解碼2022中國(guó)網(wǎng)安強(qiáng)星丨構(gòu)建企業(yè)第一重“安全感”，聯(lián)軟科技以零信任重塑網(wǎng)絡(luò)安全邊界

科技云報(bào)道原創(chuàng)。

由中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟（CCIA）、科技云報(bào)道共同主辦的“解碼2022中國(guó)網(wǎng)安強(qiáng)星”活動(dòng)正式拉開(kāi)帷幕。本次活動(dòng)以“網(wǎng)安力量 照見(jiàn)未來(lái)”為主題，邀請(qǐng)榮獲“2022年中國(guó)網(wǎng)安產(chǎn)業(yè)競(jìng)爭(zhēng)力50強(qiáng)、成長(zhǎng)之星、潛力之星”的企業(yè)高層做客直播間，從行業(yè)、技術(shù)、市場(chǎng)等多角度探討網(wǎng)安相關(guān)話題，探究企業(yè)背后的創(chuàng)新力量和安全實(shí)力。

伴隨新一輪科技革命和產(chǎn)業(yè)變革深入發(fā)展，各行各業(yè)將新型數(shù)字技術(shù)與實(shí)體經(jīng)濟(jì)集成融合，加速業(yè)務(wù)優(yōu)化升級(jí)和創(chuàng)新。

然而，隨著企業(yè)加大數(shù)字化的投入，應(yīng)用越來(lái)越復(fù)雜、接入越來(lái)越多元、邊界越來(lái)越模糊、安全暴露面不斷增加，傳統(tǒng)的邊界安全架構(gòu)已經(jīng)不堪重負(fù)，企業(yè)迫切需要新一代的安全架構(gòu)以應(yīng)對(duì)數(shù)字化時(shí)代的多元復(fù)雜挑戰(zhàn)。

零信任架構(gòu)作為一種網(wǎng)絡(luò)安全防御架構(gòu)，使更細(xì)粒度和更高效的安全訪問(wèn)控制成為可能，成為企業(yè)保障業(yè)務(wù)連續(xù)性和應(yīng)對(duì)不確定性的關(guān)鍵。

8月11日，聯(lián)軟科技聯(lián)合創(chuàng)始人張建耀做客“解碼2022中國(guó)網(wǎng)安強(qiáng)星”直播間，與大家分享如何為企業(yè)構(gòu)建零信任安全邊界。

從網(wǎng)絡(luò)準(zhǔn)入控制先驅(qū)，到零信任安全領(lǐng)跑者

網(wǎng)絡(luò)安全市場(chǎng)正走向一個(gè)全新的大時(shí)代，這是整個(gè)國(guó)家、社會(huì)、企業(yè)在發(fā)展過(guò)程中必然經(jīng)歷的過(guò)程。

基于此，早在十多年前，聯(lián)軟科技就已洞察到了這一變化趨勢(shì)，并率先提出了“構(gòu)建可控的互聯(lián)世界”的愿景。

憑借18年的積累，聯(lián)軟科技在客戶(hù)的真實(shí)場(chǎng)景中不僅總結(jié)出豐富的實(shí)踐經(jīng)驗(yàn)，還打磨出有深度、有生命力的系列化產(chǎn)品，比如：網(wǎng)絡(luò)接入設(shè)備快速自動(dòng)發(fā)現(xiàn)與定位技術(shù)、旁路式/準(zhǔn)旁路式準(zhǔn)入控制技術(shù)、基于擺渡技術(shù)的網(wǎng)間數(shù)據(jù)交換產(chǎn)品、矢量水印技術(shù)、AI防病毒引擎等，形成了既高且厚的競(jìng)爭(zhēng)壁壘。

近年來(lái)，在疫情這只“黑天鵝”的影響下，網(wǎng)絡(luò)安全走到了變革的十字路口，行業(yè)開(kāi)始重新審視安全問(wèn)題。

作為全球較早的網(wǎng)絡(luò)準(zhǔn)入控制廠商，聯(lián)軟科技早在2004年就開(kāi)始做網(wǎng)絡(luò)準(zhǔn)入控制，其N(xiāo)AC產(chǎn)品的動(dòng)態(tài)訪問(wèn)控制思想，和零信任的核心思想一脈相承。

2016年，聯(lián)軟科技基于“構(gòu)建可控的互聯(lián)世界”的愿景，提出“可信數(shù)字網(wǎng)絡(luò)架構(gòu)TDNA (Trusted Digital Network Architecture)”理念，采用零信任安全方案大幅減少風(fēng)險(xiǎn)暴露面，通過(guò)對(duì)抗性技術(shù)加大攻擊難度和攻擊成本，降低部署維護(hù)成本，幫助企業(yè)實(shí)現(xiàn)安全高效辦公。

目前，聯(lián)軟科技的安全產(chǎn)品已在銀行、保險(xiǎn)、證券等金融各細(xì)分領(lǐng)域得到廣泛應(yīng)用，在端點(diǎn)安全產(chǎn)品在金融領(lǐng)域市場(chǎng)份額居行業(yè)前列，并在制造業(yè)、運(yùn)營(yíng)商、黨政軍、醫(yī)療、能源和交通等行業(yè)構(gòu)建了較強(qiáng)的市場(chǎng)影響力，已服務(wù)超過(guò)3000家高端行業(yè)客戶(hù)。

在端點(diǎn)安全、邊界安全、云安全、零信任等安全領(lǐng)域的不斷深耕，讓聯(lián)軟科技獲得行業(yè)高度認(rèn)可，已連續(xù)三年入選中國(guó)網(wǎng)絡(luò)安全產(chǎn)業(yè)聯(lián)盟(CCIA)“中國(guó)網(wǎng)絡(luò)安全競(jìng)爭(zhēng)力50強(qiáng)”。

保持戰(zhàn)略定力，?聚焦優(yōu)勢(shì)技術(shù)領(lǐng)域單點(diǎn)突破

早在2010年，F(xiàn)orrester分析師John Kindervag就首次提出關(guān)于零信任安全的三大觀點(diǎn)：一是不再以清晰的邊界來(lái)劃分信任或不信任的設(shè)備；二是不再區(qū)別信任或不信任的網(wǎng)絡(luò)；三是不再有信任或不信任的用戶(hù)。

因敢于應(yīng)對(duì)行業(yè)痛點(diǎn)，零信任安全從一誕生即吸睛無(wú)數(shù)，但囿于時(shí)機(jī)尚不成熟，并未迅速落地生根。

直到后來(lái)Google BeyondCorp項(xiàng)目成功驗(yàn)證了零信任安全在大型網(wǎng)絡(luò)場(chǎng)景下的可行性，越來(lái)越多的廠商躬身入局，包括金融業(yè)在內(nèi)的諸多基于零信任安全的行業(yè)解決方案也逐漸增加，才吹響了整個(gè)業(yè)界全面實(shí)踐的號(hào)角。

張建耀介紹，聯(lián)軟科技發(fā)力零信任安全，并不是追求技術(shù)熱點(diǎn)的盲從行為，而是基于自身技術(shù)優(yōu)勢(shì)自然而然的結(jié)果。

從聯(lián)軟科技18年的發(fā)展歷程來(lái)看，并沒(méi)有像大部分安全廠商最后都進(jìn)入到“全家桶”式的集成安全解決方案這同一條河流，而是保持一定的戰(zhàn)略定力，聚焦在了一些細(xì)分技術(shù)方向，比如終端安全、數(shù)據(jù)安全以及零信任等領(lǐng)域，將自身的“長(zhǎng)板”變得更長(zhǎng)。

聯(lián)軟科技從2004年成立以來(lái)，就找準(zhǔn)了準(zhǔn)入控制和終端安全管理兩大領(lǐng)域，是國(guó)內(nèi)第一家涉足準(zhǔn)入控制的廠商。

目前，聯(lián)軟科技這兩個(gè)領(lǐng)域在中國(guó)金融行市場(chǎng)的總體市占率位列第一，其中在證券、基金、期貨等行業(yè)市占率達(dá)到80%左右，在銀行業(yè)市占率達(dá)到60%以上。

2019年，聯(lián)軟科技與魔方安全合并，獲得了以攻擊者視角對(duì)全網(wǎng)暴露面進(jìn)行主動(dòng)持續(xù)監(jiān)控與管理的能力，正式進(jìn)入網(wǎng)絡(luò)攻防領(lǐng)域，以改變現(xiàn)階段攻防力量不平衡的網(wǎng)絡(luò)安全環(huán)境。

在談到聯(lián)軟科技為何要涉足零信任領(lǐng)域時(shí)，張建耀表示，近年來(lái)網(wǎng)絡(luò)基礎(chǔ)設(shè)施發(fā)生了巨大變化，傳統(tǒng)的內(nèi)網(wǎng)、外網(wǎng)、專(zhuān)網(wǎng)、互聯(lián)網(wǎng)等網(wǎng)絡(luò)邊界十分清晰。

在新的網(wǎng)絡(luò)架構(gòu)和云計(jì)算出現(xiàn)后，網(wǎng)絡(luò)邊界日益模糊，網(wǎng)絡(luò)接入控制需要適應(yīng)這種技術(shù)上的變化，所以就自然地進(jìn)行平滑升級(jí)，切換到了零信任安全接入產(chǎn)品和解決方案這一賽道。

這從一定程度上也延續(xù)了聯(lián)軟科技在準(zhǔn)入控制和終端安全管理的技術(shù)積累，使其能夠在零信任安全領(lǐng)域發(fā)揮出更大優(yōu)勢(shì)。

在實(shí)際落地過(guò)程中，只要有網(wǎng)的地方，就有零信任。

張建耀表示，零信任適用于任何需要打破辦公內(nèi)網(wǎng)、外網(wǎng)和互聯(lián)網(wǎng)的混合場(chǎng)景，比如從內(nèi)網(wǎng)到外網(wǎng)、從外網(wǎng)到互聯(lián)網(wǎng)、互聯(lián)網(wǎng)到內(nèi)網(wǎng)，或者多云之間的場(chǎng)景。

因此，零信任不僅限于某些行業(yè)，在政府、金融、制造業(yè)、醫(yī)療、運(yùn)營(yíng)商等行業(yè)都有著非常多的應(yīng)用。

外部環(huán)境的急劇變化也為零信任邁向縱深創(chuàng)造了條件。

云計(jì)算基礎(chǔ)架構(gòu)的異構(gòu)化和混合化加速了邊界消失的進(jìn)程，云網(wǎng)邊端不再?zèng)芪挤置?，在業(yè)務(wù)實(shí)際運(yùn)行中渾然一體。

與此同時(shí)，大數(shù)據(jù)、物聯(lián)網(wǎng)、5G等技術(shù)的迅猛發(fā)展，不斷催生遠(yuǎn)程辦公、業(yè)務(wù)協(xié)同、分支互聯(lián)等應(yīng)用場(chǎng)景，企業(yè)基于邊界的傳統(tǒng)安全架構(gòu)不再可靠，零信任成為必然之選。

結(jié)合聯(lián)軟科技涉足領(lǐng)域，張建耀表示，目前零信任主要有四類(lèi)應(yīng)用場(chǎng)景。

第一，遠(yuǎn)程場(chǎng)景。包括遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維、遠(yuǎn)程開(kāi)發(fā)等一系列場(chǎng)景，不同的場(chǎng)景由于客戶(hù)痛點(diǎn)各異，需要解決的安全問(wèn)題也不盡相同。

第二，全網(wǎng)零信任場(chǎng)景。雖然企業(yè)能夠解決從外網(wǎng)到內(nèi)網(wǎng)訪問(wèn)的安全問(wèn)題，但還需要在從外網(wǎng)切換到內(nèi)網(wǎng)時(shí)，可以做到安全無(wú)縫切換。

因此，內(nèi)網(wǎng)也需要用這樣的機(jī)制來(lái)進(jìn)行零信任接入，這時(shí)就形成了全網(wǎng)零信任場(chǎng)景。

第三，多云訪問(wèn)場(chǎng)景。由于現(xiàn)在很多企業(yè)會(huì)用到公有云、私有云、混合云，在各個(gè)云之間切換時(shí)，這個(gè)場(chǎng)景也會(huì)用到零信任技術(shù)方案。

第四，安全防御和合規(guī)場(chǎng)景。考慮到零信任架構(gòu)安全性較高，很多企業(yè)會(huì)把零信任應(yīng)用在一些安全防御和合規(guī)的場(chǎng)景，比如抗DDoS、暴露面收斂等場(chǎng)景。

秉承NIST零信任理念，一體化解決方案重塑信任體系

2020年8月，美國(guó)NIST（美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究院）發(fā)布了《零信任架構(gòu)》標(biāo)準(zhǔn)。

在張建耀看來(lái)，一個(gè)優(yōu)秀的零信任方案應(yīng)該是NIST模型中闡述的零信任網(wǎng)絡(luò)架構(gòu)。

首先，NIST模型中最關(guān)鍵的核心組件，可以理解為零信任網(wǎng)關(guān)的能力，決定了策略的管理和執(zhí)行質(zhì)量。

其次，NIST模型還有四個(gè)擴(kuò)展功能。

一是，端點(diǎn)安全的能力?？梢岳斫鉃橥ㄟ^(guò)連接非常多的終端，比如PC、移動(dòng)端，甚至很多類(lèi)似于物聯(lián)網(wǎng)設(shè)備的亞終端，都需要進(jìn)行零信任的訪問(wèn)，終端能力必不可少。

二是，數(shù)據(jù)安全能力。企業(yè)需要把業(yè)務(wù)上的一些資源開(kāi)放給終端進(jìn)行訪問(wèn)，終端會(huì)對(duì)這些數(shù)據(jù)進(jìn)行處理。根據(jù)統(tǒng)計(jì)，企業(yè)80%的數(shù)據(jù)會(huì)放在終端處理。因此，數(shù)據(jù)一旦到了終端，數(shù)據(jù)安全就變得非常重要。

三是，身份和訪問(wèn)管理能力。目前很多廠商會(huì)做身份識(shí)別和訪問(wèn)的精細(xì)化管控，需要跟業(yè)務(wù)系統(tǒng)做非常多的對(duì)接來(lái)實(shí)現(xiàn)這種能力。

四是，安全分析能力。終端采集到的大量數(shù)據(jù)，需要通過(guò)大數(shù)據(jù)分析能力來(lái)研判終端的安全屬性，并判斷當(dāng)前終端能夠訪問(wèn)的業(yè)務(wù)資源。

NIST所提出的零信任架構(gòu)，正逐漸被各家安全廠商探索、完善和應(yīng)用到產(chǎn)品之中，并服務(wù)于多個(gè)行業(yè)和領(lǐng)域。

聯(lián)軟科技的安全產(chǎn)品就很好地采用了其中的關(guān)鍵能力。

比如在端點(diǎn)安全領(lǐng)域，聯(lián)軟科技的安全實(shí)踐非常符合NIST的零信任理念。

基于RBAC(Role-Based Access Control，角色的訪問(wèn)控制)，聯(lián)軟科技推出NAC網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，NAC強(qiáng)調(diào)先驗(yàn)證身份，再連接網(wǎng)絡(luò)，設(shè)備安全基線不符可強(qiáng)制下線修復(fù)，這也是動(dòng)態(tài)訪問(wèn)控制的思想，和零信任的核心思想一脈相承。

到了“云+移動(dòng)”的時(shí)代，傳統(tǒng)網(wǎng)絡(luò)邊界被打破，SDP(Software-Defined Perimeter，軟件定義邊界)順勢(shì)出現(xiàn)，實(shí)現(xiàn)更靈活和細(xì)粒度的動(dòng)態(tài)訪問(wèn)控制，聯(lián)軟科技在設(shè)計(jì)EMM產(chǎn)品架構(gòu)時(shí)就采用了APN網(wǎng)關(guān)，強(qiáng)調(diào)服務(wù)隱身和應(yīng)用層安全隧道。

2019年，聯(lián)軟科技推出SDP產(chǎn)品，2021年，推出UEM的ZTNA零信任網(wǎng)絡(luò)訪問(wèn)產(chǎn)品和方案，這些產(chǎn)品和解決方案都是基于NIST零信任架構(gòu)理念，專(zhuān)注終端和網(wǎng)絡(luò)結(jié)合下的安全問(wèn)題，堅(jiān)持永不信任、持續(xù)驗(yàn)證的動(dòng)態(tài)授權(quán)理念。

在零信任接入與管理方面，聯(lián)軟科技也進(jìn)行更為極簡(jiǎn)的設(shè)計(jì)，通過(guò)后臺(tái)系統(tǒng)將全部零信任方案打通，企業(yè)在接入零信任方案時(shí)，只需通過(guò)EMM系統(tǒng)即可，大大提升零信任接入效率。

對(duì)于之前已經(jīng)應(yīng)用聯(lián)軟科技網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)的企業(yè)，只需對(duì)SDP產(chǎn)品進(jìn)行升級(jí)，就能夠具備管控外網(wǎng)設(shè)備接入的能力。

零信任建設(shè)應(yīng)循序漸進(jìn)，重塑企業(yè)安全體系進(jìn)行時(shí)

對(duì)于已經(jīng)構(gòu)建起網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施的企業(yè)，如果要落地零信任方案，是推翻重建還是可以利用原有基礎(chǔ)設(shè)施？

張建耀表示，在實(shí)現(xiàn)零信任的過(guò)程中，很多企業(yè)已經(jīng)具備了相關(guān)的安全能力，比如網(wǎng)絡(luò)準(zhǔn)入、防火墻等，因此在實(shí)施零信任項(xiàng)目的時(shí)候，除了VPN的安全性已經(jīng)不能滿足要求需要進(jìn)行優(yōu)先替換之外，其他零信任核心組件都是可以與原來(lái)的安全設(shè)備進(jìn)行無(wú)縫銜接。

經(jīng)過(guò)多年的實(shí)踐和摸索，聯(lián)軟科技目前已經(jīng)形成了一套完整的零信任落地實(shí)施方案。

首先，引入零信任安全的最佳時(shí)機(jī)，要跟企業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)行同步，因?yàn)橐磺蠭T技術(shù)的變革都是來(lái)自于業(yè)務(wù)的變革。

如今由于移動(dòng)化辦公的興起，這種需求反過(guò)來(lái)推動(dòng)零信任的發(fā)展。

第二，在建設(shè)零信任方案時(shí)，要采用漸進(jìn)式的實(shí)施部署方式。

如果把原有系統(tǒng)全部顛覆改做全網(wǎng)零信任，落地實(shí)施難度非常大。

落地實(shí)施步驟是很關(guān)鍵的，首先要做好整體規(guī)劃，要制定零信任的安全戰(zhàn)略，然后再逐步進(jìn)行遷移?？梢韵葟倪h(yuǎn)程辦公、遠(yuǎn)程運(yùn)維、遠(yuǎn)程開(kāi)發(fā)這類(lèi)應(yīng)用廣泛的場(chǎng)景出發(fā)，然后再過(guò)渡到全網(wǎng)零信任改造。

第三，零信任方案的難點(diǎn)在于數(shù)據(jù)安全。

今年，包括聯(lián)軟科技在內(nèi)的安全商業(yè)聯(lián)盟成員聯(lián)合Forrester咨詢(xún)公司，對(duì)中國(guó)零信任市場(chǎng)及行業(yè)實(shí)踐進(jìn)行了調(diào)研，訪問(wèn)了208名大中型企業(yè)及機(jī)構(gòu)的信息安全決策者，并發(fā)布《零信任最佳實(shí)踐》白皮書(shū)。

白皮書(shū)指出，在CIO眼里，數(shù)據(jù)安全是零信任中的最大難點(diǎn)之一。

數(shù)據(jù)一旦到了終端，通過(guò)怎樣的方式進(jìn)行管控？如何保證數(shù)據(jù)不會(huì)外泄？這些都是擺在CIO面前的緊迫問(wèn)題。

所以，在建設(shè)零信任方案的早期，一定要重點(diǎn)考察零信任產(chǎn)品方案是否具備數(shù)據(jù)安全的能力。

張建耀表示，零信任不是一個(gè)結(jié)果，而是一個(gè)長(zhǎng)期的過(guò)程。

從理念到架構(gòu)，零信任安全已贏得行業(yè)充分認(rèn)可，但要完成實(shí)質(zhì)性的跨越，還應(yīng)在場(chǎng)景化落地方面更上層樓。

零信任場(chǎng)景紛繁復(fù)雜，不同場(chǎng)景對(duì)應(yīng)的解決方案也存在較大差異，因此不能一味貪求大而全，還需要找到適合企業(yè)自身的路徑。

零信任架構(gòu)體系也不光包含安全產(chǎn)品和技術(shù)本身，還涉及到信息基礎(chǔ)環(huán)境、端點(diǎn)、網(wǎng)絡(luò)、業(yè)務(wù)系統(tǒng)、應(yīng)用開(kāi)發(fā)、流程和策略等，整個(gè)體系很難依靠單一廠商構(gòu)建起來(lái)，只有形成標(biāo)準(zhǔn)化組件并建立開(kāi)放合作機(jī)制，才能實(shí)現(xiàn)技術(shù)的良性循環(huán)。

聯(lián)軟科技也將和企業(yè)用戶(hù)、應(yīng)用軟件開(kāi)發(fā)廠商、云安全廠商等一道，共建零信任生態(tài)，共繪網(wǎng)絡(luò)安全新藍(lán)圖。

來(lái)源：科技云報(bào)道

生成海報(bào)

免責(zé)聲明：此文內(nèi)容為第三方自媒體作者發(fā)布的觀察或評(píng)論性文章，所有文字和圖片版權(quán)歸作者所有，且僅代表作者個(gè)人觀點(diǎn)，與極客網(wǎng)無(wú)關(guān)。文章僅供讀者參考，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。投訴郵箱：editor@fromgeek.com。

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。