在网络安全领域,技术竞技的比拼也被称为“夺旗”(Capture The Flag),代表着硬实力的较量。那么,在技术标准上率先填补空白,夺得话语权的制高点,无疑是软实力的体现。
2019年8月,当腾讯标准副总监黄超和腾讯企业IT部安全专家蔡东赟,踏上瑞士日内瓦的土地,他们将要参加的ITU-T SG17安全工作组标准化全会,就如同一场零信任领域的标准“夺旗赛”。
(征战ITU-T的腾讯代表团)
与他们同行的,还有来自国家互联网应急中心(CNCERT)、中国移动通信集团设计院等机构的零信任专家。中国代表团希望夺得的“零信任标准”之旗,插在了一座令人仰止的高山上,它的名字叫——ITU(国际电信联盟)。ITU是联合国的一个重要专门机构负责分配和管理全球无线电频谱与卫星轨道资源,制定全球电信技术标准,促进全球电信发展。诸如4G、5G这样重要的通信技术标准,都是经由ITU来最终敲定的。
ITU-T作为ITU的技术标准化部门,在信息通信行业的影响力,就如同ISO在工商业的影响力一样。也因此,ITU-T成员单位大多以国家为主体。
而面对这样的高山,这组由腾讯牵头的中国零信任标准“登山队”,多少有些突兀了。
一方面,ITU-T成员单位大多以国家为主体,由互联网企业主导的ITU-T标准很少;另一方面,IT领域的新兴技术的标准制定以往多是由欧美等发达国家主导,其他国家代表团参会目的多以学习、吸收为主,这次中国要打破零信任标准的空白,能顺利吗?
不卖关子,结果自然是成功的。
(ITU-T发布的零信任标准《Guidelines for continuous protection of the service access process》)
2019年,黄超他们所在的中国代表团提报的议题《Guidelines for continuous protection of the service access process》(《服务访问过程持续保护指南》),顺利立项。三年之后的2021年底,ITU-T正式对外发布,成为全球范围内首个零信任领域的国际技术标准。
2019-2021,也是被疫情影响的三年,期间,中国零信任标准化之路始终步履不停。这些攀登者,为什么对一个标准如此执着?登顶之后,究竟能看到何种风景?
我们不妨一起回到2019,看看中国代表团是如何攀登零信任的高山,率先夺下技术标准的这面旗帜。
动念:中国攀登者为什么出发?
登山家乔治·马洛里,完成了人类第一次登上海拔8848.43米珠穆朗玛峰的壮举。记者追问他“为什么想要攀登珠峰”,他扔下了一句话——“因为山就在那里!”
2019年,黄超、蔡东赟及一批中国网络安全领域的专家,都意识到零信任技术标准,就是一座矗立在整个产业面前的山峰。
当时,疫情尚未发生,大家的生活看起来一切如常,但一场网络安全的理念变革,已经开始酝酿。
“零信任”,顾名思义,就是默认不信任网络内外的任何人、任何设备和系统,每一次访问都需要身份认证和授权来重新建立信任。因为能够以数据保护(Data)为中心,更好地适应混合办公、工业互联网等“无边界”的新网络场景,确保身份可信、设备可信、应用可信和链路可信,零信任成为新一代的网络安全防护理念。
黄超回忆当时中国代表团的出发,再次肯定,2019年是零信任从概念走向落地的一年,也是推出技术标准一个比较好的时间节点。
各行各业的数字化程度不断深化,远程办公、工业互联网等“无边界”的网络环境越来越多,对于网络安全的升级诉求变得迫切,零安全“持续验证、永不信任”的理念开始被重视。2019年工信部起草的《关于促进网络安全产业发展的指导意见(征求意见稿)》,首次将零信任安全列入网络安全需要突破的关键技术。
与此同时,零信任的落地实践和标准情况却并不适配。
2019年,围绕零信任已经出现了许多创业公司、解决方案、商业用例。谷歌、微软、腾讯开始在自身业务及安全产品中增加零信任解决方案,也诞生了Zscaler、Okta等这样的独角兽公司。但纵观整个行业,只有2014年发布的SDP(软件定义边界)标准可以算作零信任理念的雏形,关于零信任的基础标准还处于空白状态,国际上还没有任何一个比较知名的标准化组织发布零信任相关的技术标准。
