安全。面向多云、云原生、边缘云、分布式云等新型云计算架构。发展多云身份管理、云安全管理平台、云安全配置管理、云原生安全、云灾备等技术产品,推动云架构安全发展。面向云环境中云服务器、虚拟主机、网络等基础资源,加强基础信息采集水平,提升能够面向双栈(IPv4、IPv6)的流量可视化、微隔离、软件定义边界、云工作负载保护等安全产品能力,保障云上资源安全可靠。面向云上业务、应用等服务,提升安全访问服务边缘模型、云Web应用防火墙、云上数据保护等安全产品效能,保障云上业务安全运行。
相对于其他国家,美国政府对零信任的关注、出台的政策文件更多。2019年起美国相关组织和政府部门陆续发布了多项零信任相关的报告或政策文件,积极推动零信任相关技术和产业发展。
2019年4月,一贯致力于为美国政府提供新信息技术支撑的非营利性组织美国技术委员会(行业咨询委员会)发布了《零信任网络安全当前趋势》报告,讨论了零信任概念安全模型、部署零信任的步骤和联邦政府中应用零信任的挑战等内容。
2019年7月,美国国防部发布《数字现代化战略(2019—2023年)》,提出了与信息技术相关的现代化最终愿景和具体目标,即创建“一个更加安全、协调、无缝、透明和经济高效的信息技术体系结构,将数据转化为可操作的信息,并确保在持续的网络威胁面前可靠地执行任务。”为实现这一愿景,该战略提出了4个优先事项,以及4个数字现代化目标。该文件中首次在美国政府文件层面明确将零信任安全列为优先发展的网络安全任务之一。
2019年10月,美国国防部国防创新委员会(DIB)发布 Zero Trust Architecture ( ZTA ) Recommendations (《零信任架构(ZTA)建议》)报告,提供了关于国防部零信任实施层面的建议,其中第一条建议就是:国防部应将零信任实施列为最高优先事项,并在整个国防部内迅速采取行动,建议军方加快部署和推进零信任实施工作。
2021年4月,美国国防部代理首席信息官(CIO)谢尔曼(John Sherman)宣布:美国国防部计划发布 Zero - trust Architecture Strategy 2021 (《2021年零信任架构战略》)。并有消息称,美国国防部的最高IT部门正在考虑建立一个投资组合管理办公室(Portfolio Management Office),致力于加速采用零信任网络安全架构。
2021年5月,美国总统拜登签发 Executive Order on Improving the Nation's Cybersecurity (《关于加强国家网络安全的行政命令》),旨在加强美国的网络安全实践和保护美国联邦政府网络。拜登总统令强调了联邦政府网络安全现代化的关键举措和最佳安全实践,其中就包括要求政府部门向云技术的迁移应在可行的情况下采用零信任架构。
2020年10月,英国国家网络安全中心[National Cyber Security Centre(United Kingdom),NCSC]发布 Zero Trust Principles (《零信任基本原则》)草案,为政企机构迁移或实施零信任网络架构提供参考指导。
2022年11月,欧盟理事会通过了一项有助于维护欧盟网络安全的新立法——《关于在欧盟全境实现高度统一网络安全措施的指令》(简称《NIS2指令》),以进一步提高公共和私营部门以及整个欧盟的网络安全、弹性及事件响应能力。《NIS2指令》建议使用零信任理念来应对新时代下的安全威胁。
根据Gigamon在对德国、法国和英国的500位IT和安全决策者进行的一项市场调研数据,有84%的受访者表示自2020年初以来安全威胁同比增加,最大的威胁来自远程办公的不安全设备(51%)、网络钓鱼攻击(41%)和数据泄露(33%),并且超过2/3(67%)的欧洲组织已采用或计划采用零信任框架以应对不断变化的威胁形势。
从上述统计可以看出,欧洲、美国以及中国对零信任的关注度持续升温。可预测,随着零信任相关技术和实践的发展与逐步成熟,将会有更多的国家加强对零信任的政策关注和引导,进一步促进零信任产业的发展。