2022中國網安強星直播回顧 聊聊零信任大家最關心的那些事兒
聯軟科技
2022年11月26日
作為2022中國網安強星50強,近日,聯軟科技聯合創始人張建耀先生代表聯軟,受邀做客“解碼2022中國網安強星”直播間,多角度探討零信任熱點話題,帶來了一場精彩的“零信任安全”深度訪談。
?
?
?
圖:直播掠影
?
今天聯軟科技就來和大家一起回顧直播間的精彩瞬間,聊聊零信任大家最關心的那些事。
?
?
Q:零信任適用于哪些場景?
?
A:零信任適用于需要打破原有的辦公外網和互聯網混合的任意場景。比如從內網到外網,從外網到互聯網,從互聯網到內網,或者是多云之間的場景。所以,零信任并不局限于某些行業。比如在聯軟的零信任案例中,在政府、金融、制造業、醫療、運營商等行業都有大量的應用。
?
目前,零信任主要的應用場景包括四大類:遠程場景(遠程辦公、遠程運維、遠程開發等);全網零信任場景(解決外網到內網的直接訪問,同時在內網部署零信任接入來滿足從外網到內網的無縫安全切換);多云訪問場景(公有云、私有云、混合云);安全防御與合規場景。
?
Q:一個好的零信任方案應該具備哪些能力?
?
A:從NIST(美國國家標準與技術研究院)模型來看,主要應具備如下能力:
?
核心組件(可理解成零信任網關能力):策略引擎、策略管理器和策略執行;
?
端點安全能力:能適應端點的多樣性、復雜性;
?
數據安全能力:據統計,企業80%的數據會到終端上來處理。數據到了端點,數據安全保護至關重要;
?
身份與訪問管理能力:實現身份識別,精細化管控,與業務系統做對接;
?
安全分析能力:通過大數據平臺對數據和威脅情報進行分析研判,通過屬性來判斷當前終端能夠訪問的業務資源。
?
Q:目前國內客戶對零信任的接受度如何?政企機構在落地零信任時會有哪些擔憂?
?
A:零信任理念其實在2010年就已經提出來了,經過12年的發展,已經有大量成功的落地案例,從Gartner的成熟曲線來看,ZTNA正處于由過熱到跌入谷底的階段,而中國的情況一般會比美國滯后2~3年,所以目前國內對零信任整體還是屬于過熱的階段。
?
客戶對零信任已經從陌生到理解,再到逐漸接受的階段。
?
政企機構對落地零信任最主要的擔憂包括以下幾點:
?
打破邊界。零信任的架構中,講的是軟件定義邊界,也就是邊界模糊化了,這個跟傳統的網絡架構是相悖的,很多客戶還不敢把邊界撤離,因為物理安全目前看還是最好的防御手段。
?
終端多樣化帶來的落地困難。現在的終端類型較多,PC有windows、mac、linux、國產麒麟、統信等;移動有安卓、ios、鴻蒙等系統,所有的終端都需要做適配,這個很少有廠商能夠做好。
?
數據安全。在零信任架構中,所有的終端通過規則可以訪問不同的業務系統,那業務系統的數據就會在終端上進行處理、加工、流轉,如何保障這部分數據的安全,也成為客戶比較關注的問題。
?
Q:零信任的建設周期多長?
?
A:零信任在落地的過程中,如果只是簡單的去替換VPN的場景,聯軟最快實現兩天上線。
?
但是如果客戶涉及到比較復雜的訪問權限的控制,這就會涉及到IAM系統的對接,需要做定制開發,這種實施周期就會長點,一般為3~6個月。
?
Q:聯軟為什么會進入零信任領域?
?
A:我們從Gartner的定義來說起,網絡準入控制,英文是Network Access Control,簡稱NAC;零信任安全,英文是Zero Trust Network Access,簡稱ZTNA。
?
零信任只是網絡準入控制加了一個前綴而已,可以理解為零信任安全就是在新的網絡架構和云計算的環境下,新的一種準入控制技術。所以聯軟做零信任并不跟風,是很自然的切換到這個賽道上來,而且聯軟擁有巨大的先發優勢。
?