而对于中国网络安全产业来说,标准空白既是挑战,也是机会。
挑战在于,零信任的应用点有很多,由于标准缺失,业内厂商的探索方向不尽相同,缺乏共通的话语体系,给零信任的推广带来了很大的阻力。
机会在于,一旦在ITU-T这样的国际最高标准组织上成功布局,发布代表中国零信任实践的技术标准,不仅能够彰显中国零信任的技术实力,也能激励更多产业角色参与到零信任的发展中来。
更重要的是,当时中国产业界中像腾讯这样的企业已经在自身业务中规模化落地零信任,有了实践和理论的支撑,完全有能力也有责任,将这些探索抽象成为一种技术标准,到国际舞台上一展身手。
于是,2019年初,黄超等人就开始筹备标准研究工作,到了8月份,恰好是ITU-T SG17召开全会的时间,全会一般半年才召开一次,只有全会才能发起标准立项,所以黄超等人一看关键时间窗口期已到,越等就越缺乏主动权,于是由腾讯牵头,派出五个技术专家,联合国家互联网应急中心(CNCERT)、中国移动通信集团设计院等机构,共同组成了一个代表团,远赴瑞士日内瓦ITU总部,提出要制定一个零信任的技术标准,尝试攀爬那座尚未被人征服的高山。
立项:获得“进山”许可证
攀登世界级高峰,一般都需要获得当地登山协会的许可,才有资格踏上进山的旅程。在技术标准领域,立项就相当于那张“许可证”,决定了这支队伍能不能做这件事。
这里有必要简单说说,ITU-T SG17确定技术标准的大致流程:一般来说,标准立项和发布被称为“一进一出”,需要经过全会评议,流程最为严格。一个新标准的立项,必须在全会上获得全体成员的投票,才能顺利通过,因此也是最为关键的节点。立项之后,到标准发布之前,中间的过程会按照不同的技术方向,与一些工作组、专家再不断进行小范围的研讨。
“Any comments?”最后一次全会上,在黄超和蔡东赟回忆起来无比漫长的43秒钟的沉默后,来自40多个国家200多名专家,没有人再提出新的异议,立项终于成功。
中国代表团为了成功立项,进行了三重闯关:
第一关,技术关。
说到底,能否顺利立项,还是要回归到最纯粹的技术能力上。要主导一个国际标准的建立,首要也是最重要的,是证明标准提案在技术上的前瞻性、预判性,确实能够为全球发展零信任带来有益的价值。
与大多数零信任厂商过于聚焦动态访问控制这一场景不同,当时腾讯探索零信任已经有三年之久,在标准方面,腾讯本身有一个成熟的几十人规模的技术标准团队,专门探索如何将产业实践变成一个通用的商业解决方案,在这个过程中,也对零信任的应用与发展有了整体的思考和预判。
2019年向ITU-T提报的立项议题《Guidelines for continuous protection of the service access process》(《服务访问过程持续保护指南》),相较于传统“持续验证,永不信任”技术理念下对身份认证、资源访问的控制,将聚焦的范围延展到了“事前、事中、事后”全过程全要素的安全保护。提出了零信任安全技术参考框架的核心组成部分,重在持续识别企业用户中在网络访问过程中受到的安全威胁,提供相应访问过程中的持续保护措施,持续监测关键对象的安全风险并作动态的访问控制,并对关键访问过程对象进行安全防护。
凭借整体框架的定义、零安全理念的演进路线、完整闭环的安全理念等等重要成果,使得该标准在全球范围内都具备一定的前瞻性、预判性,最终获得了与会专家的认可。
第二关,防御关。
当然,技术标准的世界里不只有技术,还充斥着各种产业力量对于标准话语权的争夺与博弈。尤其是IT领域的技术标准一直是由欧美主导,他们既是攀登者,欧美相关企业和机构在自己的国家积极推动零信任技术标准;也是守门员,在标准组织中影响力大,有能力影响国际标准是否能够立项,以防御其他国家与自己争夺领先身位。
据黄超回忆,2019年的ITU-T SG17安全工作组标准化全会上,当时代表团就受到了来自欧美一些代表的挑战。
针对零信任这个比较新的技术,他们利用在国际事务上的经验优势,例如指出做技术标准的紧迫性不高,“建议”中国代表团延缓这个技术标准的立项,可以先去做个白皮书、技术报告之类的东西……通过各种方式,试图干预标准立项。
