2022中国网安强星直播回顾 聊聊零信任大家最关心的那些事儿
作为2022中国网安强星50强,近日,联软科技联合创始人张建耀先生代表联软,受邀做客“解码2022中国网安强星”直播间,多角度探讨零信任热点话题,带来了一场精彩的“零信任安全”深度访谈。
图:直播掠影
今天联软科技就来和大家一起回顾直播间的精彩瞬间,聊聊零信任大家最关心的那些事。
Q:零信任适用于哪些场景?
A:零信任适用于需要打破原有的办公外网和互联网混合的任意场景。比如从内网到外网,从外网到互联网,从互联网到内网,或者是多云之间的场景。所以,零信任并不局限于某些行业。比如在联软的零信任案例中,在政府、金融、制造业、医疗、运营商等行业都有大量的应用。
目前,零信任主要的应用场景包括四大类:远程场景(远程办公、远程运维、远程开发等);全网零信任场景(解决外网到内网的直接访问,同时在内网部署零信任接入来满足从外网到内网的无缝安全切换);多云访问场景(公有云、私有云、混合云);安全防御与合规场景。
Q:一个好的零信任方案应该具备哪些能力?
A:从NIST(美国国家标准与技术研究院)模型来看,主要应具备如下能力:
核心组件(可理解成零信任网关能力):策略引擎、策略管理器和策略执行;
端点安全能力:能适应端点的多样性、复杂性;
数据安全能力:据统计,企业80%的数据会到终端上来处理。数据到了端点,数据安全保护至关重要;
身份与访问管理能力:实现身份识别,精细化管控,与业务系统做对接;
安全分析能力:通过大数据平台对数据和威胁情报进行分析研判,通过属性来判断当前终端能够访问的业务资源。
Q:目前国内客户对零信任的接受度如何?政企机构在落地零信任时会有哪些担忧?
A:零信任理念其实在2010年就已经提出来了,经过12年的发展,已经有大量成功的落地案例,从Gartner的成熟曲线来看,ZTNA正处于由过热到跌入谷底的阶段,而中国的情况一般会比美国滞后2~3年,所以目前国内对零信任整体还是属于过热的阶段。
客户对零信任已经从陌生到理解,再到逐渐接受的阶段。
政企机构对落地零信任最主要的担忧包括以下几点:
打破边界。零信任的架构中,讲的是软件定义边界,也就是边界模糊化了,这个跟传统的网络架构是相悖的,很多客户还不敢把边界撤离,因为物理安全目前看还是最好的防御手段。
终端多样化带来的落地困难。现在的终端类型较多,PC有windows、mac、linux、国产麒麟、统信等;移动有安卓、ios、鸿蒙等系统,所有的终端都需要做适配,这个很少有厂商能够做好。
数据安全。在零信任架构中,所有的终端通过规则可以访问不同的业务系统,那业务系统的数据就会在终端上进行处理、加工、流转,如何保障这部分数据的安全,也成为客户比较关注的问题。
Q:零信任的建设周期多长?
A:零信任在落地的过程中,如果只是简单的去替换VPN的场景,联软最快实现两天上线。
但是如果客户涉及到比较复杂的访问权限的控制,这就会涉及到IAM系统的对接,需要做定制开发,这种实施周期就会长点,一般为3~6个月。
Q:联软为什么会进入零信任领域?
A:我们从Gartner的定义来说起,网络准入控制,英文是Network Access Control,简称NAC;零信任安全,英文是Zero Trust Network Access,简称ZTNA。
零信任只是网络准入控制加了一个前缀而已,可以理解为零信任安全就是在新的网络架构和云计算的环境下,新的一种准入控制技术。所以联软做零信任并不跟风,是很自然的切换到这个赛道上来,而且联软拥有巨大的先发优势。
联软科技早在2004年就开始做网络准入控制,NAC产品的动态访问控制思想,和零信任的核心思想是一致的。如联软UniEMM企业移动安全支撑平台的架构采用APN网关,强调服务隐身和应用层安全隧道;2019年联软推出SDP产品;2020年推出UEM的ZTNA零信任网络访问产品和方案。联软一直提供领先的数据防泄露、数字水印、多网文件安全传输等方案可以全面融合到新的零信任方案,为企业提供更强大的纵深防御体系。
Q:能否介绍一下联软零信任方案的构成?
A:All in one,一套平台,解决所有的管控难题。
联软的方案非常的简单高效,是业界唯一一个All in one零信任方案,后台全部打通,连接在一起,通过单个客户端来实现所有的能力,帮助客户缩短建设周期和降低成本,提高客户的管理效率。
联软把零信任安全整合到UEM(也就是统一终端管理)平台中,在UEM平台中,我们有SDP、EMM、准入、终端安全、DLP、EDR等子系统,而这些子系统组成All in one的方案,来应对各种不同的场景。
比如针对远程办公的场景,如果是PC设备,可采用SDP子系统,如果涉及到移动设备,可选用EMM子系统。如果客户需要做全网的零信任,可将内网的准入和终端安全子系统也加进来。
并且,这几种模式都可以灵活地部署和切换。比如联软一些已经合作的客户,如果之前使用了联软的接入系统,就可以像插件一样,把联软SDP产品再升级或者部署,就能具备管控外网能力。
Q:对于零信任的落地问题,拥有一定基础的企业建立零信任,需要替换原来的系统或抛弃现有的设备吗?
