前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >来了!腾讯牵头的业内首部《零信任系统技术规范》正式发布

来了!腾讯牵头的业内首部《零信任系统技术规范》正式发布

原创
作者头像
腾讯安全
修改2021-07-12 14:36:47
1.1K0
修改2021-07-12 14:36:47
举报
文章被收录于专栏:腾讯安全

企业数字化转型,业务上云使传统基于边界防护的网络安全架构难以适应新环境。疫情时期,远程协同办公让企业切实体验了提高效率、开源节流的同时,也增加了内部数据资源的网络暴露面和工作传输环境的复杂性,更容易遭遇不法分子的高级持续性威胁,提升了企业网络安全的管理难度,零信任安全理念开始受到行业关注。

但由于方案设计、技术实现、测试评估、实际部署等阶段暂时缺乏统一和准确的指导,给零信任的落地发展造成了阻碍。行业亟需建立具有前瞻性并达成共识的技术标准。

2020年6月24日,腾讯联合零信任领域多家权威产学研用机构共同成立国内首个“零信任产业标准工作组”。经过近一年的讨论研究,2021年6月30日,由腾讯安全牵头起草,联合公安部第三研究所、国家计算机网络应急技术处理协调中心、中国移动设计院等业内16家零信任厂商、测评机构及用户编制的中国第一部《零信任系统技术规范》(下面简称《规范》)正式发布。

(《零信任系统技术规范》)
(《零信任系统技术规范》)

《规范》规定了零信任系统用户在“访问资源”和“服务之间调用”两种场景下,应有的功能及性能技术要求和相应的测试方法,包括逻辑架构、认证、访问授权管理、传输安全、安全审计、自身安全等方面。适用于零信任系统的设计、技术开发和测试,让“零信任”行业拥有了标准化技术规范,为所有安全厂商的服务、质量、发展提供了坚实的基础和方向指引。

《规范》不但填补了国内在零信任领域的技术标准空白,也在产业技术的发展升级、改善品质服务、降低部署成本等层面,提供了极具操作性的指导意义和参考标准。

(测试环境典型示意图)
(测试环境典型示意图)

一、零信任的应用场景

零信任在所有需要对资源访问进行安全防护的场景都可以使用,主要场景分为两类,一类是站在发起方,用户访问资源的场景,指的是用户访问内部资源时,如何验证用户是可信的, 如何确保访问来源终端可信,如何确认拥有访问资源权限。

另外一类是站在服务方,即服务资源之间如何安全的互相访问。但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定。

二、用户访问资源场景技术要求

用户访问资源场景下,主要包括四个逻辑组件:访问主体,零信任网关,零信任控制中心和访问客体。其中访问主体为资源访问发起方,零信任网关提供对来访请求的转发和拦截功能,零信任控制中心提供对来访请求的认证和持续访问控制功能,访问客体提供被访问的资源。

另外,系统还可以通过联动接口,与身份认证、安全分析、入侵检测方面的其他系统进行对接。

(用户访问资源场景逻辑架构图)
(用户访问资源场景逻辑架构图)

三、服务之间访问场景技术要求

服务之间访问场景下,主要包含两个逻辑组件:策略控制点和策略执行点。策略控制点负责鉴权和授权判断,并提供业务流的可视化能力;策略执行点用于执行访问控制决策,允许/拒绝通信或进行协商加密;有时也会将工作负载的相关信息同步给安全控制中心,从而辅助其进行决策。

策略执行点有两种形态:一是部署在工作负载上的服务端代理,另一种是运行在网络上的网关。

(服务之间访问场景逻辑架构图)
(服务之间访问场景逻辑架构图)

此外,《规范》还对“用户访问资源”和“服务之间访问”场景下,应有的功能、系统自身安全、性能、部署、容灾技术要求以及测试方法进行了具体解读。

(测试环境典型示意图)
(测试环境典型示意图)

《零信任系统技术规范》毫无疑问是国内零信任发展的一块里程碑,而达成这一重要阶段性成果,背后离不开腾讯安全对零信任安全理念标准化建设的积极推动。

  • 2019年7月,由腾讯牵头的“零信任安全技术参考框架”获CCSA行业标准立项;
  • 2019年9月,腾讯牵头的《服务访问过程持续安全指南》零信任ITU国际标准正式立项,实现了国内在零信任领域国际标准的突破;
  • 2020年6月,腾讯联合业界多家权威产学研用机构,在产业互联网发展联盟下成立国内首个零信任产业标准工作组;
  • 2020年8月,工作组在业界率先发布《零信任实战白皮书》;
  • 2020年10月,工作组发起零信任产品兼容性互认证计划,促进不同厂商间零信任相关产品的兼容性和互联互通;
  • 2020年11月,工作组推动“零信任系统技术规范”联盟标准研制工作。

作为国内最早践行零信任的企业,腾讯一直以来非常注重通过标准化的方式,推动零信任安全理念在国内落地。并在内部实践落地零信任网络架构、自研零信任iOA系统。

未来,腾讯安全将继续以自身技术和实践经验为基础,协同生态伙伴共同促进零信任产业规模化发展,为零信任在各行业领域的落地提供参考和支撑,助力网络安全的健康发展。

点击【零信任系统技术规范】,即可下载全文。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 一、零信任的应用场景
  • 二、用户访问资源场景技术要求
  • 三、服务之间访问场景技术要求
相关产品与服务
主机安全
主机安全(Cloud Workload Protection,CWP)基于腾讯安全积累的海量威胁数据,利用机器学习为用户提供资产管理、木马文件查杀、黑客入侵防御、漏洞风险预警及安全基线等安全防护服务,帮助企业构建服务器安全防护体系。现支持用户非腾讯云服务器统一进行安全防护,轻松共享腾讯云端安全情报,让私有数据中心拥有云上同等级别的安全体验。
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档