面对这些挑战,中国代表团中一些比较有经验的国内专家,给黄超他们提供了不少指点,建议他们去跟欧美的一些技术专家沟通,从技术的角度去说服对方,证明这个标准的紧迫程度、对全球产业发展的意义等,争取对方的支持,最终一步步解除了来自传统IT强队欧美的防御。
第三关,朋友关。
除此上述博弈,标准立项其实也是一件“得道多助、失道寡助”的事情,ITU是一个联合国组织,唯有参与国际合作、国际共赢,将朋友搞得多多的,才能在全会上收获全体专家的支持。
在零信任领域,日韩等发达国家,以及亚非拉等地的发展中国家,都成为了中国代表团争取的“友情票”。这种友情,本质上是建立在技术交流的基础上。
以日韩为例,他们对于较为领先、前沿的技术趋势比较关心,与这些国家的技术专家进行交流,带来了关键的突破口。而数字化相对滞后的亚非拉国家来说,中国的前沿探索和实践也能够带来一定的参考价值,听会学习之后可以带回本国进行布道和推广。因此,中国代表团在参会时,从技术普惠的角度,分享了中国产业零信任的使用场景、实践方案等,收获了不少亚非拉国家的支持。
值得一提的是,在立项答辩现场气氛最焦灼的时候,一些原本和腾讯在国内是竞争关系的中国企业,也都站出来表示支持腾讯提出的标准方案。在国际舞台上,中国企业表现出守望相助的“大格局”,也是十分可贵。
(ITU-T SG17 全体会议各国成员大合照)
最终,经过2个多星期的艰难博弈和艰苦谈判,2019年8月,在中国代表团、智囊团的努力下,所申报的“服务访问过程持续保护指南”国际标准终于成功立项,拿到了制定国际标准最关键、也最艰难的那张“进山许可”。
攀爬:标准化探索之路
立项只是开始,摆在中国零信任代表团面前的,是一条更为漫长和艰苦的攀登之路。一般来说,个标准从立项到发布需要2、3年甚至更长时间,期间需要经历数次全会,而每一次全会,都需要经历小组会、小组联合会、全会的层层讨论、答辩。
这次由腾讯牵头的标准,一共用时两年多,除了2019年8月在瑞士日内瓦立项时的第一次全会,后续四次全会都是在疫情防控期间完成的。
需要注意的是,在中国队努力攀爬的过程中,其他国家的队伍同样也在加速朝着峰顶前进。中国标准立项的第二年,美国国家标准研究所(NIST)就发布了零信任架构的美国标准,此后陆陆续续也有一些产业组织提出了零信任相关技术标准。
面对这种局面,由腾讯牵头的这支“登山队”,用不到三年的时间完成了这次攀登。如果说有什么秘诀,可能是将每一次步伐,都深深地扎根在土壤之中——
·扎根于实践的土壤。
零信任落地需要因地制宜、与时俱进,随着疫情爆发,远程办公、在线教育等需求猛增,“零信任”成为安全问题的破局关键,很多客户开始向腾讯云咨询相关解决方案,当时,腾讯iOA已形成了一套完整的零信任安全解决方案,疫情防控期间满足了腾讯十万台终端的远程办公需求。随即开放给产业客户,先后协助金融、医疗、政务、教育等多个领域客户实现了远程办公安全防护。
·扎根于产业的土壤。
技术标准要落地应用,需要面向产业,将各种安全理念、能力,下沉到具体的产品或者解决方案里。因此,标准立项之后,由腾讯牵头倡议,联合CNCERT(互联网应急响应中心)等机构,成立了国内零信任产业联盟,目前已经吸引了接近60家的产学研机构,共同去孵化和推进一些更加细致的技术标准。
黄超见证了这个产业联盟的诞生,在他看来,加入联盟的机构初心很纯粹,“大家希望把最好的东西拿出来,通过联盟放到行业里面去用,互相借鉴、共同成长”。
·扎根于生态的土壤。
在产业联盟的基础上,零信任生态不断汇聚。腾讯安全联合20多家机构,成立了国内首个“零信任产业标准工作组”。据黄超分享,在标准工作组中,他已经跳开了腾讯员工的身份,而是站在组织者、平台方的中立角色,做了大量的工作。2020年,这个工作组发布了国内首个基于产业攻防实战的《零信任实战白皮书》,2021年推出了一个接口类的技术标准,希望解决国内不同安全厂商零信任产品的兼容对接问题,通过这些细化的标准去拉齐协议、接口、数据格式、规范等等。
蔡东赟提到,中国现在关于零信任的接口标准发展非常快,美国目前有一些安全厂商也在推进联调的工作,只不过中国更快一点。
正是因为有了清晰的框架和路径,更多产业角色能够力出一孔,持续壮大零信任生态。
