炙手可熱的“零信任”技術(shù)到底如何融入企業(yè)安全建設(shè)?“零信任”是否又能針對(duì)性地解決每一行獨(dú)有的安全痛點(diǎn),以及企業(yè)如何從0到1搭建基于零信任的安全體系?
近日,由騰訊安全主辦的安全管理者俱樂部沙龍?jiān)谏钲谟瓉硎讏?chǎng)活動(dòng),匯聚了來自金融、物流、投研、制造業(yè)、傳媒、航空等行業(yè)的安全代表,圍繞“零信任”話題展開談?wù)?,本次安全管理者俱樂部沙龍?chuàng)新地設(shè)置了主題分享和分組研討等環(huán)節(jié),形成了集痛點(diǎn)解析、需求配對(duì)、實(shí)踐分享、成果沉淀等于一體的沙龍模式,為各行各業(yè)加速部署“零信任”提供的案例實(shí)操性的經(jīng)驗(yàn)和前瞻性思考。
主題分享
李維春丨證券行業(yè)零信任場(chǎng)景探討
券商是一個(gè)強(qiáng)監(jiān)管的行業(yè),要求辦公網(wǎng)和交易網(wǎng)兩張大網(wǎng)有效隔離,每張大網(wǎng)又通過防火墻隔離出不同的分區(qū)。雖然不同券商具體做法不一樣,但整體大同小異。
在券商行業(yè)有三個(gè)場(chǎng)景可能需要“零信任”技術(shù):
一是遠(yuǎn)程辦公和外協(xié)人員訪問網(wǎng)絡(luò)資源。遠(yuǎn)程辦公情況下,員工經(jīng)常需要使用個(gè)人電腦通過VPN的形式接入公司網(wǎng)絡(luò)。員工使用個(gè)人電腦沒有準(zhǔn)入控制的基線,容易引入安全風(fēng)險(xiǎn)。此外,個(gè)人電腦類型繁多,VPN客戶端體驗(yàn)也很差;如果是外協(xié)人員通過VPN接入網(wǎng)絡(luò),安全人員無法掌握和控制其行動(dòng)軌跡,同樣容易引發(fā)安全風(fēng)險(xiǎn)。
二是定制化交易系統(tǒng)?,F(xiàn)在很多私募基金投資機(jī)構(gòu)會(huì)自己開發(fā)一套交易系統(tǒng),放到券商的環(huán)境里面,和券商的交易系統(tǒng)對(duì)接。這套系統(tǒng)對(duì)于券商是不透明的,后者不知道它有多少安全漏洞,也不清楚私募基金投資機(jī)構(gòu)通過自己的防火墻后進(jìn)行了什么操作。
三是整體架構(gòu)。券商的兩張大網(wǎng)之間雖然做了有效隔離,但還是存在大量數(shù)據(jù)交互:有的是接口調(diào)用,有的是設(shè)備、應(yīng)用之間互相訪問,有時(shí)是用戶身份訪問設(shè)備或應(yīng)用,這些都有可能導(dǎo)致安全隱患。
三大場(chǎng)景中,現(xiàn)有的網(wǎng)絡(luò)架構(gòu)已經(jīng)無法應(yīng)對(duì)新時(shí)代所帶來的安全挑戰(zhàn),如何通過零信任來解決證券行業(yè)目前面臨的網(wǎng)絡(luò)安全問題、實(shí)現(xiàn)從現(xiàn)有架構(gòu)向零信任架構(gòu)的過渡,是業(yè)界共同的訴求。
周智堅(jiān)丨一句話說清安全與零信任,產(chǎn)業(yè)互聯(lián)下的安全業(yè)務(wù)架構(gòu)
通過科技將生產(chǎn)資料、設(shè)備和客戶的快速鏈接將使能企業(yè),企業(yè)生產(chǎn)、經(jīng)營(yíng)和決策將平臺(tái)化、自動(dòng)化化、數(shù)據(jù)化、甚至智能化,這是產(chǎn)業(yè)互聯(lián)接下來的大趨勢(shì),不轉(zhuǎn)型的企業(yè)將逐漸被市場(chǎng)淘汰。
