近日,在ITU-T(国际电信联盟通信标准化组织)SG17安全研究组全会上,由腾讯牵头的零信任国际安全标准继去年9月立项后成功通过第二版草案答辩,距离向国际安全界输出中国零信任安全技术创新成果更进了一步。
(ITU-T SG17安全研究组会议)
作为零信任安全理念的核心部分,腾讯联合国家互联网应急中心(CNCERT)、中国移动通信集团设计院等共同提出的《服务访问过程持续保护指南》,打破了传统基于网络区域位置的特权访问保护方式,重在持续识别企业用户中在网络访问过程中受到的安全威胁,保持访问行为的合理性,以不信任网络内外部任何人/设备/系统,基于持续的身份认证和访问授权为原则重构服务访问过程中的访问控制机制,实现对访问主体、访问链路、访问客体(服务)的整个访问过程的多维度持续安全保护。这对于助力构建新一代企业网络安全体系,加快零信任安全理念和相关技术的商用和普及具有重要意义。
腾讯持续防护理念的提出,是基于近几年在内部的零信任实践经验,该标准集成了腾讯内部的安全能力,一方面,以自研TAV杀毒引擎研发团队和腾讯安全联合实验室技术为支撑,通过病毒查杀、漏洞修复、安全加固、合规检测、数据保护等多方位的终端管控能力和安全基线统一检查的策略,实现对操作系统环境和硬件设备的双重可信保障;另一方面,支持联动威胁情报、身份管理、SOC等企业内部系统,为终端发起访问提供持续安全保护,即基于不同访问对象下发不同组合访问策略,并针对涉及人、设备、访问权限等的潜在安全风险,发起禁止阻断,实现终端动态访问控制效果最大化。
基于“服务访问过程持续保护指南”打造的腾讯零信任安全管理系统(iOA)已在腾讯内部经过了多年实战验证,旨在为用户打造统一、安全和高效的无边界网络访问入口,实现基于按需、动态的实时访问控制策略,以终端安全、身份安全、应用安全、链路安全等核心能力,对终端访问过程进行持续的权限控制和安全保护,实现终端在任意网络环境中安全、稳定、高效的访问企业资源及数据。在今年春节期间,腾讯iOA成功护航超过6万员工和10万台终端的远程办公场景。除此之外,腾讯iOA也得到了行业的广泛认可。前不久,腾讯iOA获得由中国网络安全产业联盟(CCIA)颁布的“最具投资价值奖”榜单第一及“创新产品优秀奖”榜单第二。
伴随着传统网络安全架构“边界”阻隔的消弭,由远程接口增多、设备流动性大带来的暴露面、攻击面扩大问题日趋严峻。“零信任”这一本质上以身份识别和持续动态控制为核心的新型技术与思路,成为数字经济发展新周期下企业寻求安全转型的重要技术选择。腾讯发起制定的“服务访问过程持续保护参考框架”国际标准无疑将为全球零信任安全技术的标准化建设提供有益参考,加速零信任安全技术在全球范围内普及应用的进程。