隨著企業(yè)數(shù)字化轉(zhuǎn)型的需要以及疫情反復(fù)的影響，遠程辦公越來越常態(tài)化。企業(yè)業(yè)務(wù)云化以及移動化，導(dǎo)致企業(yè)傳統(tǒng)的邊界越來越模糊，基于傳統(tǒng)邊界的安全架構(gòu)面臨越來越大的挑戰(zhàn)。這幾年零信任的理念得到了各行各業(yè)廣泛的關(guān)注和實踐。聯(lián)軟科技作為較早的零信任架構(gòu)的實踐者之一，積累了大量的實際落地經(jīng)驗。

6月16日，聯(lián)軟專家線上講述聯(lián)軟零信任的應(yīng)用場景和實踐能力，同時正式發(fā)布聯(lián)軟下一代零信任訪問管理系統(tǒng)。

零信任架構(gòu)的規(guī)劃設(shè)計

1多因素驅(qū)動“零信任”成為安全新風(fēng)口

2021 年被譽為網(wǎng)絡(luò)安全元年，種種因素極大的驅(qū)動了零信任成為安全新風(fēng)口。零信任也無疑成為了整個安全圈包括網(wǎng)絡(luò)安全領(lǐng)域最熱門的詞匯之一。

什么是零信任？零信任既不是單一的產(chǎn)品，也不是單一的技術(shù)，它是一種安全理念以及安全架構(gòu)，核心原則是持續(xù)驗證、永不信任，圍繞著身份為中心，重點關(guān)注應(yīng)用和數(shù)據(jù)，實現(xiàn)持續(xù)驗證加動態(tài)授權(quán)的訪問模式來解決整個訪問過程中的身份、終端應(yīng)用以及數(shù)據(jù)安全等問題。

從理念到架構(gòu)到落地，經(jīng)過這幾年的實踐，?SIM 仍然是實現(xiàn)零信任架構(gòu)的主要技術(shù)方向。“S” 指SDP, 主要是軟件定義邊界，主要解決的是南北向流量，從用戶到訪問資源之間的安全訪問控制；“I”即 IAM ，身份管理，主要用于對用戶的身份和權(quán)限進行統(tǒng)一的管理；“M” 即MSG微隔離，主要解決東西向流量，重點防范黑客攻擊到企業(yè)的內(nèi)部網(wǎng)絡(luò)時，避免橫向攻擊和平移的風(fēng)險。

這三類零信任技術(shù)在行業(yè)內(nèi)都有落地實踐。總的來說，SDP 相對于IAM和微隔離，在落地過程中對企業(yè)現(xiàn)有IT架構(gòu)改動較小，風(fēng)險會更可控。隨著遠程辦公逐漸常態(tài)化，企業(yè)更關(guān)心如何優(yōu)先解決遠程辦公場景下的安全問題，SDP 技術(shù)成為了目前各大零信任解決方案提供商重點發(fā)力的對象，同時也是企業(yè)用戶重點關(guān)注的領(lǐng)域。

2企業(yè)該如何規(guī)劃的零信任架構(gòu)和建設(shè)？

在本次發(fā)布會上，聯(lián)軟從技術(shù)層面、ROI層面和實施層面分別給出了規(guī)劃建議。

■技術(shù)層面：核心關(guān)注整個零信任方案是否具備或集成UEM的能力，UEM主要是統(tǒng)一端點管理，包含涵蓋移動端、PC 端移、IoT設(shè)備，涵蓋所有平臺的操作系統(tǒng)。

■ROI層面：零信任架構(gòu)能否對接現(xiàn)有的安全投資？通過現(xiàn)有的安全能力組件，能夠?qū)⒎治鼋Y(jié)果匯入到零信任的信任評估體系中，做到聯(lián)動的處置以及動態(tài)的授權(quán)。

■實施層面：畢竟零信任是一個新的架構(gòu)和概念，各廠商和企業(yè)用戶也都是在摸索中前進。安全的建設(shè)從來都不是一蹴而就的，必須要整體規(guī)劃和分步建設(shè)，根據(jù)業(yè)務(wù)的重要程度和風(fēng)險影響進行優(yōu)先級的排序。

3聯(lián)軟零信任安全架構(gòu)

在整個建設(shè)中，端點安全能力作為零信任架構(gòu)中最重要的一個環(huán)節(jié)，大多數(shù)的用戶因此會優(yōu)先考慮現(xiàn)有的端點安全安全廠商是不是具備零信的解決方案。聯(lián)軟作為中國企業(yè)端點安全的領(lǐng)導(dǎo)者，積累了龐大的用戶。在聯(lián)軟現(xiàn)有EPP的架構(gòu)體系下，通過擴容擴展能夠快速覆蓋零信任的基礎(chǔ)架構(gòu)。同時EPP作為整個安全評估體系中的一個環(huán)節(jié)，可以實現(xiàn)更好的整合聯(lián)動，更好的運維以及更好的 ROI?。

