智能手机是否“安全”,实际取决于具体的定义。比如大多数允许“自带设备”(BYOD)政策的公司,都会在员工手机上安装应用程序或代理、并利用 Android / iOS 移动操作系统内置的管理功能,以增强移动设备的防护。然而 Cloudflare 觉得,这么做还不够全面,并于本周宣布推出了两项主打“零信任”(Zero Trust)的新服务。
两项服务分别叫做 Zero Trust SIM 和 Zero Trust for Mobile Operators,主要面向注重设备安全的企业、以及提供数据服务的运营商,旨在为目标智能机用户提供增强的安全防护。
首先聊聊 Zero Trust SIM,其旨在保护离开智能机的所有数据包。
一旦开始在美推出,它将提供基于 eSIM 的全套解决方案,可通过现有的移动设备管理平台、部署到 iOS 和 Android 设备上。
它可锁定特定的设备,以降低 SIM 卡交换攻击的风险。除了可在独立配置中使用,客户也能够搭配 Cloudflare 的 WARP 移动代理一起使用。
在最近的一次电子邮件采访中,Cloudflare 首席技术官 John Graham-Cumming 指出:
零信任 SIM 方案,可以完成虚拟专用网和其它安全层无法做到的层级防护(cell-level protection)。
结合硬件密钥,SIM 卡可作为另一种安全因素来使用,使得攻击者几乎不可能假冒其员工身份。
他解释称:零信任 SIM 提供了深度防御,而虚拟专用网只是其中一个组件层级。
后者无法消除在当今所有移动设备上部署蜂窝连接的需要,且传统 AnyConnect 式虚拟专用网无法阻止攻击者在攻破企业内网后横向传播。
我们见到了各组织在保护其应用程序与网络时遇到的种种挑战和破坏,从 IT 安全的角度来看,基于固定工作场所的防护方案、也正在向保护远程与分布式劳动力的预算转型。
具体说来是,零信任 SIM 将使 Cloudflare 能够重写 DNS 请求,让设备转而使用 Cloudflare Gateway 进行 DNS 过滤。
该方案还支持在每个主机和 IP 地址抵达互联网之前进行验证,打通服务和其它设备的“基于身份的连接”、并作为身份验证的附加因素。
尽管服务定价尚未公布,但 Cloudflare 将于未来几个月内推出 Zero Trust SIM 。从计费的角度来看,它将被视作该公司零信任平台的一部分、且预计会兼容大多数设备。
Graham-Cumming 补充道,其希望从美国本土开始、然后迅速将这项服务推向全球客户。
虽然仍处于早期开发阶段,但其已在车辆、支付终端、集装箱、自动售货机等工业物联网领域做好了规划。作为一项基础技术,Zero Trust SIM 还可用于解锁诸多新用例。
接着 Cloudflare 预览了新物联网平台,旨在一组连接设备上提供单一的 pane-of-glass 视图。
其对标 Microsoft Azure、Amazon Web Services 和 Google Cloud 的物联网管理服务,旨在处理物联网的订购、配置、管理蜂窝连接和安全性。
离开每个 IoT 设备的数据包,都可在抵达互联网、云或其它设备之前,基于客户创建的策略进行检查、批准或拒绝。且设备可锁定到特定的地理位置,以确保敏感流量不会流经公共渠道。
至于面向移动运营商的 Zero Trust for Mobile Operators 服务,Cloudflare 现阶段分享的细节仍相当有限。
据悉,合作伙伴将能够订阅来自 Cloudflare 的零信任平台移动安全工具,感兴趣的运营商可于即日起注册以获取更多信息。
有人推测,新服务有望成为该公司一个利润丰厚的新业务增长点,甚至超越 Cloudflare 三年前以免费增值模式推出的 WARP 。
参考 Allied Market Research 的数据:2020 年,全球移动安全市场总值 33 亿美元,且有望到 2030 年达到 221 亿美元。
此外一位消息人士称,随着供应链挑战等不利因素的加强,企业物联网支出在 2021 年增长了 22.4%、达到了 1580 亿美元。