科技云報道原創(chuàng)。
由中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟(CCIA)、科技云報道共同主辦的“解碼2022中國網(wǎng)安強星”活動正式拉開帷幕。本次活動以“網(wǎng)安力量 照見未來”為主題,邀請榮獲“2022年中國網(wǎng)安產(chǎn)業(yè)競爭力50強、成長之星、潛力之星”的企業(yè)高層做客直播間,從行業(yè)、技術、市場等多角度探討網(wǎng)安相關話題,探究企業(yè)背后的創(chuàng)新力量和安全實力。
伴隨新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展,各行各業(yè)將新型數(shù)字技術與實體經(jīng)濟集成融合,加速業(yè)務優(yōu)化升級和創(chuàng)新。
然而,隨著企業(yè)加大數(shù)字化的投入,應用越來越復雜、接入越來越多元、邊界越來越模糊、安全暴露面不斷增加,傳統(tǒng)的邊界安全架構已經(jīng)不堪重負,企業(yè)迫切需要新一代的安全架構以應對數(shù)字化時代的多元復雜挑戰(zhàn)。
零信任架構作為一種網(wǎng)絡安全防御架構,使更細粒度和更高效的安全訪問控制成為可能,成為企業(yè)保障業(yè)務連續(xù)性和應對不確定性的關鍵。
8月11日,聯(lián)軟科技聯(lián)合創(chuàng)始人張建耀做客“解碼2022中國網(wǎng)安強星”直播間,與大家分享如何為企業(yè)構建零信任安全邊界。
從網(wǎng)絡準入控制先驅,到零信任安全領跑者
網(wǎng)絡安全市場正走向一個全新的大時代,這是整個國家、社會、企業(yè)在發(fā)展過程中必然經(jīng)歷的過程。
基于此,早在十多年前,聯(lián)軟科技就已洞察到了這一變化趨勢,并率先提出了“構建可控的互聯(lián)世界”的愿景。
憑借18年的積累,聯(lián)軟科技在客戶的真實場景中不僅總結出豐富的實踐經(jīng)驗,還打磨出有深度、有生命力的系列化產(chǎn)品,比如:網(wǎng)絡接入設備快速自動發(fā)現(xiàn)與定位技術、旁路式/準旁路式準入控制技術、基于擺渡技術的網(wǎng)間數(shù)據(jù)交換產(chǎn)品、矢量水印技術、AI防病毒引擎等,形成了既高且厚的競爭壁壘。
近年來,在疫情這只“黑天鵝”的影響下,網(wǎng)絡安全走到了變革的十字路口,行業(yè)開始重新審視安全問題。
作為全球較早的網(wǎng)絡準入控制廠商,聯(lián)軟科技早在2004年就開始做網(wǎng)絡準入控制,其NAC產(chǎn)品的動態(tài)訪問控制思想,和零信任的核心思想一脈相承。
2016年,聯(lián)軟科技基于“構建可控的互聯(lián)世界”的愿景,提出“可信數(shù)字網(wǎng)絡架構TDNA (Trusted Digital Network Architecture)”理念,采用零信任安全方案大幅減少風險暴露面,通過對抗性技術加大攻擊難度和攻擊成本,降低部署維護成本,幫助企業(yè)實現(xiàn)安全高效辦公。
目前,聯(lián)軟科技的安全產(chǎn)品已在銀行、保險、證券等金融各細分領域得到廣泛應用,在端點安全產(chǎn)品在金融領域市場份額居行業(yè)前列,并在制造業(yè)、運營商、黨政軍、醫(yī)療、能源和交通等行業(yè)構建了較強的市場影響力,已服務超過3000家高端行業(yè)客戶。
在端點安全、邊界安全、云安全、零信任等安全領域的不斷深耕,讓聯(lián)軟科技獲得行業(yè)高度認可,已連續(xù)三年入選中國網(wǎng)絡安全產(chǎn)業(yè)聯(lián)盟(CCIA)“中國網(wǎng)絡安全競爭力50強”。
保持戰(zhàn)略定力,?聚焦優(yōu)勢技術領域單點突破
早在2010年,F(xiàn)orrester分析師John Kindervag就首次提出關于零信任安全的三大觀點:一是不再以清晰的邊界來劃分信任或不信任的設備;二是不再區(qū)別信任或不信任的網(wǎng)絡;三是不再有信任或不信任的用戶。
因敢于應對行業(yè)痛點,零信任安全從一誕生即吸睛無數(shù),但囿于時機尚不成熟,并未迅速落地生根。
直到后來Google BeyondCorp項目成功驗證了零信任安全在大型網(wǎng)絡場景下的可行性,越來越多的廠商躬身入局,包括金融業(yè)在內(nèi)的諸多基于零信任安全的行業(yè)解決方案也逐漸增加,才吹響了整個業(yè)界全面實踐的號角。
張建耀介紹,聯(lián)軟科技發(fā)力零信任安全,并不是追求技術熱點的盲從行為,而是基于自身技術優(yōu)勢自然而然的結果。
從聯(lián)軟科技18年的發(fā)展歷程來看,并沒有像大部分安全廠商最后都進入到“全家桶”式的集成安全解決方案這同一條河流,而是保持一定的戰(zhàn)略定力,聚焦在了一些細分技術方向,比如終端安全、數(shù)據(jù)安全以及零信任等領域,將自身的“長板”變得更長。
聯(lián)軟科技從2004年成立以來,就找準了準入控制和終端安全管理兩大領域,是國內(nèi)第一家涉足準入控制的廠商。
目前,聯(lián)軟科技這兩個領域在中國金融行市場的總體市占率位列第一,其中在證券、基金、期貨等行業(yè)市占率達到80%左右,在銀行業(yè)市占率達到60%以上。
2019年,聯(lián)軟科技與魔方安全合并,獲得了以攻擊者視角對全網(wǎng)暴露面進行主動持續(xù)監(jiān)控與管理的能力,正式進入網(wǎng)絡攻防領域,以改變現(xiàn)階段攻防力量不平衡的網(wǎng)絡安全環(huán)境。
在談到聯(lián)軟科技為何要涉足零信任領域時,張建耀表示,近年來網(wǎng)絡基礎設施發(fā)生了巨大變化,傳統(tǒng)的內(nèi)網(wǎng)、外網(wǎng)、專網(wǎng)、互聯(lián)網(wǎng)等網(wǎng)絡邊界十分清晰。
在新的網(wǎng)絡架構和云計算出現(xiàn)后,網(wǎng)絡邊界日益模糊,網(wǎng)絡接入控制需要適應這種技術上的變化,所以就自然地進行平滑升級,切換到了零信任安全接入產(chǎn)品和解決方案這一賽道。
這從一定程度上也延續(xù)了聯(lián)軟科技在準入控制和終端安全管理的技術積累,使其能夠在零信任安全領域發(fā)揮出更大優(yōu)勢。
在實際落地過程中,只要有網(wǎng)的地方,就有零信任。
張建耀表示,零信任適用于任何需要打破辦公內(nèi)網(wǎng)、外網(wǎng)和互聯(lián)網(wǎng)的混合場景,比如從內(nèi)網(wǎng)到外網(wǎng)、從外網(wǎng)到互聯(lián)網(wǎng)、互聯(lián)網(wǎng)到內(nèi)網(wǎng),或者多云之間的場景。
因此,零信任不僅限于某些行業(yè),在政府、金融、制造業(yè)、醫(yī)療、運營商等行業(yè)都有著非常多的應用。
外部環(huán)境的急劇變化也為零信任邁向縱深創(chuàng)造了條件。
云計算基礎架構的異構化和混合化加速了邊界消失的進程,云網(wǎng)邊端不再涇渭分明,在業(yè)務實際運行中渾然一體。
與此同時,大數(shù)據(jù)、物聯(lián)網(wǎng)、5G等技術的迅猛發(fā)展,不斷催生遠程辦公、業(yè)務協(xié)同、分支互聯(lián)等應用場景,企業(yè)基于邊界的傳統(tǒng)安全架構不再可靠,零信任成為必然之選。
結合聯(lián)軟科技涉足領域,張建耀表示,目前零信任主要有四類應用場景。
第一,遠程場景。包括遠程辦公、遠程運維、遠程開發(fā)等一系列場景,不同的場景由于客戶痛點各異,需要解決的安全問題也不盡相同。
第二,全網(wǎng)零信任場景。雖然企業(yè)能夠解決從外網(wǎng)到內(nèi)網(wǎng)訪問的安全問題,但還需要在從外網(wǎng)切換到內(nèi)網(wǎng)時,可以做到安全無縫切換。
