2021年に続き、「信頼ゼロ」というセキュリティ概念が2022年の産業インターネットセキュリティの10大トレンドの一つに選ばれた。ただ、2021年に提出された「ゼロ信頼アーキテクチャの実用化普及期」とは異なり、最近発表された「2022産業インターネットセキュリティ十大トレンド」(略称「報告」)は、ゼロ信頼製品化がより実効性を重視し、反汎化、乱化、概念化すると提案した。
報告書によると、ゼロ信頼はシステムと方向として、産業安全をモデル的に覆し、伝統的なサイバーセキュリティの境界概念を破り、産業安全アーキテクチャをネットワーク中心化からアイデンティティ中心化に転換させたという。
現在までに、グーグル、マイクロソフト、思科などの欧米のIT企業のほか、中国のテンセントの安全、 Qi An Xin Technology Group Inc(688561) Sangfor Technologies Inc(300454) 30017なども相次いでゼロ信頼の重ポンドをめぐってコードを追加した。
Forresterが最新発表した「New Tech:2021年第2四半期のゼロ信頼ネットワークアクセス」によると、企業がより安全なソリューションを求めているため、ゼロ信頼ネットワークアクセスはシンボル的なセキュリティ技術となっており、多くのセキュリティメーカーがゼロ信頼関連ソリューションと製品を発売している。そのため、信頼ゼロは産業安全の次の爆発点になる見込みだ。
爆発期到来
「信頼ゼロ」は、ForresterのチーフアナリストJohn Kindervagが2010年に提案したセキュリティ概念で、デフォルトでは企業のネットワーク内外の誰、設備、システムを信頼していないことを核心としており、アイデンティティ認証と権限に基づいてアクセス制御の信頼基盤を再構築する必要があります。
簡単に言えば、信頼をゼロにする戦略は「継続的に検証し、信頼しない」ことです。従来のアクセス検証モデルでは、IPアドレスやホスト情報などを知るだけでよいが、「信頼ゼロ」モデルでは、より明確な情報が必要であり、ユーザーの身分や授権経路を知らない要求は一律に拒否される。
ゼロ信頼の概念は古くからあるが、本当に業界で普及し始め、2017年から始まった。当時、Googleはゼロ信頼セキュリティのプロジェクトに基づいて成功し、ゼロ信頼セキュリティの大規模なネットワークシーンでの実行可能性を検証し、業界内で一連のゼロ信頼実践を開始した。
2019年、工信部が発表した「サイバーセキュリティ産業の発展促進に関する指導意見(意見募集稿)」では、ゼロ信頼セキュリティがサイバーセキュリティの突破が必要なキーテクノロジーに初めて組み込まれた。
この2年間、遠隔勤務が社会の常態になるにつれて、ゼロ信頼安全も急速に発展した。実際,大規模なリモートアクセス,端末装置の不安全性,ネットワーク環境の脆弱性により,ネットワーク攻撃面が急増している.どのようにリモートオフィスの安全を確保するかは企業の最も重要な難題となり、安全メーカーの新しい青海にもなり、信頼をゼロにすることは新しい青海への鍵である。
30017副総裁、首席安全官呂士表氏は21世紀の経済報道に対し、「ゼロ信頼は新しい安全理念として、ここ2年で市場に受け入れられ、顧客のゼロ信頼に対する需要は絶えず増加しており、ゼロ信頼市場は2023年に爆発すると予想されている」と述べた。
MarketsandMarketsのデータによると、世界のゼロ信頼安全市場規模は2020年の196億ドルから2026年の516億ドルに増加する見通しだ。IDCは2024年までに、セキュリティ・リモート・アクセス・ソリューションが260億ドルの価値で世界のサイバーセキュリティ市場の12.5%のシェアを占め、信頼性の低い製品とソリューションが重要な地位を占めると予測しています。
去虚向実
2022年を展望すると、報告書は信頼ゼロがサイバーセキュリティ業界に多くの著しい変化をもたらすと考えている。まず、多くのセキュリティメーカーがゼロ信頼セキュリティ製品を密集して発売し、政企業のユーザーの中で一定の範囲の応用を実現する。
次に,多次元アイデンティティ属性エージェント技術は深く研究する必要がある.例えば、ユーザ情報、デバイスステータス、ネットワークアドレス、ビジネスコンテキスト、アクセス時間、空間位置などの各次元のアイデンティティエンティティ属性を統合して、ライセンスの実施の根拠とし、ライセンスの申請時に必要に応じて一時的に発生し、定期的に失効する。
これまで、業界内の安全専門家が21世紀の経済報道記者に、ゼロ信頼安全が発展過程で直面した重大な挑戦は、その安全性をどのように論証するかであると提案してきた。多次元アイデンティティ属性を使用してアイデンティティ認証のセキュリティを強化できれば、アクセス権限の脆弱性リスクを効果的に低減し、信頼性のないセキュリティ全体のセキュリティを向上させることができます。
報告書はまた、可変信頼評価技術についても言及し、この技術に基づいてネットワークエージェントが提供する多次元リアルタイム属性情報をリアルタイム信頼評価と分析し、ネットワーク活動のリスク等級を持続的に量子化して評価することで、アクセス権限に判断根拠を提供することができると考えている。
これに加えて、クラウドコンピューティングビジネスには信頼性のないテクノロジーが必要になります。クラウドコンピューティングの急速な発展と普及応用は、応用クラウド化、インフラストラクチャの異性化と混合化、業務のデジタル生態化、アクセスネットワークと設備の多元化などの要素を含む。
現在、マルチクラウドハイブリッドモードでは、リモートオフィスとモバイルオフィスが常態化し、ネットワーク攻撃者がアイデンティティとアクセス管理機能を狙って長期的な潜伏を実現し始め、アイデンティティ中心のネットワークセキュリティメカニズムが徐々に重視されている。
そのため、将来的には、ゼロ信頼セキュリティモデルを採用する組織が増えます。報告書によると、ゼロ信頼は最初の原型概念から主流のセキュリティ技術アーキテクチャに進化しており、最初のネットワーク制御平面の微分セグメントからクラウドの端をカバーするアクセス制御とネットワーク保護の全シーンに進化しており、ゼロ信頼の勃興はある技術、製品の拡張と簡単に見ることができず、固有のセキュリティ構想の変化であり、これが核心価値点である。
しかし、信頼ゼロの安全の発展も順風満帆ではない。報告書は、政府から企業まで、ゼロ信頼を応用した例があるが、ゼロ信頼の実施過程の様々な穴と配置の難しさは、多くの人を退けていると指摘した。
全体的に見ると,ゼロ信頼は異なる需要シーンに応じて局所的にいくつかの応用があったが,全体的には全体化されておらず,一部のシーンでの応用も困難であった.
同時に、ゼロ信頼の熱が急増する過程で、業界も「魚龍混在」の特性を呈し、顧客の新しい概念、新しいトレンドに対する歓迎に基づき、多くの安全サービス業者が「新しい瓶に古い酒を入れる」手段を採用し、一部の古い製品をゼロ信頼の概念を冠して新しいパッケージで販売し、実際には業界に増量サービス価値と製品技術の革新を提供していない。
そのため、報告書は2022年、ゼロ信頼の考え方に基づく製品化の探求は、顧客の需要に基づいてより実効性を重視し、現実的な訴えを解決することを目標として市場を獲得すると考えている。同時に、業界がゼロ信頼の汎化、乱化、概念化に共同で反対することも共通認識になるだろう。
