从RSAC 2023看零信任安全发展趋势_全球信息

以零信任为核心的身份安全是近年来网络安全创新的热点方向，也是RSAC大会上讨论的热门话题。本文分析近年来零信任安全创新发展脉络，聚焦本届RSAC大会零信任安全与云原生安全、开发安全、数据隐私安全相结合的最新动态。

一.零信任具有持续的创新活力，并且与其他热门方向紧密关联

(资料图片仅供参考)

在创新沙盒板块上，零信任为云业务应用的发展为身份安全注入新的活力，逐渐往多云（multicloud）环境发展。零信任不断完善并用于构建弹性网络，并解决云上复杂应用的访问控制管理。

2018年，随着零信任框架和谷歌零信任应用的出现，零信任成为身份安全领域的新理念与创新热点；2019年，随着云应用的发展，云访问安全成为热点，从事IDaaS及防止身份滥用的创新企业入选创新沙盒TOP10；2020年，零信任热度有所减退，被供应链安全和云安全的热度所取代；2021年，疫情下远程办公的需要使得云访问安全再度成为热点，“弹性”也 成为本届RSAC大会主题，零信任被认为是建设“弹性” 网络的安全基础设施，再度回到创新沙盒TOP10的榜单；2022年，零信任机制得到更多实践，零信任模型的改进和创新应用成为热点；2023年，在人工智能与自动化大火的背景下，零信任依然保持了热度，创新企业提出新型零信任方案，通过统一的访问控制方式监控和管理所有第三方的应用连接。

零信任具有持续的创新活力，并且与云安全、开发安全、数据与隐私安全等其他热门方向紧密关联。这种特点也体现在RSAC2023的热点议题中。

二.云环境下的零信任安全部署

在题为“Zero Effort, Zero Trust, K8s Security for Blocking Zero Day Attacks”的报告中，来自SUSE的专家对云上（K8S）的零信任安全作出了新的解读。

在云上部署身份安全业务，与签名/威胁匹配相比，零信任具有显著的优势。签名/威胁匹配能够实现的功能包括：CVE、数据丢失防护、网络攻击检测、WAF OWASP、准入控制等，而零信任访问控制能够进一步细化网络安全策略，融入容器进程，实现注册表源准入控制以及基于角色的访问控制（RBAC）。

那么如何在Kubernetes 部署零信呢？报告展示了一个开源的零信任项目CNCF Open Zero Trust，它是NeuVector 的上游项目，能够实现零信任 Kubernetes 网络策略、零信任容器进程；实现基于行为的自动化零信任部署，包括识别应用程序行为（学习模式）、对任何异常应用程序行为发出警报、监控没有异常的应用程序行为。

将开放零信任或 NeuVector 部署到 Kubernetes 集群中，实现的功能包括：第 7 层集群内所有网络活动的安全策略、每个容器的所有进程行为的安全策略、报告任何活动的传入网络攻击、报告所有漏洞和安全配置错误；更进一步，它能够在任何 Kubernetes 集群中使用零信任保护任何工作负载，能够使用保护模式作为对抗实时攻击的对策或作为，保护未打补丁或无法打补丁的 CVE 攻击。

三.安全左移-开发安全中的零信任应用

在题为“Implement ZeroTrust with dedicated DevSecOps Pipeline”的报告中，来自Roche的专家提出了安全左移的零信任开发安全，在应用程序生命周期的早期应用安全控制，使得开发人员拥有更多的安全性。

在零信任成熟度模型 2.0中提出了安全应用程序开发和部署工作流程的新功能，机构使用不同且协调的团队进行开发、安全和操作，同时取消开发人员对生产环境的访问以进行代码部署。

零信任的实施分为两个阶段：在初级模式（信任但验证）中，Agency 为开发、测试和生产环境（包括自动化）提供基础设施，通过 CI/CD 管道和必要的正式代码部署机制，支持最小特权原则的访问控制。

在高级模式（零信任）中，安全自动化成为优先选项，机构使用不同且协调的团队进行开发、安全和操作，同时取消开发人员对生产环境的访问以进行代码部署。

四.零信任的数据与隐私安全

在“Zero Trust Privacy: Rethinking a Data Strategy”的报告中，专家提出应用零信任原则来履行隐私义务，以实现合适的人正确访问合适的资源，包括正确的时间 、正确的位置、使用正确的设备、为了正确的服务，以及正确的访问对象。

报告提出了零信任隐私支持监管义务的12条原则（合规对象包括GDPR以及加州消费者隐私法）：

1. 数据保护官-评估隐私和数据保护治理结构以及对数据保护官 (DPO) 的需求。

2. 处理的法律依据-评估收集和处理个人数据的法律依据。

3. 隐私声明和披露-评估外部隐私通知和披露以及内部政策和员工培训程序。

4.同意管理-在依赖个人同意处理个人数据时，评估同意做法。

5. 个人隐私权-评估处理个人权利的流程（例如，个人数据的访问、纠正、擦除和可移植性）。

6. 隐私影响分析-评估数据收集和使用实践以确定是否需要数据保护影响评估 (DPIA)。

7. 处理记录-评估处理活动和数据清单的记录以及维护此类记录的过程。

8.跨境数据传输-评估将个人数据传输到规定区域之外的合法机制。

9. 第三方管理-评估与之共享个人数据的第三方供应商的合同协议和控制验证程序。

10. 设计和默认隐私-评估数据最小化和保留实践；验证在新实施之前考虑了隐私保护措施。

11. 数据安全-评估用于帮助确保个人数据的机密性、可用性和完整性的数据安全控制。

12. 违规通知-评估事件响应程序和违规通知流程。

报告进一步提出了零信任隐私实施方案，包括：定义业务战略和成果、数据清单和映射、识别保护面、由内而外的设计、确定谁/什么需要访问、架构师网络和创建策略、检查并记录所有流量、监控维护。

企业部署零信任隐私方案仍存在一定的挑战，包括相互冲突的法律、组织认同、建立委员会、不安全的数据、安全态势的变化等；需要进一步了解监管环境，得到企业领导层的支持，组建跨职能团队，进一步掌握企业的数据以及文化等。

本文作者：

奇安信集团产业发展研究中心是奇安信集团的产业研究团队。专注网络安全领域，跟踪国内外产业发展现状与趋势，研究网络安全各细分领域，包括产品技术、市场、投融资和产业生态，为网络安全从业人员提供新视角，为企业决策提供依据，推动网络安全产业发展。

陈华平：奇安信集团副总裁，产业发展研究中心负责人。

乔思远：产业发展研究中心研究员，主要负责宏观分析和产品技术研究。

标签：