Após 2021, o conceito de segurança de “confiança zero” foi selecionado como uma das dez principais tendências da segurança industrial da Internet em 2022. No entanto, diferente da “arquitetura de confiança zero entrando no período de implementação e promoção de aplicativos” proposta em 2021, o recém-lançado “Top Ten Trends of Internet Security in 2022 industry” (doravante referido como o “relatório”) propõe que a comercialização de confiança zero preste mais atenção aos resultados práticos, anti generalização, abuso e conceituação.
O relatório disse que a confiança zero, como sistema e direção, subverteu o paradigma da segurança industrial, quebrou o conceito de fronteira da segurança de rede tradicional e orientou a transformação da arquitetura de segurança industrial da centralização de rede para a centralização de identidade.
Até agora, além de empresas de TI europeias e americanas como Google, Microsoft e Cisco, Tencent security, Qi An Xin Technology Group Inc(688561) , Sangfor Technologies Inc(300454) , Wangsu Science & Technology Co.Ltd(300017) , etc. na China também têm estado acima do peso em torno de zero confiança.
A mais recente nova tecnologia da Forrester: o acesso à rede de confiança zero no segundo trimestre de 2021 mostra que, à medida que as empresas buscam soluções mais seguras, o acesso à rede de confiança zero se tornou uma tecnologia de segurança de referência, e muitos fabricantes de segurança lançaram soluções e produtos relacionados à confiança zero. Portanto, em seguida, espera-se que a confiança zero se torne a próxima rodada de ponto de explosão da segurança industrial.
surto chegando
“Confiança zero” é um conceito de segurança apresentado por John kindervag, analista-chefe da Forrester em 2010. Sua ideia central é que, por padrão, ele não confia em ninguém, dispositivos e sistemas dentro e fora da rede corporativa. Ele precisa reconstruir a base de confiança do controle de acesso baseado na autenticação e autorização de identidade.
Em suma, a estratégia de confiança zero é “verificação contínua e nunca confiança”. O modelo tradicional de autenticação de acesso existente só precisa saber o endereço IP ou as informações do host, mas no modelo de “confiança zero”, ele precisa de informações mais claras. Todas as solicitações que não conhecem a identidade do usuário ou não conhecem o caminho de autorização são rejeitadas.
Embora o conceito de confiança zero tenha uma longa história, começou a ser popularizado na indústria em 2017. Naquela época, o projeto do Google baseado na segurança de confiança zero foi implementado com sucesso, que verificou a viabilidade da segurança de confiança zero em cenários de rede de grande escala.
Em 2019, na orientação sobre promoção do desenvolvimento da indústria de segurança de rede (Projeto de exposição) emitida pelo Ministério da indústria e tecnologia da informação, a segurança de confiança zero foi listada como a tecnologia chave a ser quebrada na segurança de rede pela primeira vez.
Nos últimos dois anos, com o teletrabalho se tornando a norma social, a segurança de confiança zero também foi acelerada. Na verdade, o acesso remoto em larga escala, a insegurança do equipamento terminal e a fraqueza do ambiente de rede fazem com que a superfície de ataque da rede aumente. Como garantir a segurança do escritório remoto tornou-se o principal problema das empresas e do novo oceano azul de fabricantes de segurança, e a confiança zero é a chave para o novo oceano azul.
Wangsu Science & Technology Co.Ltd(300017) vice-presidente e diretor de segurança LV Shibiao disse ao 21st Century Business Herald, “a confiança zero, como um novo conceito de segurança, foi acelerada para ser adotada pelo mercado nos últimos dois anos. A demanda dos clientes por confiança zero está crescendo. Esperamos que o mercado de confiança zero rebente em 2023.”
De acordo com os dados de mercados e mercados, a escala do mercado global de segurança de confiança zero deve aumentar de US $ 19,6 bilhões em 2020 para US $ 51,6 bilhões em 2026. A IDC prevê que até 2024, as soluções de acesso remoto seguro ocuparão 12,5% do mercado global de segurança de rede com um valor de US$ 26 bilhões, no qual produtos e soluções relacionados à confiança zero ocuparão uma posição importante.
remover o virtual para o real
Olhando para a frente para 2022, o relatório acredita que a confiança zero impulsionará muitas mudanças significativas no setor de segurança de rede. Primeiro, um grande número de fabricantes de segurança lançará intensivamente produtos de segurança de confiança zero e realizará uma certa gama de aplicativos de destino entre usuários governamentais e corporativos.