?
聯軟科技早在2004年就開始做網絡準入控制,NAC產品的動態訪問控制思想,和零信任的核心思想是一致的。如聯軟UniEMM企業移動安全支撐平臺的架構采用APN網關,強調服務隱身和應用層安全隧道;2019年聯軟推出SDP產品;2020年推出UEM的ZTNA零信任網絡訪問產品和方案。聯軟一直提供領先的數據防泄露、數字水印、多網文件安全傳輸等方案可以全面融合到新的零信任方案,為企業提供更強大的縱深防御體系。
?
Q:能否介紹一下聯軟零信任方案的構成?
?
A:All in one,一套平臺,解決所有的管控難題。
?
聯軟的方案非常的簡單高效,是業界唯一一個All in one零信任方案,后臺全部打通,連接在一起,通過單個客戶端來實現所有的能力,幫助客戶縮短建設周期和降低成本,提高客戶的管理效率。
?
聯軟把零信任安全整合到UEM(也就是統一終端管理)平臺中,在UEM平臺中,我們有SDP、EMM、準入、終端安全、DLP、EDR等子系統,而這些子系統組成All in one的方案,來應對各種不同的場景。
?
比如針對遠程辦公的場景,如果是PC設備,可采用SDP子系統,如果涉及到移動設備,可選用EMM子系統。如果客戶需要做全網的零信任,可將內網的準入和終端安全子系統也加進來。
?
并且,這幾種模式都可以靈活地部署和切換。比如聯軟一些已經合作的客戶,如果之前使用了聯軟的接入系統,就可以像插件一樣,把聯軟SDP產品再升級或者部署,就能具備管控外網能力。
?
?
Q:對于零信任的落地問題,擁有一定基礎的企業建立零信任,需要替換原來的系統或拋棄現有的設備嗎?
?
A:實現零信任的過程中,不少客戶已經擁有了準入、防火墻等安全措施和能力。在實施零信任的時候,除了會替換傳統安全設備VPN以外,其他的系統都是可以和原本的系統做無縫的銜接和聯動。
?
比如聯軟的UEM平臺,它涵蓋了一系列的子系統,包括SDP、EMM、準入、終端安全環境感知、DLP、EDR等等。聯軟的方案落地其實很簡單,根據客戶的需求,漸進式的來實施部署,因為這些模塊都可以通過插件式的方式做增量的部署。
?
例如已經實施了聯軟準入控制的客戶,可以很容易的通過升級,切換到全網的零信任方案中,實現在內網和互聯網通過一個Agent來訪問網絡資源。除了替換掉客戶原有的VPN設備外,整個零信任在實施中不需要拋棄其他的安全設備,而且還可以跟原有的準入控制等系統做聯動。
?
Q:政企機構在落地零信任方案時,有標準化的流程或者方法論可以遵守嗎?
?
A:對于零信任的原則、流程和方式,在云安全聯盟CSA相關培訓中有完整的闡述。事實上,經過多年的實踐和摸索,聯軟目前已經形成了一套完整的零信任項目落地的實施方案,對此,可以分享以下幾點經驗:
?
引入零信任安全的最佳時機:要與企業的數字化轉型同步。不要追求時髦。因為零信任安全的原動力是云化和移動化,如果企業的云化和移動化的還屬于早期階段,可以先把內網安全建設起來,而不急于部署零信任的方案。
?
建設零信任方案,要采用漸進式來實施部署。先做好總體規劃,然后一步一步遷移,否則可能因為改動太大而導致項目失敗。大家都清楚,Google 的BeyondCorp項目花了7年才建設完成,我們的建議是先從遠程辦公、遠程運維、遠程開發做起,然后再逐步進行全網的零信任改造。
?
零信任方案的難點以及關鍵點在于數據安全。在建設零信任的時候,要重點考察零信任產品及方案是否有數據安全的能力,數據一旦到了終端上,是否能夠做好保護,保障數據不外泄。
?