因此,內(nèi)網(wǎng)也需要用這樣的機制來進行零信任接入,這時就形成了全網(wǎng)零信任場景。
第三,多云訪問場景。由于現(xiàn)在很多企業(yè)會用到公有云、私有云、混合云,在各個云之間切換時,這個場景也會用到零信任技術方案。
第四,安全防御和合規(guī)場景。考慮到零信任架構安全性較高,很多企業(yè)會把零信任應用在一些安全防御和合規(guī)的場景,比如抗DDoS、暴露面收斂等場景。
秉承NIST零信任理念,一體化解決方案重塑信任體系
2020年8月,美國NIST(美國國家標準技術研究院)發(fā)布了《零信任架構》標準。
在張建耀看來,一個優(yōu)秀的零信任方案應該是NIST模型中闡述的零信任網(wǎng)絡架構。
首先,NIST模型中最關鍵的核心組件,可以理解為零信任網(wǎng)關的能力,決定了策略的管理和執(zhí)行質(zhì)量。
其次,NIST模型還有四個擴展功能。
一是,端點安全的能力??梢岳斫鉃橥ㄟ^連接非常多的終端,比如PC、移動端,甚至很多類似于物聯(lián)網(wǎng)設備的亞終端,都需要進行零信任的訪問,終端能力必不可少。
二是,數(shù)據(jù)安全能力。企業(yè)需要把業(yè)務上的一些資源開放給終端進行訪問,終端會對這些數(shù)據(jù)進行處理。根據(jù)統(tǒng)計,企業(yè)80%的數(shù)據(jù)會放在終端處理。因此,數(shù)據(jù)一旦到了終端,數(shù)據(jù)安全就變得非常重要。
三是,身份和訪問管理能力。目前很多廠商會做身份識別和訪問的精細化管控,需要跟業(yè)務系統(tǒng)做非常多的對接來實現(xiàn)這種能力。
四是,安全分析能力。終端采集到的大量數(shù)據(jù),需要通過大數(shù)據(jù)分析能力來研判終端的安全屬性,并判斷當前終端能夠訪問的業(yè)務資源。
NIST所提出的零信任架構,正逐漸被各家安全廠商探索、完善和應用到產(chǎn)品之中,并服務于多個行業(yè)和領域。
聯(lián)軟科技的安全產(chǎn)品就很好地采用了其中的關鍵能力。
比如在端點安全領域,聯(lián)軟科技的安全實踐非常符合NIST的零信任理念。
基于RBAC(Role-Based Access Control,角色的訪問控制),聯(lián)軟科技推出NAC網(wǎng)絡準入控制系統(tǒng),NAC強調(diào)先驗證身份,再連接網(wǎng)絡,設備安全基線不符可強制下線修復,這也是動態(tài)訪問控制的思想,和零信任的核心思想一脈相承。
到了“云+移動”的時代,傳統(tǒng)網(wǎng)絡邊界被打破,SDP(Software-Defined Perimeter,軟件定義邊界)順勢出現(xiàn),實現(xiàn)更靈活和細粒度的動態(tài)訪問控制,聯(lián)軟科技在設計EMM產(chǎn)品架構時就采用了APN網(wǎng)關,強調(diào)服務隱身和應用層安全隧道。
2019年,聯(lián)軟科技推出SDP產(chǎn)品,2021年,推出UEM的ZTNA零信任網(wǎng)絡訪問產(chǎn)品和方案,這些產(chǎn)品和解決方案都是基于NIST零信任架構理念,專注終端和網(wǎng)絡結合下的安全問題,堅持永不信任、持續(xù)驗證的動態(tài)授權理念。
在零信任接入與管理方面,聯(lián)軟科技也進行更為極簡的設計,通過后臺系統(tǒng)將全部零信任方案打通,企業(yè)在接入零信任方案時,只需通過EMM系統(tǒng)即可,大大提升零信任接入效率。
對于之前已經(jīng)應用聯(lián)軟科技網(wǎng)絡準入控制系統(tǒng)的企業(yè),只需對SDP產(chǎn)品進行升級,就能夠具備管控外網(wǎng)設備接入的能力。
零信任建設應循序漸進,重塑企業(yè)安全體系進行時
對于已經(jīng)構建起網(wǎng)絡安全基礎設施的企業(yè),如果要落地零信任方案,是推翻重建還是可以利用原有基礎設施?
