由中国网络安全产业联盟(CCIA)、科技云报道共同主办的“解码2022中国网安强星”活动正式拉开帷幕。本次活动以“网安力量 照见未来”为主题,邀请荣获“2022年中国网安产业竞争力50强、成长之星、潜力之星”的企业高层做客直播间,从行业、技术、市场等多角度探讨网安相关话题,探究企业背后的创新力量和安全实力。
伴随新一轮科技革命和产业变革深入发展,各行各业将新型数字技术与实体经济集成融合,加速业务优化升级和创新。
然而,随着企业加大数字化的投入,应用越来越复杂、接入越来越多元、边界越来越模糊、安全暴露面不断增加,传统的边界安全架构已经不堪重负,企业迫切需要新一代的安全架构以应对数字化时代的多元复杂挑战。
零信任架构作为一种网络安全防御架构,使更细粒度和更高效的安全访问控制成为可能,成为企业保障业务连续性和应对不确定性的关键。
8月11日,联软科技联合创始人张建耀做客“解码2022中国网安强星”直播间,与大家分享如何为企业构建零信任安全边界。
从网络准入控制先驱
网络安全市场正走向一个全新的大时代,这是整个国家、社会、企业在发展过程中必然经历的过程。
基于此,早在十多年前,联软科技就已洞察到了这一变化趋势,并率先提出了“构建可控的互联世界”的愿景。
凭借18年的积累,联软科技在客户的真实场景中不仅总结出丰富的实践经验,还打磨出有深度、有生命力的系列化产品,比如:网络接入设备快速自动发现与定位技术、旁路式/准旁路式准入控制技术、基于摆渡技术的网间数据交换产品、矢量水印技术、AI防病毒引擎等,形成了既高且厚的竞争壁垒。
近年来,在疫情这只“黑天鹅”的影响下,网络安全走到了变革的十字路口,行业开始重新审视安全问题。
作为全球较早的网络准入控制厂商,联软科技早在2004年就开始做网络准入控制,其NAC产品的动态访问控制思想,和零信任的核心思想一脉相承。
2016年,联软科技基于“构建可控的互联世界”的愿景,提出“可信数字网络架构TDNA (Trusted Digital Network Architecture)”理念,采用零信任安全方案大幅减少风险暴露面,通过对抗性技术加大攻击难度和攻击成本,降低部署维护成本,帮助企业实现安全高效办公。
目前,联软科技的安全产品已在银行、保险、证券等金融各细分领域得到广泛应用,在端点安全产品在金融领域市场份额居行业前列,并在制造业、运营商、党政军、医疗、能源和交通等行业构建了较强的市场影响力,已服务超过3000家高端行业客户。
在端点安全、边界安全、云安全、零信任等安全领域的不断深耕,让联软科技获得行业高度认可,已连续三年入选中国网络安全产业联盟(CCIA)“中国网络安全竞争力50强”。
早在2010年,Forrester分析师John Kindervag就首次提出关于零信任安全的三大观点:一是不再以清晰的边界来划分信任或不信任的设备;二是不再区别信任或不信任的网络;三是不再有信任或不信任的用户。
因敢于应对行业痛点,零信任安全从一诞生即吸睛无数,但囿于时机尚不成熟,并未迅速落地生根。
直到后来Google BeyondCorp项目成功验证了零信任安全在大型网络场景下的可行性,越来越多的厂商躬身入局,包括金融业在内的诸多基于零信任安全的行业解决方案也逐渐增加,才吹响了整个业界全面实践的号角。
张建耀介绍,联软科技发力零信任安全,并不是追求技术热点的盲从行为,而是基于自身技术优势自然而然的结果。
从联软科技18年的发展历程来看,并没有像大部分安全厂商最后都进入到“全家桶”式的集成安全解决方案这同一条河流,而是保持一定的战略定力,聚焦在了一些细分技术方向,比如终端安全、数据安全以及零信任等领域,将自身的“长板”变得更长。
联软科技从2004年成立以来,就找准了准入控制和终端安全管理两大领域,是国内第一家涉足准入控制的厂商。
目前,联软科技这两个领域在中国金融行市场的总体市占率位列第一,其中在证券、基金、期货等行业市占率达到80%左右,在银行业市占率达到60%以上。
2019年,联软科技与魔方安全合并,获得了以攻击者视角对全网暴露面进行主动持续监控与管理的能力,正式进入网络攻防领域,以改变现阶段攻防力量不平衡的网络安全环境。
在谈到联软科技为何要涉足零信任领域时,张建耀表示,近年来网络基础设施发生了巨大变化,传统的内网、外网、专网、互联网等网络边界十分清晰。
在新的网络架构和云计算出现后,网络边界日益模糊,网络接入控制需要适应这种技术上的变化,所以就自然地进行平滑升级,切换到了零信任安全接入产品和解决方案这一赛道。
这从一定程度上也延续了联软科技在准入控制和终端安全管理的技术积累,使其能够在零信任安全领域发挥出更大优势。
张建耀表示,零信任适用于任何需要打破办公内网、外网和互联网的混合场景,比如从内网到外网、从外网到互联网、互联网到内网,或者多云之间的场景。
因此,零信任不仅限于某些行业,在政府、金融、制造业、医疗、运营商等行业都有着非常多的应用。
云计算基础架构的异构化和混合化加速了边界消失的进程,云网边端不再泾渭分明,在业务实际运行中浑然一体。
与此同时,大数据、物联网、5G等技术的迅猛发展,不断催生远程办公、业务协同、分支互联等应用场景,企业基于边界的传统安全架构不再可靠,零信任成为必然之选。
结合联软科技涉足领域,张建耀表示,目前零信任主要有四类应用场景。