聯(lián)軟幫助用戶構(gòu)建出了一套先進的并且可落地的零信任架構(gòu)。整個架構(gòu)分為兩個大部分：零信任的核心組件和零信任的安全組件。核心組件包括零信任管理平臺，可信接入網(wǎng)關(guān)、安全客戶端。安全組件主要包含端點安全，數(shù)據(jù)安全、 IAM 、安全分析組件。

零信任架構(gòu)主要是圍繞著身份、接入、設(shè)備、應(yīng)用和數(shù)據(jù)五個方面來進行搭建。

可信身份：全面的身份化，基于身份角色去動態(tài)授權(quán)，能訪問什么、不能訪問什么，做到精細(xì)化的權(quán)限控制。

可信接入：

1、通過 SPA 技術(shù)來實現(xiàn)網(wǎng)絡(luò)入口的隱藏，暴露面的收斂。

2、通過安全代理網(wǎng)關(guān)實現(xiàn)應(yīng)用層的安全加密隧道的建立。

3、通過同一個客戶端、同一個架構(gòu)能夠?qū)崿F(xiàn)一次認(rèn)證，既能實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入的認(rèn)證，也能實現(xiàn)零信任的接入認(rèn)證，全面的保證接入安全。

可信設(shè)備：對終端的安全進行持續(xù)性的檢測、管控以及全面的審計。

可信應(yīng)用：面向業(yè)務(wù)系統(tǒng)能夠最小化、按需授權(quán)。同時在終端側(cè)實現(xiàn)應(yīng)用的黑白名單管理，對于應(yīng)用的安全狀態(tài)去進行檢測，以評分機制的方式來控制訪問權(quán)限。

可信數(shù)據(jù)：聯(lián)軟基于在數(shù)據(jù)安全的一些積累和經(jīng)驗，幫助用戶去梳理場景化的解決方案，最小化的降低安全對業(yè)務(wù)辦理的影響，實現(xiàn)安全和效率的平衡統(tǒng)一。

4聯(lián)軟與零信任網(wǎng)絡(luò)訪問

聯(lián)軟從 2004 年到 2022 年，整個產(chǎn)品的技術(shù)發(fā)展路線和零信任的發(fā)展路線是非常吻合的：

聯(lián)軟零信任產(chǎn)品發(fā)展歷程：

2004，去網(wǎng)絡(luò)邊界化的提出，聯(lián)軟在2004 年的話推出了網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，成為中國較早的網(wǎng)絡(luò)控制準(zhǔn)入廠商

2010，Forrester提出了零信任安全的價理念。2011 年聯(lián)軟推出了基于 RBAC 的NAC 準(zhǔn)入控制技術(shù)

隨后，聯(lián)軟于2013年、2017年分別推出基于零信任理念的 EMM 和 SDP 的產(chǎn)品

2019，聯(lián)軟將EMM、SDP兩個產(chǎn)品做到了統(tǒng)一的整合，一套架構(gòu)，一套平臺，實現(xiàn)移動端和 PC 端的統(tǒng)一零信任管理

2020，基于聯(lián)軟的SDP 、華為的安全分析系統(tǒng)、竹云的IAM系統(tǒng)，形成了一整套的零信任的解決方案，構(gòu)建了零信任的生態(tài)聯(lián)盟，為各行各業(yè)的客戶提供完整的零信任解決方案

作為較早的零信任安全廠商之一，聯(lián)軟始終致力于推動零信任產(chǎn)業(yè)的發(fā)展，目前CSA大中華區(qū)官方授予聯(lián)軟種子講師一名以及認(rèn)證講師兩名，另外聯(lián)軟成立了零信任的安全實驗室，對各行業(yè)零信任安全的應(yīng)用進行深入的研究和落地實踐。聯(lián)軟也積極地參與到整個國內(nèi)零信任的標(biāo)準(zhǔn)制定，并且多次入選行業(yè)機構(gòu)以及媒體評選的零信任領(lǐng)域推薦廠商。

聯(lián)軟科技零信任領(lǐng)域應(yīng)用場景和實踐能力

01場景一
需求描述

遠程訪問環(huán)境，包含遠程辦公、遠程開發(fā)、遠程生產(chǎn)和遠程運維。需要優(yōu)先解決的三個核心問題，包括互聯(lián)網(wǎng)暴露面的收斂、安全訪問控制、數(shù)據(jù)安全。