產(chǎn)業(yè)互聯(lián)轉(zhuǎn)型的大趨勢(shì)下,信息安全就是生產(chǎn)安全,安全必須融入業(yè)務(wù)。針對(duì)產(chǎn)業(yè)互聯(lián)下企業(yè)的安全訴求,周智堅(jiān)創(chuàng)造性地提出了一套名為“1+N”的零信任架構(gòu)落地方案:安全業(yè)務(wù)平臺(tái)化運(yùn)行的安全ERP作為核心的“1”,連接各類安全產(chǎn)品,如員工安全、終端安全、身份識(shí)別、權(quán)限管理、自動(dòng)化工具、數(shù)據(jù)安全等基于零信任的安全能力,從而推動(dòng)企業(yè)從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)向零信任網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型。
“1+N”零信任架構(gòu)方案的落地,既需要企業(yè)技術(shù)架構(gòu)作為基礎(chǔ)支持以及產(chǎn)品化和技術(shù)化,也需要安全ERP輔助才能產(chǎn)生更好的安全效果。
曹靜丨零信任能力圖譜解讀與應(yīng)用場(chǎng)景探討
零信任是當(dāng)下安全領(lǐng)域的熱門話題,安全廠商紛紛推出了各自的零信任解決方案。百家爭(zhēng)鳴之下,甲方企業(yè)頗有種亂花漸欲迷人眼的感覺。零信任到底有哪些能力?甲方該如何選擇適合自己的解決方案?
騰訊安全在5月份發(fā)布的《企業(yè)級(jí)零信任能力圖譜》,對(duì)零信任技術(shù)的能力做了詳細(xì)列舉。零信任的核心理念是“沒有默認(rèn)的信任,只有默認(rèn)的威脅”,零信任不僅可以替換VPN,實(shí)現(xiàn)無邊界的辦公和運(yùn)維場(chǎng)景,針對(duì)云上業(yè)務(wù)系統(tǒng)的安全訪問,零信任可以隱藏互聯(lián)網(wǎng)暴露面進(jìn)而阻斷黑客攻擊。
具體應(yīng)用場(chǎng)景上,目前零信任被廣泛應(yīng)用于東西向安全訪問控制、分支機(jī)構(gòu)訪問總部、應(yīng)用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務(wù)集中管控、全球鏈路加速訪問、物聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景中。
企業(yè)只有了解零信任建設(shè)的能力目標(biāo),根據(jù)能力視圖、業(yè)務(wù)優(yōu)先級(jí)規(guī)劃建設(shè)場(chǎng)景路徑,才能分場(chǎng)景、分階段完成零信任整體能力體系的建設(shè)。
嘉賓演講的間隙,為增加沙龍活動(dòng)的趣味性,讓與會(huì)企業(yè)對(duì)自身零信任實(shí)踐水平有更好的認(rèn)識(shí),主辦方特地邀請(qǐng)現(xiàn)場(chǎng)嘉賓參與了零信任成熟度模型自測(cè)。
分組圓桌研討
主題分享后,沙龍活動(dòng)進(jìn)入備受期待的圓桌討論環(huán)節(jié)?,F(xiàn)場(chǎng)參會(huì)的嘉賓來自各行各業(yè),每個(gè)行業(yè)都有不同的需求痛點(diǎn)及零信任思路和方法。為了讓與會(huì)嘉賓更好地交流碰撞,從不同視角激蕩出思維的火花,在頭腦風(fēng)暴和開放討論中求同存異,圓桌環(huán)節(jié)采用了非常新穎的討論形式——由騰訊安全的兩位安全專家各帶領(lǐng)一組嘉賓分別討論,與會(huì)嘉賓從甲方立項(xiàng)視角和需求視角提出了針對(duì)八大零信任應(yīng)用場(chǎng)景的具體需求。
在傳媒行業(yè),業(yè)務(wù)場(chǎng)景除了會(huì)涉及多個(gè)業(yè)務(wù)部門外,還包含了混合云的網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)安全架構(gòu)極為復(fù)雜,其安全建設(shè)的關(guān)鍵痛點(diǎn)之一是:雖然通過容器化把各類數(shù)據(jù)、資產(chǎn)以及管理配置整合到了一起,但在進(jìn)行單一機(jī)群訪問控制時(shí),會(huì)對(duì)整個(gè)網(wǎng)絡(luò)層的規(guī)劃產(chǎn)生影響。分享嘉賓認(rèn)為,零信任為安全管理工作提供了一個(gè)新的視角和工具,能夠成為未來網(wǎng)絡(luò)安全管理工作的抓手。