第一,远程场景。 包括远程办公、远程运维、远程开发等一系列场景,不同的场景由于客户痛点各异,需要解决的安全问题也不尽相同。
第二,全网零信任场景。 虽然企业能够解决从外网到内网访问的安全问题,但还需要在从外网切换到内网时,可以做到安全无缝切换。
因此,内网也需要用这样的机制来进行零信任接入,这时就形成了全网零信任场景。
第三,多云访问场景。 由于现在很多企业会用到公有云、私有云、混合云,在各个云之间切换时,这个场景也会用到零信任技术方案。
第四,安全防御和合规场景。 考虑到零信任架构安全性较高,很多企业会把零信任应用在一些 安全防御和合规的场景 ,比如抗DDoS、暴露面收敛等场景。
2020年8月,美国NIST(美国国家标准技术研究院)发布了《零信任架构》标准。
在张建耀看来,一个优秀的零信任方案应该是NIST模型中阐述的零信任网络架构。
首先,NIST模型中最关键的核心组件,可以理解为零信任网关的能力,决定了策略的管理和执行质量。
一是,端点安全的能力。可以理解为通过连接非常多的终端, 比如PC、移动端,甚至很多类似于物联网设备的亚终端,都需要进行零信任的访问,终端能力必不可少。
二是,数据安全能力。 企业需要把业务上的一些资源开放给终端进行访问,终端会对这些数据进行处理。根据统计,企业80%的数据会放在终端处理。 因此,数据一旦到了终端,数据安全就变得非常重要。
三是,身份和访问管理能力。 目前很多厂商会做身份识别和访问的精细化管控,需要跟业务系统做非常多的对接来实现这种能力。
四是,安全分析能力。终端采集到的大量数据,需要通过大数据分析能力来研判终端的安全属性,并判断当前终端能够访问的业务资源。
NIST所提出的零信任架构,正逐渐被各家安全厂商探索、完善和应用到产品之中,并服务于多个行业和领域。
比如在端点安全领域,联软科技的安全实践非常符合NIST的零信任理念。
基于RBAC(Role-Based Access Control,角色的访问控制),联软科技推出NAC网络准入控制系统,NAC强调先验证身份,再连接网络,设备安全基线不符可强制下线修复,这也是动态访问控制的思想,和零信任的核心思想一脉相承。
到了“云+移动”的时代,传统网络边界被打破,SDP(Software-Defined Perimeter,软件定义边界)顺势出现,实现更灵活和细粒度的动态访问控制,联软科技在设计EMM产品架构时就采用了APN网关,强调服务隐身和应用层安全隧道。
2019年,联软科技推出SDP产品,2021年,推出UEM的ZTNA零信任网络访问产品和方案,这些产品和解决方案都是基于NIST零信任架构理念,专注终端和网络结合下的安全问题,坚持永不信任、持续验证的动态授权理念。
在零信任接入与管理方面,联软科技也进行更为极简的设计,通过后台系统将全部零信任方案打通,企业在接入零信任方案时,只需通过EMM系统即可,大大提升零信任接入效率。
对于之前已经应用联软科技网络准入控制系统的企业,只需对SDP产品进行升级,就能够具备管控外网设备接入的能力。
对于已经构建起网络安全基础设施的企业,如果要落地零信任方案,是推翻重建还是可以利用原有基础设施?
张建耀表示,在实现零信任的过程中,很多企业已经具备了相关的安全能力,比如网络准入、防火墙等,因此在实施零信任项目的时候,除了VPN的安全性已经不能满足要求需要进行优先替换之外,其他零信任核心组件都是可以与原来的安全设备进行无缝衔接。
经过多年的实践和摸索,联软科技目前已经形成了一套完整的零信任落地实施方案。
首先,引入零信任安全的最佳时机,要跟企业的数字化转型进行同步,因为一切IT技术的变革都是来自于业务的变革。
如今由于移动化办公的兴起,这种需求反过来推动零信任的发展。
第二,在建设零信任方案时,要采用渐进式的实施部署方式。
如果把原有系统全部颠覆改做全网零信任,落地实施难度非常大。
落地实施步骤是很关键的,首先要做好整体规划,要制定零信任的安全战略,然后再逐步进行迁移。可以先从远程办公、远程运维、远程开发这类应用广泛的场景出发,然后再过渡到全网零信任改造。
今年,包括联软科技在内的安全商业联盟成员联合Forrester咨询公司,对中国零信任市场及行业实践进行了调研,访问了208名大中型企业及机构的信息安全决策者,并发布《零信任最佳实践》白皮书。
白皮书指出,在CIO眼里,数据安全是零信任中的最大难点之一。
数据一旦到了终端,通过怎样的方式进行管控?如何保证数据不会外泄?这些都是摆在CIO面前的紧迫问题。
所以,在建设零信任方案的早期,一定要重点考察零信任产品方案是否具备数据安全的能力。
张建耀表示,零信任不是一个结果,而是一个长期的过程。
从理念到架构,零信任安全已赢得行业充分认可,但要完成实质性的跨越,还应在场景化落地方面更上层楼。
零信任场景纷繁复杂,不同场景对应的解决方案也存在较大差异,因此不能一味贪求大而全,还需要找到适合企业自身的路径。
零信任架构体系也不光包含安全产品和技术本身,还涉及到信息基础环境、端点、网络、业务系统、应用开发、流程和策略等,整个体系很难依靠单一厂商构建起来,只有形成标准化组件并建立开放合作机制,才能实现技术的良性循环。
联软科技也将和企业用户、应用软件开发厂商、云安全厂商等一道,共建零信任生态,共绘网络安全新蓝图。
