在2022中国国际大数据产业博览会中,会议强调了加强数据安全治理体系和能力建设对当今数据引领的经济发展的重要性。另外,根据联合国贸易发展组织(UNCTAD)统计,截至2022年2月21日,全球约80%的国家(共194个国家)已完成数据安全和隐私立法,或已提出法律草案。
在这一环境下,中国也不断在数据安全顶层建设方面提速加码。2021年,中国已初步搭建完成数据安全的法律架构:继《网络安全法》施行后,《数据安全法》、《个人信息保护法》又相继于2021年9月和11月落地实施。
尽管各国政府相继出台支持数据安全措施的框架,过去一年发生的各种网络入侵事件仍突显出企业需要加大在系统数据安全和隐私合规方面的投资。据Risk Based Security(RBS)机构的数据泄露报告显示,2021年度全球披露的数据泄露事件有4145起,共导致227.7亿条数据泄露。
IT环境的快速改变令这一问题变得更加复杂。随着云计算、大数据、移动互联网、物联网、5G及其应用,以及混合工作模式的转变,恶意攻击者借助这些变化不断进行网络攻击,网络安全风险与日俱增。在这种威胁无处不在的情况下,基于“永不信任,永远验证”原则的零信任架构成为新时代为企业机构网络安全保驾护航的重要手段。
新IT环境下,“零信任”已成为企业网络安全的必选项
Gartner报告显示,2022年,面向生态系统合作伙伴开放的80%新数字业务应用程序将通过零信任网络进行访问。到2023年,将有60%的企业从远程访问VPN 向零信任网络架构转变。新IT环境下,零信任模式将取代以边界为中心的安全架构。
零信任模式会对每个设备和个人进行高强度的身份验证和授权,无论设备或个人在网络边界之内还是之外,验证通过后才能在专用网络上进行任何访问或数据传输。该过程还会结合分析、筛查和记录来验证行为的正确性,以及持续监控入侵信号。如果用户或设备表现出不同以往的行为迹象,系统则会将其记录下来并视为疑似威胁进行监控。
这种模式的转变在过去十年间抵御了大量入侵,攻击者无法利用边界中的漏洞,进入防御层来滥用企业的敏感数据和应用程序。如今,零信任安全模式已得到扩展,基于零信任原则的架构形式众多,完整的零信任解决方案将整合不同防御型技术以应对安全挑战,提供更高级的威胁防护