“日拱一卒无有尽,功不唐捐终入海”,登山是一场需要耐心、细心、信心的长期运动。黄超回忆,提交给ITU-T小组会、全会的提案文稿,都有十几版。
在不断迭代、精心打磨之下,中国零信任产业标准工作组也终于在2021年,迎来了标准发布“结项”的冲顶时刻。
冲顶:标准发布的冲刺时刻
一系列准备工作就绪后,能否顺利站上最高标准的顶峰,成为国际技术标准的制定者和引领者,全靠标准发布的“临门一脚”。
与标准立项一样,标准的结项与发布,也要经过ITU-T全部专家代表的同意,这个过程同样有着不确定性。
“结项的时候,有些专家又会出来,看你这个东西是不是会限制一些技术路线,保证最终的标准不会限制他们国内一些新技术的发展。”黄超提到,“所以我们整体策略是宜粗不宜细,偏向于理论、框架类的内容,输出我们的最佳实践,来实现技术的影响力,而不是去约束一些特别细节的技术点,这样大家都能够发展,而中国也可以在零信任安全标准率先卡位。”
2021年12月,经过数次答辩,由腾讯牵头的《服务访问过程持续保护指南》由ITU-T批准发布。
其中,集合了中国产业界在零信任领域的实践,详细界定了标准的实施范围,零信任相关概念的定义,同时深度分析了服务访问进程中的安全威胁,并对服务访问流程的安全要求、参考框架进行了详细解释,此外还根据典型的零信任应用场景进行多维度解析,获得了业界的普遍认可。
全球范围内首个零信任领域的国际标准,是腾讯及工作组的一大步,也是中国零信任的创新实践和技术范式迈向世界舞台的重要一步。
远眺:远处风景与新征程
“那接下来呢?”我忍不住问道,“标准拿到之后,是不是中国企业在国际竞合中主动权就更大了?”
听众的脑洞刚刚打开,就被黄超叫停。
“不不不,不是做了一个标准就能这样那样啦。”全程参与的黄超在标准发布之后,反而特别低调,急忙表示自己和工作组“只是做了一点微小的贡献”,习惯了通稿牛皮满天飞,专家的谦逊反而给我整不会了。这也使我开始好奇,这个标准的含金量究竟怎么样?发布之后能够带来的变化到底是什么?
变化之一,是发声。整体上看,新的通信技术标准还是欧美最强,当然国内的一些互联网企业的推进也比较领先,因此由更多国内企业去推动技术标准,在一些技术方向上发出中国的声音,已经弥足珍贵。或许一个单独的标准不会产生特别大的影响,但积少成多,在标准赛道上做得越多,中国科技的影响力就越高。所以,每一次发声都值得掌声。
变化之二,是合作。前面提到,国际标准的建立、产业联盟的形成,使得很多原本是竞争关系的厂商开始形成共识、建立合作。这对于一个新兴产业来说,是十分重要的变化,能够避免一些同质化的竞争和无效内卷,力出一孔的同时,在各自擅长的方向上发展,尽快形成既广又深的市场格局,对于客户和从业者来说都是一件好事。
变化之三,是希望。尽管黄超谦虚地强调,一个标准不可能翻天覆地,但同时也承认,零信任是一个充满了希望的技术赛道。蔡东赟告诉我,零信任就是中国网安行业的一个机会,目前国内外并没有太大的技术差距,甚至中国的落地实践、产品化能力更加优秀一点。在这个领域加强互联互通、做大生态,合力将市场做大,未来一定能够让零信任理念落地、创造更多价值。而这一次中国也可以是引领者。
从这个角度看,这次标准的成功发布,与其说是卡位、布局、话语权,不如说是一面旗帜,让更多人可以看到中国零信任的实践与创新能力;是一声召唤,让充斥着歧义和误区的产业界加速聚拢在一起;是一个营地,为百花齐放的零信任创新提供一个舞台。
采访结束之后,我问黄超还有未尽之意,他想了想,特别认真地发出了一个请求:
“希望业界的同仁,尤其是做零信任安全的一些机构,能够更同心协力,更积极主动地参与到技术标准中来,多去关注和使用它。如果有问题,大家还可以去调整它。我就想表达这一点。”
山不属于任何人,就像技术标准不为某一个国家、某一个企业所有,它是全世界所共享的财富。或许没有人,比黄超他们更懂得这座高峰的险峻,以及登山的艰辛。也正因为一步步丈量过从中国到ITU的距离,他们才如此渴望有更多人来感受中国标准的美好,以无比开放的姿态拥抱着每一个零信任的伙伴,一起踏上新的征程。
在中国网安行业的漫漫征途中,与世界标准舞台的邂逅,只是恢弘故事的开启。