解決方案

通過聯(lián)軟的零信任解決方案的部署，從七個方面幫助用戶來解決遠程訪問場景下的一些安全問題。

1、基于聯(lián)軟的UDP 協(xié)議的SPA，能夠真正意義上實現(xiàn)網(wǎng)絡(luò)入口的隱藏以及服務(wù)的隱身。

2、全面的身份化：幫助用戶重構(gòu)一個數(shù)字身份，數(shù)字身份會貫穿在整個零信任訪問過程中進行持續(xù)的校驗和驗證。

3、保證接入終端安全：對終端用戶行為進行實時的監(jiān)測。

4、最小化權(quán)限：動態(tài)授權(quán)能訪問的應(yīng)用，進行精細(xì)化的權(quán)限控制，杜絕越權(quán)訪問和特權(quán)訪問。

5、安全代理網(wǎng)關(guān)：為訪問主體、信任的主體和可利用資源建立一個應(yīng)用層的加密隧道，保證在整個傳輸過程中的數(shù)據(jù)安全。

6、數(shù)據(jù)安全：通過數(shù)字水印、沙箱等多種技術(shù)的結(jié)合實現(xiàn)數(shù)據(jù)的保護。

7、安全審計：針對用戶所有的登錄操作、訪問行為，進行全方位的審計，追溯定位安全風(fēng)險。

02場景2
需求描述

分支機構(gòu)接入成本高、管理難。針對企業(yè)多分支多機構(gòu)，大部分的企業(yè)級用戶基本上都是通過 VPN 點對點的方式來實現(xiàn)互聯(lián)互通的。

解決方案

聯(lián)軟方案關(guān)注應(yīng)用、數(shù)據(jù)，在數(shù)據(jù)中心會集中地部署零信任的產(chǎn)品，各個分支機構(gòu)訪問數(shù)據(jù)中心的業(yè)務(wù)，只需要通過零信任客戶端，通過身份認(rèn)證、安全檢查，基于身份和安全狀態(tài)，動態(tài)分配能訪問數(shù)據(jù)中心哪些業(yè)務(wù)，解決單獨部署 VPN 設(shè)備的建設(shè)成本和維護成本，減輕管理員的運維壓力。

03場景3
需求描述

多云/多數(shù)據(jù)中心訪問。傳統(tǒng) VPN 的架構(gòu)很難適應(yīng)于多云多數(shù)據(jù)中心的環(huán)境下統(tǒng)一的安全接入、統(tǒng)一的策略管理、統(tǒng)一的這個安全配置等。

解決方案

通過零信任方案的部署，管理平臺和安全網(wǎng)關(guān)分布式的模塊化部署，可以實現(xiàn)控制平面和數(shù)據(jù)平面的有效分離。用戶通過統(tǒng)一的管理平臺去提供安全認(rèn)證以及授權(quán)管理，減少了運維壓力，提高用戶的使用體驗。

04場景4
需求描述

跨層級/跨部門業(yè)務(wù)訪問。各層級/部門信息化建設(shè)獨立，各層級/部門數(shù)據(jù)共享程度較低，“數(shù)據(jù)孤島”現(xiàn)象嚴(yán)重。

解決方案

聯(lián)軟跨層級跨部門的解決方案，可以對每一個層級或每個部門單獨建設(shè)一套零信任的架構(gòu)。除了提供自身層級/部門的零信任訪問外，如果涉及到跨業(yè)務(wù)中心跨部門去訪問，可以通過聯(lián)軟的同一個客戶端，采用切換門戶的方式來去訪問。

05場景5
需求描述

一機多用。企業(yè)內(nèi)有多張隔離的網(wǎng)絡(luò)，為了保證網(wǎng)絡(luò)的隔離性以及數(shù)據(jù)的隔離性，一般情況下傳統(tǒng)的用戶會在每一張網(wǎng)絡(luò)單獨配置單獨的終端以及 VDI 云桌面，投入成本和運維成本高，且高安全域和低安全域的數(shù)據(jù)都混雜在一個終端上，也可能造成比較高的數(shù)據(jù)泄密風(fēng)險。

解決方案

針對一機多用，聯(lián)軟提供上述零信任的標(biāo)準(zhǔn)化安全能力之外，可以根據(jù)客戶網(wǎng)絡(luò)隔離的情況以及相關(guān)的運維管理要求采取不同的管理方式。在集中管理的模式下，客戶可以通過統(tǒng)一的一套平臺、一個業(yè)務(wù)門戶入口，進行身份的認(rèn)證、終端安全檢查、權(quán)限的管理訪問；如果每個業(yè)務(wù)區(qū)域單獨部署一套零信任的單獨管理平臺，也可以在終端側(cè)通過一個客戶端來進行門戶的快速切換，提高用戶的使用體驗。