民航領(lǐng)域的安全痛點(diǎn)則是——傳統(tǒng)機(jī)場(chǎng)連接互聯(lián)網(wǎng)的接口很少,可能就有一個(gè)是連接辦公網(wǎng)絡(luò)的。但隨著私營(yíng)機(jī)場(chǎng)的增多,對(duì)接外網(wǎng)的接口也將越來越多。這意味著暴露接口增多將會(huì)讓機(jī)場(chǎng)更容易受到黑客的攻擊,對(duì)零信任解決方案中的管控對(duì)外端口功能需求旺盛。此外,目前大多數(shù)機(jī)場(chǎng)和空管的外部訪問管控,也需要借助零信任來實(shí)現(xiàn)進(jìn)行南北向、東西向的安全管控。
在垂直行業(yè)之外,對(duì)于企業(yè)普遍存在的安全運(yùn)營(yíng)挑戰(zhàn),零信任也是一把好手。來自大型企業(yè)的安全專家認(rèn)為,一直以來企業(yè)對(duì)于端上的安全管控非常嚴(yán)格,加之使用VPN的情況不多,所以一直以來所有的VPN都采用白名單制。在今年疫情的影響下,遠(yuǎn)程辦公需求激增,就需要安全運(yùn)營(yíng)團(tuán)隊(duì)手動(dòng)進(jìn)行所有外部訪問的權(quán)限控制,導(dǎo)致工作量激增,對(duì)業(yè)務(wù)的時(shí)效性造成了較大影響。如果能夠通過零信任的動(dòng)態(tài)評(píng)估功能來進(jìn)行管控的話,不僅能節(jié)約人力成本、提升業(yè)務(wù)效率,還能進(jìn)一步控制安全風(fēng)險(xiǎn)。
分組討論結(jié)束后,兩組各推舉出一位代表對(duì)討論結(jié)果進(jìn)行圓桌成果輸出展示,由裁判組對(duì)兩組嘉賓的分享成果進(jìn)行評(píng)判。
一組成果輸出
零信任的方案落地面臨著三大挑戰(zhàn):
一是如何說服領(lǐng)導(dǎo),讓他覺得“零信任”是有好處的。
二是如何讓領(lǐng)導(dǎo)理解零信任和傳統(tǒng)安全的區(qū)別,零信任能解決哪些問題。
三是零信任在不同行業(yè)有不同的落地方式,企業(yè)如何找到最適合自己的路徑。
二組成果輸出
零信任的應(yīng)用場(chǎng)景分為三塊——端上的需求、系統(tǒng)側(cè)的需求和鏈路需要。
端上的需求包括Mac地址綁定、賬號(hào)共用、分支機(jī)構(gòu)、個(gè)人設(shè)備綁定BIOD、第三方機(jī)構(gòu)訪問、賬號(hào)體系互認(rèn)、網(wǎng)絡(luò)變化、IOT六大塊;系統(tǒng)側(cè)的需求包括東西向、混合云等等。
不難發(fā)現(xiàn),零信任早已從概念走向各行各業(yè)的安全場(chǎng)景,正在切實(shí)地帶給企業(yè)安全建設(shè)新工具、新理念。這正是騰訊安全舉辦安全管理者俱樂部沙龍的核心所在,致力于搭建匯聚甲乙雙方視角的技術(shù)交流平臺(tái),在傳遞安全知識(shí)、實(shí)踐經(jīng)驗(yàn)的同時(shí),通過共同交流探討來探索安全產(chǎn)品在實(shí)際業(yè)務(wù)中的落地場(chǎng)景。
未來,騰訊安全將持續(xù)釋放自身的技術(shù)、人才與生態(tài)優(yōu)勢(shì),攜手產(chǎn)業(yè)鏈生態(tài)伙伴共同深入探索零信任在行業(yè)中落地的新場(chǎng)景,持續(xù)完善適用于各行各業(yè)的新型安全機(jī)制,為企業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)程保駕護(hù)航。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )