Après 2021, le concept de « confiance zéro » a été choisi comme l’une des dix tendances de la sécurité industrielle de l’Internet en 2022. Cependant, contrairement à la « structure de confiance zéro entrant dans la période d’application et de promotion» proposée en 2021, le « Rapport sur les dix tendances de la sécurité d’Internet de l’industrie 2022» (ci – après dénommé « rapport») publié récemment indique que la production de confiance zéro sera plus efficace, anti – généralisation, abus et conceptualisation.
Selon le rapport, la confiance zéro, en tant que système et direction, a renversé le paradigme de la sécurité industrielle, brisé le concept traditionnel de limite de la sécurité des réseaux et guidé la transition de l’architecture de sécurité industrielle de la centralisation des réseaux à la centralisation de l’identité.
Jusqu’à présent, en plus de Google, Microsoft, Cisco et d’autres entreprises informatiques européennes et américaines, Tencent Security, Qi An Xin Technology Group Inc(688561) , Sangfor Technologies Inc(300454) , Wangsu Science & Technology Co.Ltd(300017)
Le dernier numéro de Forrester, New Tech: Zero Trust Network Access Q2 2021, montre que l’accès au réseau Zero Trust est devenu une technologie de sécurité emblématique et que de nombreux fournisseurs de sécurité ont lancé des solutions et des produits liés à zero Trust alors que les entreprises cherchent des solutions plus sûres. Par conséquent, la confiance zéro devrait devenir le prochain point d’éclatement de la sécurité industrielle.
La période d’éclosion arrive
« Zero Trust » est un concept de sécurité présenté en 2010 par John kindervag, analyste en chef chez Forrester. Son idée centrale est de ne faire confiance à personne, appareil et système à l’intérieur et à l’extérieur du réseau d’entreprise par défaut et de reconstruire la base de confiance du contrôle d’accès basé sur l’authentification et l’autorisation.
En termes simples, la politique de confiance zéro est « vérification continue, ne jamais faire confiance ». Le modèle traditionnel actuel d’authentification de l’accès n’a besoin que de connaître l’adresse IP ou l’information de l’hôte, mais dans le modèle de « confiance zéro », des informations plus claires sont nécessaires. Les demandes qui ne connaissent pas l’identité de l’utilisateur ou la voie d’autorisation sont rejetées.
Bien que le concept de confiance zéro existe depuis longtemps, il a vraiment commencé à être promu dans l’industrie à partir de 2017. À cette époque, le projet Google basé sur la sécurité de confiance zéro a été mis en œuvre avec succès, ce qui a prouvé la faisabilité de la sécurité de confiance zéro dans un grand scénario de réseau, puis une série de pratiques de confiance zéro ont commencé dans l’industrie.
En 2019, dans les lignes directrices sur la promotion du développement de l’industrie de la sécurité des réseaux (projet d’avis) publiées par le Ministère de l’industrie et des technologies de l’information, la sécurité de confiance zéro a été incluse pour la première fois dans les technologies clés de la sécurité des réseaux.
Au cours des deux dernières années, le télétravail est devenu la norme sociale et la sécurité sans confiance s’est développée rapidement. En fait, l’accès à distance à grande échelle, l’insécurité des terminaux et la faiblesse de l’environnement du réseau font que la surface d’attaque du réseau augmente rapidement. Comment assurer la sécurité du télétravail est devenu le principal problème de l’entreprise et le nouvel océan bleu des fournisseurs de sécurité, et la confiance zéro est la clé du nouvel océan bleu.
LV Shizhu, Vice – Président et chef de la sécurité de Wangsu Science & Technology Co.Ltd(300017)
Selon les marchés et les marchés, la taille du marché mondial de la sécurité de confiance zéro devrait passer de 19,6 milliards de dollars en 2020 à 51,6 milliards de dollars en 2026. IDC prévoit que d’ici 2024, les solutions d’accès à distance sécurisées représenteront 12,5% du marché mondial de la cybersécurité pour une valeur de 26 milliards de dollars, avec des produits et des solutions liés à la confiance zéro.
En ce qui concerne 2022, le rapport estime que la confiance zéro entraînera de nombreux changements importants dans l’industrie de la cybersécurité. Tout d’abord, un grand nombre de fabricants de sécurité introduiront intensivement des produits de sécurité de confiance zéro et réaliseront une certaine gamme d’applications d’atterrissage parmi les utilisateurs des entreprises publiques.
Deuxièmement, la technologie des agents d’attributs d’identité multidimensionnels doit être étudiée en profondeur. Par exemple, les attributs de l’entité d’identité qui synthétisent l’information de l’utilisateur, l’état de l’appareil, l’adresse du réseau, le contexte d’affaires, le temps d’accès, l’emplacement spatial et d’autres dimensions servent de base à la mise en oeuvre de l’autorisation, qui est générée temporairement au besoin Lors de la demande d’autorisation et qui expire périodiquement.
Auparavant, des experts en sécurité de l’industrie ont proposé aux journalistes du 21e siècle que la sécurité zéro – confiance dans le processus de développement soit confrontée à un défi majeur, c’est – à – dire comment démontrer sa sécurité. Si la sécurité de l’authentification d’identité peut être améliorée par des attributs d’identité multidimensionnels, le risque de vulnérabilité de l’autorisation d’accès peut être efficacement réduit, ce qui améliore la sécurité globale de la sécurité de confiance zéro.
Le rapport fait également référence à la technologie d’évaluation de la confiance variable, qui permet d’évaluer et d’analyser en temps réel l’information multidimensionnelle sur les attributs en temps réel fournie par les agents du réseau. L’évaluation quantitative continue du niveau de risque des activités du réseau peut fournir une base de jugement pour l’autorisation d’accès.
De plus, les entreprises d’informatique en nuage auront besoin de technologies de confiance zéro. Le développement rapide et la popularisation de l’informatique en nuage, y compris l’application en nuage, l’hétérogénéité et le mélange de l’infrastructure, l’écologie numérique des affaires et la diversité des réseaux et des appareils d’accès, ont incité un plus grand nombre d’entreprises à commencer à mettre en place de nouveaux systèmes de sécurité adaptés à l’ère du nuage en déployant une architecture de confiance zéro.
À l’heure actuelle, la normalisation du télétravail et du Bureau mobile en mode mixte Multi – Cloud fait que les attaquants du réseau commencent à cibler les fonctions de gestion de l’identité et de l’accès pour réaliser une latence à long terme, ce qui fait que le mécanisme de sécurité du réseau axé sur l’identité attire progressivement l’attention.
Par conséquent, de plus en plus d’organisations adopteront le modèle de sécurité de confiance zéro à l’avenir. Selon le rapport, la confiance zéro évolue du concept prototype initial à l’architecture principale de la technologie de sécurité, du segment différentiel initial du plan de contrôle du réseau à l’ensemble du scénario de contrôle de l’accès et de protection du réseau qui couvre le côté nuageux. La montée de la confiance zéro ne peut pas être considérée simplement comme l’expansion d’une technologie ou d’un produit, mais comme un changement dans la pensée inhérente à la sécurité, qui est son point de valeur clé.
Toutefois, le développement de la sécurité de confiance zéro n’a pas été facile. Le rapport souligne que, bien qu’il existe des exemples d’application de la confiance zéro dans les grandes entreprises, les gouvernements et les petites entreprises, la mise en œuvre de la confiance zéro dans les différents points de fosse et les difficultés d’aménagement, de nombreuses personnes sont encore découragées.
Dans l’ensemble, la confiance zéro a été appliquée localement en fonction de différents scénarios de demande, mais elle n’a pas encore été intégrée dans l’ensemble, de sorte qu’elle est très difficile à appliquer dans certains scénarios.
Dans le même temps, dans le processus d’augmentation soudaine de la chaleur de confiance zéro, l’industrie présente également la caractéristique de « mélange de poissons et de dragons ». Sur la base de l’accueil des clients pour les nouveaux concepts et les nouvelles tendances, un grand nombre de fournisseurs de services de sécurité adoptent la méthode de « nouvelle bouteille d’alcool ancien » pour emballer et vendre certains anciens produits avec le concept de confiance zéro. En fait, ils n’ont pas fourni de valeur ajoutée de service et d’innovation technologique de produit pour l’industrie.
Par conséquent, le rapport estime qu’en 2022, l’exploration axée sur les produits fondée sur l’idée de confiance zéro sera plus efficace en fonction des besoins des clients et permettra d’obtenir des marchés afin de répondre aux demandes réelles. Dans le même temps, l’industrie s’opposera à la généralisation, à l’abus et à la conceptualisation de la confiance zéro.