从早期的电子化、信息化建设,到如今的数字化、智能化转型,金融行业始终处于数字经济大潮的风口浪尖,对经济全局的演进和发展模式的跃迁起到至关重要的作用。
伴随云计算、人工智能、物联网、区块链等新兴技术的协同爆发,金融业的数字化转型也棋至中局——核心业务借助科技赋能获得成长动力的同时,也难免遭遇前所未有的挑战,各种问题与矛盾乱麻一般交织杂糅。
如果说金融业数字化转型在布局初期需要开阔的视野和前瞻的眼光,那么在情况趋于复杂的中局阶段,则应倚仗抽丝剥茧的耐心与放出“胜负手”的勇气。
安全就是关乎金融数字化整盘大棋最终走向的“棋眼”,每一步落子都不容有失。杀毒软件、防火墙等产品曾是构筑安全防线的“妙手”,后来逐渐演变为中规中矩的“本手”,再通过软硬结合的统一威胁管理避免落入“俗手”的窠臼。
但技术更新迭代的速度远超预期,金融业核心业务上云、应用场景创新的步伐亦日益加快,传统的边界安全思维已无法适应新的需求。
一方面,内外网之间的界限模糊不清,云端与本地的业务相互交融,既有的安全策略总是顾此失彼;另一方面,数字金融的应用服务开放、远程资产运维以及多类型终端办公接入等场景层出不穷,对身份和权限管理提出了更高要求。
零信任安全正是在这样的背景下应运而生。根据市场研究机构Markets and Markets的报告,全球零信任安全市场规模预计将从2019年的156亿美元增长到2024年的386亿美元,复合年增长率为19.9%。2024年,我国零信任安全市场规模将达16.7亿美元,有望成为安全领域最强劲的增长点。
对进入数字化中盘博弈的金融业而言,零信任安全会扮演“胜负手”的核心角色吗?究竟怎样的零信任安全策略才能达成最优的落地路径?从理念架构的完善到场景化案例的生成,到底需要经历哪些考验?
追本溯源、脚踏实地,也许是回应上述问题的最佳方式。零信任安全不是漂亮的空中楼阁,而是一条充满艰辛又注定不凡的通天大道。
零信任安全的缘起与路径
早在2010年,Forrester分析师JohnKindervag就首次提出关于零信任安全的三大观点:一是不再以清晰的边界来划分信任或不信任的设备;二是不再区别信任或不信任的网络;三是不再有信任或不信任的用户。
因敢于应对行业痛点,零信任安全甫一诞生即吸睛无数,但囿于时机尚不成熟,并未迅速落地生根。直到后来Google BeyondCorp项目成功验证了零信任安全在大型网络场景下的可行性,越来越多的ICT厂商躬身入局,包括金融业在内的诸多基于零信任安全的行业解决方案也逐渐增加,才吹响了整个业界全面实践的号角。
过往,企业构建安全体系时,首先寻找安全边界,把网络划分为外网、内网、隔离区等不同区域,然后在边界上部署防火墙、入侵检测等安全产品。这种安全架构以内网比外网更安全为假设,一旦攻击者潜入内网,或其身份被内网信任,那么安全边界就形同虚设。
与以网络为中心的防护理念不同,零信任建立以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证直达末端的动态安全架构。在边界日渐消失的背景下,零信任通过软件定义的方式,将传统边界收缩到更靠近具体的应用。
显而易见,零信任的突出优势在于其动态综合纵深安全防御能力,整个防护控制都基于身份,并对身份进行持续确认。在网络可能被攻陷或存在内部威胁的环境下,零信任把安全能力扩展到主体行为、客体资源,解决了传统边界无法应对的难题。
外部环境的急剧变化也为零信任迈向纵深创造了条件。云计算基础架构的异构化和混合化加速了边界消失的进程,云网边端不再泾渭分明,在业务实际运行中浑然一体;与此同时,大数据、物联网、5G等技术的迅猛发展,不断催生远程办公、业务协同、分支互联等应用场景,企业基于边界的传统安全架构不再可靠,零信任成为必然之选。
零信任重塑金融业安全体系