Em segundo lugar, a tecnologia de proxy de atributos de identidade multidimensional precisa de pesquisa aprofundada. Por exemplo, os atributos de entidade de identidade de informações do usuário, status do dispositivo, endereço de rede, contexto de negócios, tempo de acesso, localização espacial e outras dimensões são usados como base para autorização, que é gerada temporariamente conforme necessário e invalidada regularmente ao solicitar autorização.
Anteriormente, alguns especialistas em segurança na indústria propuseram ao repórter do 21st Century Business Herald que um grande desafio da segurança de confiança zero no processo de desenvolvimento é como demonstrar sua segurança. Se pudermos melhorar a segurança da autenticação de identidade através de atributos de identidade multidimensionais, podemos efetivamente reduzir o risco de vulnerabilidade da autorização de acesso, de modo a melhorar a segurança geral da segurança de confiança zero.
O relatório também se refere à tecnologia de avaliação de confiança variável, e acredita que a avaliação de confiança em tempo real e análise das informações multidimensionais de atributos em tempo real fornecidas pelo agente de rede com base nessa tecnologia podem fornecer uma base de julgamento para autorização de acesso por meio de avaliação quantitativa contínua do nível de risco das atividades de rede.
Além disso, os negócios de computação em nuvem precisarão de tecnologia de confiança zero. O rápido desenvolvimento e popularização da computação em nuvem, incluindo aplicativos em nuvem, isomerização e mistura de infraestrutura, ecologia digital de negócios e diversificação de redes e dispositivos de acesso, promoveram mais empresas a estabelecer um novo sistema de segurança que possa se adaptar à era da nuvem, implantando arquitetura de confiança zero.
Atualmente, a normalização do escritório remoto e do escritório móvel sob o modo misto multi nuvem faz com que os invasores de rede comecem a segmentar funções de gerenciamento de identidade e acesso para alcançar latência de longo prazo, o que também faz com que o mecanismo de segurança de rede centrado na identidade atraia gradualmente a atenção.
Portanto, mais organizações adotarão o modelo de segurança de confiança zero no futuro. O relatório disse que a confiança zero está evoluindo do conceito inicial do protótipo para a arquitetura de tecnologia de segurança mainstream, do segmento diferencial inicial do plano de controle de rede para o cenário completo do controle de acesso e proteção de rede cobrindo o lado da nuvem. O aumento da confiança zero não pode ser visto simplesmente como a expansão de uma determinada tecnologia e produto, mas uma mudança na ideia de segurança inerente, que é seu ponto de valor central.
No entanto, o desenvolvimento de segurança de confiança zero não é simples navegação. O relatório apontou que, embora tenham havido exemplos da aplicação da confiança zero dos governos às empresas, muitas pessoas ainda são dissuadidas por vários buracos e dificuldades de layout no processo de implementação da confiança zero.
Em geral, a confiança zero tem algumas aplicações locais de acordo com diferentes cenários de demanda, mas não foi integrada como um todo, e a aplicação em alguns cenários também é muito difícil.
Ao mesmo tempo, no processo de aumento súbito da confiança zero, a indústria também apresenta as características de “peixe misto e dragões”. Baseado na recepção dos clientes a novos conceitos e novas tendências, um grande número de prestadores de serviços de segurança adotam os meios de “vinho velho engarrafado novo” para re-embalar e vender alguns produtos antigos com o conceito de confiança zero. Na verdade, eles não fornecem à indústria um valor de serviço incremental e inovação tecnológica do produto.
Portanto, o relatório acredita que, em 2022, a exploração do produto baseada na ideia de confiança zero prestará mais atenção a resultados práticos baseados nas necessidades dos clientes e obterá o mercado com o objetivo de resolver demandas práticas. Ao mesmo tempo, a indústria se oporá conjuntamente à generalização, abuso e conceituação da confiança zero.