從數(shù)據(jù)安全的角度來說，通過終端的沙箱實現(xiàn)本地的數(shù)據(jù)隔離保證數(shù)據(jù)安全。

06場景6
需求描述

移動端?H5?應(yīng)用的免客戶端接入。近幾年越來越多的企業(yè)喜歡用企業(yè)微信、釘釘或者飛書來進行即時通訊、遠程業(yè)務(wù)訪問等，CRM 、H5應(yīng)用的訪問入口，都需要對互聯(lián)網(wǎng)側(cè)單獨開放相應(yīng)的端口以及服務(wù)。無論是從合規(guī)還是企業(yè)自身安全性的要求，都需要實現(xiàn)互聯(lián)網(wǎng)暴露面的收斂。

解決方案

聯(lián)軟?EMM 解決方案，可以在客戶手機上安裝一個客戶端，同時可以通過企業(yè)微信、釘釘?shù)鹊谌綉?yīng)用，集成安全的 SDK 實現(xiàn) H5、App 的應(yīng)用有效收斂互聯(lián)網(wǎng)暴露面，做到設(shè)備管理、數(shù)據(jù)管理、應(yīng)用管理的安全等。

同時針對 H5 應(yīng)用，聯(lián)軟推出了免客戶端接入的解決方案。在聯(lián)軟零信任架構(gòu)中，安全網(wǎng)關(guān)可以對外提供相關(guān)的端口來實現(xiàn)應(yīng)用的接入。用戶在不需要安裝任何客戶端的前提下，通過企業(yè)微信和釘釘認(rèn)證完成之后，訪問 H5 應(yīng)用的時候，先訪問到零信任安全產(chǎn)品，通過產(chǎn)品轉(zhuǎn)給相應(yīng)的 H5 應(yīng)用，實現(xiàn)暴露面收斂，又保證用戶的使用體驗。

下一代零信任訪問管理系統(tǒng):聯(lián)軟Uni SDP P系列

聯(lián)軟Uni SDP P系列遵循聯(lián)軟零信任的架構(gòu)體系，把管理平臺和安全網(wǎng)關(guān)合二為一。P 系列的功能模塊圍繞五個重要的方向，安全接入、可信身份、可信終端、可信應(yīng)用、可信數(shù)據(jù)。基本采用一體機模塊化的部署，可以實現(xiàn)策略的數(shù)據(jù)以及審計信息的同步，保證用戶高可用的體驗，也可以將審計的信息以及相關(guān)的流量信息同步給第三方的平臺。

核心功能

1SPA?的單包授權(quán)

真正在不同的復(fù)雜場景下保證網(wǎng)絡(luò)隱身的有效性。

2可信接入能力

采用純應(yīng)用層的加密技術(shù)，已實現(xiàn)標(biāo)準(zhǔn)密碼加密，以及國產(chǎn)商用密碼的加密。

3接入安全

P系列對終端的安全狀態(tài)去進行持續(xù)性的檢查和校驗，針對身份和終端的環(huán)境進行最小化的授權(quán)訪問應(yīng)用。

4單網(wǎng)通

當(dāng)一個用戶訪問一個網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)的時候，可以限定在同一時間不能夠訪問其他網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)，實現(xiàn)一個網(wǎng)絡(luò)上的邏輯的隔離。對于用戶來說，可以直接只裝一個客戶端來實現(xiàn)多網(wǎng)的訪問。

5多門戶

主要涉及跨部門、跨層級場景，P系列直接通過客戶端快速的切換到另外一個門戶，經(jīng)過身份認(rèn)證、安全檢查去訪問對應(yīng)的業(yè)務(wù)系統(tǒng)，實現(xiàn)通過一個客戶端，多場景、多門戶的安全接入。

6數(shù)據(jù)安全

數(shù)字水印技術(shù)。訪問不同的業(yè)務(wù)系統(tǒng)的時候，加載不同的屏幕水印，聯(lián)軟提供明文水印、矢量水印、二維碼水印、盲水印等多種技術(shù)。

P系列方案的價值在于重塑安全、簡單易用、高效運維。

面向于中小微客戶能夠快速的實施部署和落地零信任安全，支持在資源和設(shè)備齊全的情況下實現(xiàn)一小時的快速部署。

對于并發(fā)量大的客戶，支持負(fù)載均衡聯(lián)動，開放?P?系列產(chǎn)品到互聯(lián)網(wǎng)側(cè)的權(quán)限以及到內(nèi)網(wǎng)側(cè)應(yīng)用的權(quán)限。經(jīng)過身份認(rèn)證一系列的安全規(guī)則檢查后，可以快速訪問相關(guān)業(yè)務(wù)。

總結(jié)

以上是生活随笔為你收集整理的“重塑安全边界，揭秘零信任业务保障”，联软科技下一代零信任访问管理系统发布的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。