智能手機是否“安全”,實際取決於具體的定義。比如大多數允許“自帶設備”(BYOD)政策的公司,都會在員工手機上安裝應用程序或代理、並利用Android/iOS移動操作系統內置的管理功能,以增強移動設備的防護。然而Cloudflare覺得,這麼做還不夠全面,並於本周宣佈推出兩項主打“零信任”(ZeroTrust)的新服務。
(來自:Cloudflare Blog)
兩項服務分別叫做 Zero Trust SIM 和 Zero Trust for Mobile Operators,主要面向註重設備安全的企業、以及提供數據服務的運營商,旨在為目標智能機用戶提供增強的安全防護。
首先聊聊 Zero Trust SIM,其旨在保護離開智能機的所有數據包。
一旦開始在美推出,它將提供基於 eSIM 的全套解決方案,可通過現有的移動設備管理平臺、部署到 iOS 和 Android 設備上。
它可鎖定特定的設備,以降低 SIM 卡交換攻擊的風險。除可在獨立配置中使用,客戶也能夠搭配 Cloudflare 的 WARP 移動代理一起使用。
在最近的一次電子郵件采訪中,Cloudflare 首席技術官 John Graham-Cumming 指出:
零信任 SIM 方案,可以完成虛擬專用網和其它安全層無法做到的層級防護(cell-level protection)。
結合硬件密鑰,SIM 卡可作為另一種安全因素來使用,使得攻擊者幾乎不可能假冒其員工身份。
他解釋稱:零信任 SIM 提供深度防禦,而虛擬專用網隻是其中一個組件層級。
後者無法消除在當今所有移動設備上部署蜂窩連接的需要,且傳統 AnyConnect 式虛擬專用網無法阻止攻擊者在攻破企業內網後橫向傳播。
我們見到各組織在保護其應用程序與網絡時遇到的種種挑戰和破壞,從 IT 安全的角度來看,基於固定工作場所的防護方案、也正在向保護遠程與分佈式勞動力的預算轉型。
具體說來是,零信任 SIM 將使 Cloudflare 能夠重寫 DNS 請求,讓設備轉而使用 Cloudflare Gateway 進行 DNS 過濾。
該方案還支持在每個主機和 IP 地址抵達互聯網之前進行驗證,打通服務和其它設備的“基於身份的連接”、並作為身份驗證的附加因素。
盡管服務定價尚未公佈,但 Cloudflare 將於未來幾個月內推出 Zero Trust SIM 。從計費的角度來看,它將被視作該公司零信任平臺的一部分、且預計會兼容大多數設備。
(來自:Cloudflare Blog)
Graham-Cumming 補充道,其希望從美國本土開始、然後迅速將這項服務推向全球客戶。
雖然仍處於早期開發階段,但其已在車輛、支付終端、集裝箱、自動售貨機等工業物聯網領域做好規劃。作為一項基礎技術,Zero Trust SIM 還可用於解鎖諸多新用例。
接著 Cloudflare 預覽新物聯網平臺,旨在一組連接設備上提供單一的 pane-of-glass 視圖。
其對標 Microsoft Azure、Amazon Web Services 和 Google Cloud 的物聯網管理服務,旨在處理物聯網的訂購、配置、管理蜂窩連接和安全性。
離開每個 IoT 設備的數據包,都可在抵達互聯網、雲或其它設備之前,基於客戶創建的策略進行檢查、批準或拒絕。且設備可鎖定到特定的地理位置,以確保敏感流量不會流經公共渠道。
至於面向移動運營商的 Zero Trust for Mobile Operators 服務,Cloudflare 現階段分享的細節仍相當有限。
據悉,合作夥伴將能夠訂閱來自 Cloudflare 的零信任平臺移動安全工具,感興趣的運營商可於即日起註冊以獲取更多信息。
有人推測,新服務有望成為該公司一個利潤豐厚的新業務增長點,甚至超越 Cloudflare 三年前以免費增值模式推出的 WARP 。
參考 Allied Market Research 的數據:2020 年,全球移動安全市場總值 33 億美元,且有望到 2030 年達到 221 億美元。
此外一位消息人士稱,隨著供應鏈挑戰等不利因素的加強,企業物聯網支出在 2021 年增長 22.4%、達到 1580 億美元。