張建耀表示,在實現(xiàn)零信任的過程中,很多企業(yè)已經(jīng)具備了相關的安全能力,比如網(wǎng)絡準入、防火墻等,因此在實施零信任項目的時候,除了VPN的安全性已經(jīng)不能滿足要求需要進行優(yōu)先替換之外,其他零信任核心組件都是可以與原來的安全設備進行無縫銜接。
經(jīng)過多年的實踐和摸索,聯(lián)軟科技目前已經(jīng)形成了一套完整的零信任落地實施方案。
首先,引入零信任安全的最佳時機,要跟企業(yè)的數(shù)字化轉型進行同步,因為一切IT技術的變革都是來自于業(yè)務的變革。
如今由于移動化辦公的興起,這種需求反過來推動零信任的發(fā)展。
第二,在建設零信任方案時,要采用漸進式的實施部署方式。
如果把原有系統(tǒng)全部顛覆改做全網(wǎng)零信任,落地實施難度非常大。
落地實施步驟是很關鍵的,首先要做好整體規(guī)劃,要制定零信任的安全戰(zhàn)略,然后再逐步進行遷移??梢韵葟倪h程辦公、遠程運維、遠程開發(fā)這類應用廣泛的場景出發(fā),然后再過渡到全網(wǎng)零信任改造。
第三,零信任方案的難點在于數(shù)據(jù)安全。
今年,包括聯(lián)軟科技在內(nèi)的安全商業(yè)聯(lián)盟成員聯(lián)合Forrester咨詢公司,對中國零信任市場及行業(yè)實踐進行了調(diào)研,訪問了208名大中型企業(yè)及機構的信息安全決策者,并發(fā)布《零信任最佳實踐》白皮書。
白皮書指出,在CIO眼里,數(shù)據(jù)安全是零信任中的最大難點之一。
數(shù)據(jù)一旦到了終端,通過怎樣的方式進行管控?如何保證數(shù)據(jù)不會外泄?這些都是擺在CIO面前的緊迫問題。
所以,在建設零信任方案的早期,一定要重點考察零信任產(chǎn)品方案是否具備數(shù)據(jù)安全的能力。
張建耀表示,零信任不是一個結果,而是一個長期的過程。
從理念到架構,零信任安全已贏得行業(yè)充分認可,但要完成實質(zhì)性的跨越,還應在場景化落地方面更上層樓。
零信任場景紛繁復雜,不同場景對應的解決方案也存在較大差異,因此不能一味貪求大而全,還需要找到適合企業(yè)自身的路徑。
零信任架構體系也不光包含安全產(chǎn)品和技術本身,還涉及到信息基礎環(huán)境、端點、網(wǎng)絡、業(yè)務系統(tǒng)、應用開發(fā)、流程和策略等,整個體系很難依靠單一廠商構建起來,只有形成標準化組件并建立開放合作機制,才能實現(xiàn)技術的良性循環(huán)。
聯(lián)軟科技也將和企業(yè)用戶、應用軟件開發(fā)廠商、云安全廠商等一道,共建零信任生態(tài),共繪網(wǎng)絡安全新藍圖。
- 蜜度索驥:以跨模態(tài)檢索技術助力“企宣”向上生長
- 美媒聚焦比亞迪“副業(yè)”:電子代工助力蘋果,下個大計劃瞄準AI機器人
- 微信零錢通新政策:銀行卡轉入資金提現(xiàn)免手續(xù)費引熱議
- 消息稱塔塔集團將收購和碩印度iPhone代工廠60%股份 并接管日常運營
- 蘋果揭秘自研芯片成功之道:領先技術與深度整合是關鍵
- 英偉達新一代Blackwell GPU面臨過熱挑戰(zhàn),交付延期引發(fā)市場關注
- 馬斯克能否成為 AI 部部長?硅谷與白宮的聯(lián)系日益緊密
- 余承東:Mate70將在26號發(fā)布,意外泄露引發(fā)關注
- 無人機“黑科技”亮相航展:全球首臺低空重力測量系統(tǒng)引關注
- 賽力斯發(fā)布聲明:未與任何伙伴聯(lián)合開展人形機器人合作
- 賽力斯觸及漲停,汽車整車股盤初強勢拉升
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權利通知或不實情況說明,并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關文章源頭核實,溝通刪除相關內(nèi)容或斷開相關鏈接。