A:实现零信任的过程中,不少客户已经拥有了准入、防火墙等安全措施和能力。在实施零信任的时候,除了会替换传统安全设备VPN以外,其他的系统都是可以和原本的系统做无缝的衔接和联动。
比如联软的UEM平台,它涵盖了一系列的子系统,包括SDP、EMM、准入、终端安全环境感知、DLP、EDR等等。联软的方案落地其实很简单,根据客户的需求,渐进式的来实施部署,因为这些模块都可以通过插件式的方式做增量的部署。
例如已经实施了联软准入控制的客户,可以很容易的通过升级,切换到全网的零信任方案中,实现在内网和互联网通过一个Agent来访问网络资源。除了替换掉客户原有的VPN设备外,整个零信任在实施中不需要抛弃其他的安全设备,而且还可以跟原有的准入控制等系统做联动。
Q:政企机构在落地零信任方案时,有标准化的流程或者方法论可以遵守吗?
A:对于零信任的原则、流程和方式,在云安全联盟CSA相关培训中有完整的阐述。事实上,经过多年的实践和摸索,联软目前已经形成了一套完整的零信任项目落地的实施方案,对此,可以分享以下几点经验:
引入零信任安全的最佳时机:要与企业的数字化转型同步。不要追求时髦。因为零信任安全的原动力是云化和移动化,如果企业的云化和移动化的还属于早期阶段,可以先把内网安全建设起来,而不急于部署零信任的方案。
建设零信任方案,要采用渐进式来实施部署。先做好总体规划,然后一步一步迁移,否则可能因为改动太大而导致项目失败。大家都清楚,Google 的BeyondCorp项目花了7年才建设完成,我们的建议是先从远程办公、远程运维、远程开发做起,然后再逐步进行全网的零信任改造。
零信任方案的难点以及关键点在于数据安全。在建设零信任的时候,要重点考察零信任产品及方案是否有数据安全的能力,数据一旦到了终端上,是否能够做好保护,保障数据不外泄。
Q:实施零信任,会给政企机构带来哪些价值?
A:联软一直以来奉行的合作原则是创造价值,成就伙伴,为客户提供最优质的产品、服务和支持,让所有合作伙伴与联软实现共赢。
在零信任领域,我们主要给政企机构带来如下价值:
暴露面收敛。以前客户的很多业务都暴露在公网上,每个业务都要对外提供服务端口,有些还甚至不止一个。有暴露就会有遭受攻击的可能性,每次一旦发布0Day漏洞的时候,客户就寝食难安,加班加单堵漏洞,无穷无尽。上了零信任后,很多业务端口都隐藏在零信任网关背后,如果启用SPA功能的话,甚至唯一的对外端口也隐藏了,还防止了DDOS攻击、外部暴力破解等攻击。
取代VPN,安全性提升一个量级。每年护网客户最头疼的就是VPN,VPN的机制天然的就易受攻击,账号丢失也是有较大风险。
接入安全性大大提升。由于有终端的环境感知能力,通过ABAC的机制,对终端的安全性进行实时的检测,实时的响应。
数据安全得到保障。所有的数据,通过沙箱保护起来,对这些数据的处理和外发进行监控,保障企业的业务数据不会通过终端传播出去。
Q:目前国内有大量厂商都进入了零信任赛道,联软的竞争力和差异化优势体现在哪些地方?
A:零信任现在处于过热的阶段,有很多厂商进入这个赛道是很正常的,这里面分为几类厂商。第一类传统做防火墙的边界安全产品的厂商,公安部统计,当前有200多家防火墙厂商,这些厂商都有可能切换到SDP这个产品上来;第二类是传统做终端安全的厂商,这类厂商因为有一定的技术壁垒,相对来讲少一点,大概有十几家;第三类就是传统做4A和身份安全的厂商,他们重点推出的是IAM的产品;所以会发现,目前整个网络安全圈子感觉上有一半在做零信任的业务。
分析下来,最终能够存活下来的厂商应该是这三类厂商中几个头部的厂商。
而联软的竞争力毋庸置疑,目前我们已经是中国企业端点安全市场的领导者,我们在开放型市场,包括金融、制造、运营商、政府、医疗等行业有非常大的竞争优势和客户体量。而我们的核心优势又在访问控制、端点安全、数据安全等领域,都是零信任安全技术的重点和难点。
此外,联软在生态方面也是非常的开放和积极的,目前我们已经跟华为、安恒、阿里等十多家业界主流安全厂商建立了生态合作关系,输出我们的零信任相关的能力,完全能满足客户需求。
Q:基于现有的网络安全形势,未来还有哪些新的安全技术趋势值得关注?
A:个人隐私保护,会是未来一个值得关注的话题。对于企业客户来说,如何保障设备的安全性和保护隐私,值得思考。而个人用户,To C 的市场上,也在寻求更好的技术保障个人隐私。相信未来,很多厂商都跃跃欲试,这是一个发展潜力很大的方向。
19 年来,联软从全球较早的网络准入控制厂商之一,成长为中国企业端点安全领域的领导者、国产自主可控的网络安全新基建领军厂商、并成为国内率先落地基于“零信任安全”产品的厂商之一。
目前,联软科技已经在中国银行、光大银行、交通银行等头部客户成功交付众多零信任项目;多位专家获得Forrester零信任认证(Forrester ZERO TRUST Certification)、CSA零信任专家认证CZTP,拥有多位CSA种子级别零信任讲师,成长为大中华区零信任理念实践的领航者身份。从网络准入控制的领军者,到零信任安全的领航者,未来,联软将加强在零信任领域的不断创新和发展,帮助企业加强网络安全保障,重塑安全边界。