8 月 27 日,由产业互联网发展联盟指导,零信任产业标准工作组、腾讯安全、腾讯标准、腾讯企业IT等机构联合主办的零信任协同发展研讨会暨接口白皮书发布&标准宣贯会线上召开。
产业互联网发展联盟常务秘书长陈喜胜、零信任产业标准工作组秘书长黄超、腾讯企业IT安全架构师蔡东赟等行业专家齐聚,就产业协同推动零信任标准建设、企业零信任方案架构实践等问题展开探讨。会上,零信任产业标准工作组首席标准专家刘海涛,对此前发布的国内首个零信任技术实现标准进行了深入解读。同时,会议还发布了《零信任接口应用白皮书(2021)》,旨在解决零信任系统的模块架构和模块之间互联互通的难题,促进产业协同发展。
产业互联网发展联盟常务秘书长陈喜胜在致辞中表示:“统一的产品和服务标准,是任何一个产业形成良好生态,并不断壮大的基础。零信任作为数字化时代下新兴的一个安全理念,正在逐步受到各行各业的关注,解决系统兼容性和互联互通性的问题,将推动零信任向着更加开放、更加协同、生态共建的趋势发展。”
促进产业协同 《零信任接口应用白皮书(2021)》发布
在零信任过去十几年的发展过程中,业界以技术的创新和发展为导向,已经推出了相对成熟的技术体系和解决方案。同时,在企业数字化转型以及疫情带来的远程安全办公需求的共同推动下,零信任安全需求暴增,产业协同是后续零信任产业壮大的重中之重。
为了建立统一的零信任产品和服务标准,推动零信任产业向着更加开放、更加协同、生态共建的趋势发展。零信任产业标准工作组成立一年来在腾讯等会员单位的支持下,做了许多努力,其中一项重要的成果就是在会上发布的《零信任接口应用白皮书(2021)》。
该白皮书为零信任安全需求方(客户)、厂商和所有从业者,提供了全面的零信任系统服务接口需求、层次划分、接口标准描述和接口应用场景的介绍,涵盖身份安全、威胁情报、配置管理、密码服务、访问控制、安全联动等 6 类最重要的接口,为解决零信任系统的模块架构和模块之间的互联互通难题,提供了重要的支持。
(零信任接口全景图)
“将应用过程中涉及的相应接口全部标准化,让整个行业使用同一套语言、同一套机制来对接,将是零信任产业标准工作组后续工作的重点。而随着技术接口的成熟度以及相应标准的完善,零信任产业将迈向更加开放和健全的生态协作模式,为用户构筑起更加牢固的安全防线。”零信任产业标准工作组秘书长黄超总结道。
统一行业标准 推动建立共同话语体系
任何一个产业,包括零信任在内都需要标准来实现落地,在零信任市场和产品都逐步打开的情况下,必须要从原有的概念、框架、架构设定中,把具体的零信任产品系统功能,以及满足这些功能需要哪些性能做出进一步的限定,从而实现技术路径以及交付方式的具体化、标准化,为后续零信任产业发展提供更好的助力。
也正是基于这个目的,腾讯安全牵头起草,联合公安部第三研究所、国家计算机网络应急技术处理协调中心、中国移动设计院等业内 16 家零信任厂商、测评机构及用户共同编制了中国第一部《零信任系统技术规范》团体标准。此前,该标准已由中国电子工业标准化协会正式发布。
零信任产业标准工作组首席标准专家刘海涛在解读该标准时表示:“团标详细规定了在‘用户访问资源’以及‘服务之间访问’两种典型的零信任应用场景下,零信任产品和解决方案应有的功能以及性能技术要求和相应的测试方案,这有利于在产品百花齐放的情况下,推动产业形成共识,从而促进行业更好的发展。”
专家共议:标准是未来产业繁荣的基础
推动标准建设,促进产业协作,共同把零信任蛋糕做大,已经形成了行业共识。会上e签宝首席安全官李程,腾讯企业IT安全架构师蔡东赟,持安科技有限公司创始人兼CEO何艺、北京蔷薇灵动科技有限公司产品总监熊瑛、天融信战略合作中心总经理刘斯宇、上海派拉软件研发总监茆正华,上海格尔零信任产品经理石善忠等行业专家就零信任落地挑战、标准化的意义、以及零信任服务商之间的协同协作等问题展开了沙龙分享。
关于零信任落地的挑战,面对客户自身复杂的网络环境,如何将零信任产品和已有的安全系统和设备对接;完整的零信任方案投入大且见效周期长;以及大家对零信任的理解不一,可参考标准有限,难以形成统一话语体系等是各嘉宾提出的行业共性问题。
腾讯企业IT安全架构师蔡东赟表示:“去适配每个客户千差万别的协议标签会非常麻烦。通过标准化以及生态协同的助力,推动接口联动,将大大提升服务商和客户之间的合作效率,避免走弯路,同时还能减少后来者进入行业的难度,促进产业持续繁荣。”
上海派拉软件研发总监茆正华表示:“零信任安全生态建设,不可能由一个公司或者某几个公司完全主导,要发挥整个行业的力量。零信任行业标准可以为各个厂商确定技术边界,服务商各自发挥自己擅长的技术并进行深入研究,促进整个生态的发展。”
最后针对未来产业协同的问题,与会嘉宾不约而同的表示,标准是协同的基础和前提。e签宝首席安全官李程表示:“做标准不代表服务商要放弃自己的特点,事实上特点和标准是相辅相成的,零信任服务的特点更应该体现产品特性而非接口上。而且统一的接口,将会让真正有特点和优势的产品发挥更大价值。”
上海格尔零信任产品经理石善忠则表示:“统一的行业标准正在成型,后续要持续完善和修订。行业各个厂商应该按照现有标准去实践,并反馈过程中遇到的问题,推动标准更实战化,更接地气。希望腾讯等头部安全厂商在这方面起到引领作用,推动行业持续完善标准,为客户提供更优的解决方案,这也有利于提升整个零信任产业的能力,促进行业健康发展。”
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/133006.html