2020年2月24日-28日,網絡安全行業盛會RSA Conference在舊金山舉行。作為網絡安全行業風向標,每屆RSA不僅會吸引世界各國知名的互聯網企業參與其中,會議中各主題演講和參展機構所涉安全領域的安全熱詞也會成為熱議的焦點。本屆RSA統計出十大網絡安全熱詞,其中云安全位居首位。

在現如今企業數字化轉型的浪潮中,上云成了眾多企業的選擇,公有云、私有云或者混合云等多個領域,這其中既蘊含著企業轉型的新風口,也是各類安全廠商的必爭之地,云安全早已成為了多方的熱點話題。
不僅僅是云安全,零信任技術也以其獨特性,成為安全界討論的熱點。早在此前,RSAC組委會已表明,他們收到的2400份網絡安全行業演講嘉賓的議題申請,在經過整理和審核之后他們表示:“諸如零信任和無服務器,Kubernetes,量子,混沌工程,漏洞賞金和端點衰減(或復興)之類的關鍵詞比比皆是”。
在如今“企業邊界正在瓦解,基于邊界的安全防護體系正在失效”這一大背景下,零信任針對傳統邊界安全架構思想進行了重新評估和審視,并在當下云安全的架構中給出了新的應用和防護。聯軟科技作為業內研發和實踐零信任相關產品的領先企業,2月20號在線上展開了一場關于《零信任在云安全中的應用和發展》的分享,以下為精彩內容:
在本次的分享中,聯軟云安全產品規劃師首先介紹了零信任的理念的發展歷程,傳統的網絡安全架構基本都是基于防火墻構建的固定網絡安全邊界,企業的網絡安全也基本圍繞著固定網絡安全邊界來建設,但是隨著移動辦公和企業業務上云,傳統的網絡邊界變得很模糊了,甚至不再存在一個固定的物理邊界,云化、移動化、萬物互聯時代急需新的網絡安全體系來適應新技術的發展,而零信任理念是在新的信息化環境下產生的創新網絡安全理念。
零信任核心思想是企業不信任內外部的任何人 /事/物,除非明確了接入者的身份,否則就不能連接網絡,零信任的安全理念是建立在身份驗證、設備驗證、網絡隔離和訪問控制這些技術基礎之上的,是保護管理應用和數據的關鍵。零信任是對傳統訪問方式的進一步顛覆,傳統方式是訪問資源再驗證身份,而在零信任下的理念是先驗證身份,再授權訪問資源。

零信任的安全架構發展迅猛
在介紹了零信任的發展歷程后,聯軟云安全產品規劃師和廣大學員介紹了零信任在云安全中最主要的落地實踐技術——軟件定義與邊界,簡稱SDP系統。SDP的目標是通過軟件的方式,在移動化、云化和萬物互聯的時代,構建起一個虛擬的企業邊界,利用基于身份的訪問控制,來應對邊界模糊化帶來的問題,以此達到保護企業數據安全的目的。
SDP在架構上包含客戶端、控制器和網關三個部分,客戶端就是我們使用的手機和電腦等終端,控制器主要用于認證和授權客戶端的,然后配置客戶端到網關的連接,網關用來終結客戶端的流量和執行控制器的策略,SDP在實現上廣泛使用了加密、單包授權等技術,在架構設計上能夠抵御網絡的攻擊。

SDP技術架構
接著,聯軟云安全產品規劃師向廣大學員詳細介紹了業界有影響力的零信任理念實踐案例,其中包括谷歌的BeyondCorp項目、微軟Azure零信任網絡、思科可信訪問和聯軟打造的軟件定義邊界系統:

在分享過程中,講師指出SDP基于安全的設計理念,成熟安全技術架構,在替代VPN、多云訪問中的統一入口、統一身份認證等方面,有著不可比擬的優勢,同時在第三方接入訪問,促進IT系統集成等方面,SDP有廣闊的應用場景。

基于聯軟豐富的實施經驗,講師向廣大學員介紹了聯軟科技在零信任的實踐案例和經驗總結,其中特別指出實現零信任其實是比較困難,企業在實施零信任的過程中,需要企業重新思考如何保護每個應用程序、端點、基礎設施及用戶。實施的重點應該放在安全驗證用戶,確定用戶的角色和權限,查找異常設備和用戶。
分享案例:

而對于零信任的應用前景,聯軟科技很看好,無論是國內權威部門還是國際官方機構發布的相關報告,都充分說明了零信任安全行業的先進性以及市場的光明前景。面對內外部威脅和IT新環境下邊界瓦解的現狀,零信任安全所倡導的全新安全思路,已然成為企業數字化轉型過程中應對安全挑戰的主流架構之一,目前零信任在國內還處于發展的前期,要真正走向成熟還需要一段時期的打磨。前期,零信任的基礎技術都相對成熟 ,所以從技術上看差異不大,主要是涉及領域有區別,例如終端安全、大數據安全等。

現場問答回顧
(以下節選部分問答)
Q:SDP可以完全取代VPN嗎?
A:SDP在整個的架構模型、拓展性、安全性等方面是優于VPN的,可以替代的。
Q:SDP項目需要實施多久?
A:需要看實施的規模,人員多,設備多,策略就復雜,實踐時間也就越長。
Q:SDP和微隔離是什么關系?
A:都是對零信任理念的實踐,目前SDP用的較多,而微隔離在主機層面,防止傳統的南北向和東西向的攻擊。
Q:聯軟的SDP具備哪些優勢?支持哪些平臺?是否支持國產系統?
A:首先聯軟從2017年開始研發零信任的相關產品,這在業界是比較早的,其次聯軟對零信任的理解,網絡安全和終端安全有著豐富的經驗,比如在我們的終端管理系統了里有安全沙箱,保護用戶數據不落地,用戶數據和企業數據分開,在員工離職,即可在沙箱里將數據擦除。聯軟的SDP對Windows,lunix,Mac都支持,同時也支持國產系統。