7月25日,在中国通信标准化协会CCSA TC8 WG3第60次工作会议上,由腾讯牵头提案的“零信任安全技术-参考框架”行业标准正式通过权威专家组评审并成功立项。这是自2010年国际上提出零信任模型“ZeroTrust Model”后业界迎来的首个零信任安全技术行业标准。
随着企业资源向云端与移动端迁移,旧有网络边界逐渐消失,网络威胁日益复杂,“零信任”安全已由纯概念向主流安全框架发展。IDG的2018安全重点调查显示,71%的IT决策者关注零信任模型,10%的企业正在试用。面对日益增长的安全变革需求,市场上不断涌现零信任概念的安全产品,但对于用户急需的如何规范化的重构网络,如何真正实际有效推进零信任网络的落地,在实施全流程中必须达到的核心安全技术要求,却一直未形成统一的指导性行业标准。
作为本次项目的牵头方,腾讯联合国家互联网应急响应中心(CNCERT)等多家国家机构与零信任安全业界厂商共同申请的《零信任安全技术-参考框架》正是要解决零信任网络安全技术的标准化、规范化等问题,帮助各行业用户基于标准化的方式来评估其安全态势,重构网络与安全应用,专注提升业务运营中应对风险的能力,发现安全能力短板,在实施中查漏补缺,建立真正有效的网络安全架构,最终提升行业的整体安全水平与企业竞争力,真正地促进全行业网络安全技术革新。
腾讯从2016年在国内率先落地零信任安全架构,其摸索提炼的最佳实践准则已在生产环境中得到有效验证。而结合腾讯十多年终端安全管理实践与零信任理念推出的“腾讯终端无边界访问控制系统iOA(https://cloud.tencent.com/product/ioa),则凭借可信终端、可信身份、可信应用三大核心能力,将身份安全、终端安全与链路安全形成完整闭环,确保终端在任意网络环境中都可以安全、稳定、高效地访问企业资源及数据,为企业移动办公和应用上云打造统一、安全和高效的无边界网络访问入口,并结合腾讯游戏运营在混合云服务器访问管理的零信任实践,帮助用户构建全方位、一站式的零信任安全体系,实现安全管理升级。
应用场景包括:
终端安全管理:通过安全管控、合规准入、威胁感知、数据防泄漏等安全能力全方位保护企业终端。
远程办公免VPN:无需VPN,随时随地访问企业资源,大幅优化提升远程办公/开发/运维体验。
企业应用访问控制:根据用户职能与需求进行自动化、细粒度动态授权,确保公有云/私有云应用的安全访问。
混合云服务器访问管理:支持受信用户(包括企业内部及合作方用户)从任意位置安全访问任意混合云环境服务器,降低云时代服务器运营面临的内外部安全风险。
作为国内首家将零信任技术与无边界网络完整落地的标杆,腾讯将与合作伙伴一起加快推进零信任安全技术行业标准的制定工作,填补行业标准空白,把积累多年的网络安全管理经验通过标准化的方式向全行业输出,充分发挥标准化在提升安全产品质量和安全水平方面的作用,促进我国网络安全产业的自主创新和发展,为互联网产业化进程安全护航。