作为关系国计民生的重点行业,金融业对各类业务场景的安全管理有着更为严苛的要求,以金融科技创新解决数字化转型深水区的衍生问题更是迫在眉睫,零信任安全与金融业的结合可谓水到渠成。
工信部2019年发布《关于促进网络安全产业发展的指导意见》,将零信任安全列入需要“着力突破的网络安全关键技术”;金融标准化十四五发展规划进一步指出,鼓励探索零信任网络等新技术应用标准,释放了推进零信任安全在金融业快速发展的政策信号;金融业关键基础设施国产化重点任务实施计划更接地气,提出金融机构零信任工作空间的搭建应优先考虑国产化解决方案。
零信任安全可观的发展前景也吸引了众多参与者。目前国内市场中主要有三大零信任流派:一是以阿里、腾讯为代表的互联网与云平台大厂,二是深信服、奇安信等专业的安全解决方案提供商,三是华为、新华三等具有ICT背景的综合厂商。
三大流派各擅其长,很难简单作优劣对比。若以零信任安全在金融业落地的角度看,兼具自主品牌软硬件产品与终端服务优势的ICT综合厂商也许略胜一筹。
作为国内领先的金融云与金融ICT基础设施服务商,新华三集团深耕金融行业30年,服务90%以上的金融客户,承载1000+金融全场景应用。值得一提的是,新华三在交换机、路由器、服务器、无线、运维、虚拟化等金融行业ICT领域均处于领先地位。
面对金融业客户的新痛点,新华三集团致力于打造独具特色的金融零信任工作空间解决方案,从安全理念、安全战略、安全架构等维度,构建五大核心能力:
一是动态权限管控能力,根据管理策略,金融用户远程接入办公过程中的风险操作都会调整相应的访问权限;二是应用服务隐藏能力,保护金融用户资源安全,只有经过单包认证的用户才能看到应用资源;三是细粒度访问控制能力,最小化原则只为对应金融场景的人员进行对应的访问控制授权;四是统一管控门户能力,为金融客户提供整体用户登录入口以及应用资源登录界面;五是统一身份认证能力,对金融员工、测试、外包、客服人员以及客户等对象进行整体认证。
新华三集团在金融业的零信任策略符合市场需求的发展趋势。IDC咨询的研究成果显示,金融业的员工、设备、合作伙伴以及客户需要通过多种方式灵活接入企业业务系统,企业原有的网络边界逐渐泛化,零信任策略必须多管齐下方能发挥最大效用。
零信任场景化落地的征途
从理念到架构,零信任安全已赢得充分认可,但要完成实质性的跨越,还应在场景化落地方面更上层楼。
金融业的零信任场景纷繁复杂,不同场景对应的解决方案也存在较大差异,亟需领导型厂商建立可供借鉴的行业标杆。
基于对金融业客户需求的深刻理解,新华三推出金融零信任工作空间场景化解决方案,让金融客户可以使用任意终端在任意地点以任意网络以正确的权限接入访问对应的金融业务,全面释放金融业务生产力。
“零信任+”是新华三针对细分场景的应对之道:在金融行业安全办公场景,主打零信任+VDI;在金融行业开发测试场景,力推零信任+VDI+双网终端;在金融行业柜面业务场景,祭出零信任+VOI+云盘方案;金融行业运维场景,零信任+VDI+动态桌面大行其道;在金融行业客服坐席场景,零信任+VDI + VOI备受青睐。
综合来看,更便捷、更稳定、易运维、更友好、成本低、高安全是新华三金融零信任工作空间解决方案的亮点,这也是ICT厂商玩转零信任安全的根基所在。
以新华三面向数字金融应用服务开放场景的解决方案为例:首先是用户可信——借助终端Agent实现对用户的认证和绑定,确保用户的登录、操作是本人操作;其次是终端可信——基于终端Agent确保设备自身的安全可信,以检测保证终端发起资源请求的程序可信;再次是资源权限可信——依托零信任安全控制中心,打造持续动态校验机制,保障资源被拥有权限的用户正确获取;最后是链路可信——基于零信任网关的代理转发、控制、联动能力,并与控制中心联动,动态执行隔离、阻断、降级等操作。
从某种意义上讲,零信任安全既然是金融业数字化棋至中局的“胜负手”,就必须采用沙盘推演穷尽各种可能性,以应对新场景带来的风险,保障这盘棋最终获得完胜。