Q:實施零信任,會給政企機構帶來哪些價值?
?
A:聯軟一直以來奉行的合作原則是創造價值,成就伙伴,為客戶提供最優質的產品、服務和支持,讓所有合作伙伴與聯軟實現共贏。
?
在零信任領域,我們主要給政企機構帶來如下價值:
?
暴露面收斂。以前客戶的很多業務都暴露在公網上,每個業務都要對外提供服務端口,有些還甚至不止一個。有暴露就會有遭受攻擊的可能性,每次一旦發布0Day漏洞的時候,客戶就寢食難安,加班加單堵漏洞,無窮無盡。上了零信任后,很多業務端口都隱藏在零信任網關背后,如果啟用SPA功能的話,甚至唯一的對外端口也隱藏了,還防止了DDOS攻擊、外部暴力破解等攻擊。
?
取代VPN,安全性提升一個量級。每年護網客戶最頭疼的就是VPN,VPN的機制天然的就易受攻擊,賬號丟失也是有較大風險。
?
接入安全性大大提升。由于有終端的環境感知能力,通過ABAC的機制,對終端的安全性進行實時的檢測,實時的響應。
?
數據安全得到保障。所有的數據,通過沙箱保護起來,對這些數據的處理和外發進行監控,保障企業的業務數據不會通過終端傳播出去。
?
Q:目前國內有大量廠商都進入了零信任賽道,聯軟的競爭力和差異化優勢體現在哪些地方?
?
A:零信任現在處于過熱的階段,有很多廠商進入這個賽道是很正常的,這里面分為幾類廠商。第一類傳統做防火墻的邊界安全產品的廠商,公安部統計,當前有200多家防火墻廠商,這些廠商都有可能切換到SDP這個產品上來;第二類是傳統做終端安全的廠商,這類廠商因為有一定的技術壁壘,相對來講少一點,大概有十幾家;第三類就是傳統做4A和身份安全的廠商,他們重點推出的是IAM的產品;所以會發現,目前整個網絡安全圈子感覺上有一半在做零信任的業務。
?
分析下來,最終能夠存活下來的廠商應該是這三類廠商中幾個頭部的廠商。
?
而聯軟的競爭力毋庸置疑,目前我們已經是中國企業端點安全市場的領導者,我們在開放型市場,包括金融、制造、運營商、政府、醫療等行業有非常大的競爭優勢和客戶體量。而我們的核心優勢又在訪問控制、端點安全、數據安全等領域,都是零信任安全技術的重點和難點。
?
此外,聯軟在生態方面也是非常的開放和積極的,目前我們已經跟華為、安恒、阿里等十多家業界主流安全廠商建立了生態合作關系,輸出我們的零信任相關的能力,完全能滿足客戶需求。
?
Q:基于現有的網絡安全形勢,未來還有哪些新的安全技術趨勢值得關注?
?
A:個人隱私保護,會是未來一個值得關注的話題。對于企業客戶來說,如何保障設備的安全性和保護隱私,值得思考。而個人用戶,To C 的市場上,也在尋求更好的技術保障個人隱私。相信未來,很多廠商都躍躍欲試,這是一個發展潛力很大的方向。
?
19 年來,聯軟從全球較早的網絡準入控制廠商之一,成長為中國企業端點安全領域的領導者、國產自主可控的網絡安全新基建領軍廠商、并成為國內率先落地基于“零信任安全”產品的廠商之一。
?
目前,聯軟科技已經在中國銀行、光大銀行、交通銀行等頭部客戶成功交付眾多零信任項目;多位專家獲得Forrester零信任認證(Forrester ZERO TRUST Certification)、CSA零信任專家認證CZTP,擁有多位CSA種子級別零信任講師,成長為大中華區零信任理念實踐的領航者身份。從網絡準入控制的領軍者,到零信任安全的領航者,未來,聯軟將加強在零信任領域的不斷創新和發展,幫助企業加強網絡安全保障,重塑安全邊界。
?