隨著(zhù)企業(yè)數字化轉型的需要以及疫情反復的影響，遠程辦公越來(lái)越常態(tài)化。企業(yè)業(yè)務(wù)云化以及移動(dòng)化，導致企業(yè)傳統的邊界越來(lái)越模糊，基于傳統邊界的安全架構面臨越來(lái)越大的挑戰。這幾年零信任的理念得到了各行各業(yè)廣泛的關(guān)注和實(shí)踐。聯(lián)軟科技作為較早的零信任架構的實(shí)踐者之一，積累了大量的實(shí)際落地經(jīng)驗。

6月16日，聯(lián)軟專(zhuān)家線(xiàn)上講述聯(lián)軟零信任的應用場(chǎng)景和實(shí)踐能力，同時(shí)正式發(fā)布聯(lián)軟下一代零信任訪(fǎng)問(wèn)管理系統。

零信任架構的規劃設計

1多因素驅動(dòng)“零信任”成為安全新風(fēng)口

2021 年被譽(yù)為網(wǎng)絡(luò )安全元年，種種因素極大的驅動(dòng)了零信任成為安全新風(fēng)口。零信任也無(wú)疑成為了整個(gè)安全圈包括網(wǎng)絡(luò )安全領(lǐng)域最熱門(mén)的詞匯之一。

什么是零信任？零信任既不是單一的產(chǎn)品，也不是單一的技術(shù)，它是一種安全理念以及安全架構，核心原則是持續驗證、永不信任，圍繞著(zhù)身份為中心，重點(diǎn)關(guān)注應用和數據，實(shí)現持續驗證加動(dòng)態(tài)授權的訪(fǎng)問(wèn)模式來(lái)解決整個(gè)訪(fǎng)問(wèn)過(guò)程中的身份、終端應用以及數據安全等問(wèn)題。

從理念到架構到落地，經(jīng)過(guò)這幾年的實(shí)踐， SIM 仍然是實(shí)現零信任架構的主要技術(shù)方向。“S” 指SDP, 主要是軟件定義邊界，主要解決的是南北向流量，從用戶(hù)到訪(fǎng)問(wèn)資源之間的安全訪(fǎng)問(wèn)控制；“I”即 IAM ，身份管理，主要用于對用戶(hù)的身份和權限進(jìn)行統一的管理；“M” 即MSG微隔離，主要解決東西向流量，重點(diǎn)防范黑客攻擊到企業(yè)的內部網(wǎng)絡(luò )時(shí)，避免橫向攻擊和平移的風(fēng)險。

這三類(lèi)零信任技術(shù)在行業(yè)內都有落地實(shí)踐?？偟膩?lái)說(shuō)，SDP 相對于IAM和微隔離，在落地過(guò)程中對企業(yè)現有IT架構改動(dòng)較小，風(fēng)險會(huì )更可控。隨著(zhù)遠程辦公逐漸常態(tài)化，企業(yè)更關(guān)心如何優(yōu)先解決遠程辦公場(chǎng)景下的安全問(wèn)題，SDP 技術(shù)成為了目前各大零信任解決方案提供商重點(diǎn)發(fā)力的對象，同時(shí)也是企業(yè)用戶(hù)重點(diǎn)關(guān)注的領(lǐng)域。

2企業(yè)該如何規劃的零信任架構和建設？

在本次發(fā)布會(huì )上，聯(lián)軟從技術(shù)層面、ROI層面和實(shí)施層面分別給出了規劃建議。

■技術(shù)層面：核心關(guān)注整個(gè)零信任方案是否具備或集成UEM的能力，UEM主要是統一端點(diǎn)管理，包含涵蓋移動(dòng)端、PC 端移、IoT設備，涵蓋所有平臺的操作系統。

■ROI層面：零信任架構能否對接現有的安全投資？通過(guò)現有的安全能力組件，能夠將分析結果匯入到零信任的信任評估體系中，做到聯(lián)動(dòng)的處置以及動(dòng)態(tài)的授權。

■實(shí)施層面：畢竟零信任是一個(gè)新的架構和概念，各廠(chǎng)商和企業(yè)用戶(hù)也都是在摸索中前進(jìn)。安全的建設從來(lái)都不是一蹴而就的，必須要整體規劃和分步建設，根據業(yè)務(wù)的重要程度和風(fēng)險影響進(jìn)行優(yōu)先級的排序。

3聯(lián)軟零信任安全架構

在整個(gè)建設中，端點(diǎn)安全能力作為零信任架構中最重要的一個(gè)環(huán)節，大多數的用戶(hù)因此會(huì )優(yōu)先考慮現有的端點(diǎn)安全安全廠(chǎng)商是不是具備零信的解決方案。聯(lián)軟作為中國企業(yè)端點(diǎn)安全的領(lǐng)導者，積累了龐大的用戶(hù)。在聯(lián)軟現有EPP的架構體系下，通過(guò)擴容擴展能夠快速覆蓋零信任的基礎架構。同時(shí)EPP作為整個(gè)安全評估體系中的一個(gè)環(huán)節，可以實(shí)現更好的整合聯(lián)動(dòng)，更好的運維以及更好的 ROI 。

聯(lián)軟幫助用戶(hù)構建出了一套先進(jìn)的并且可落地的零信任架構。整個(gè)架構分為兩個(gè)大部分：零信任的核心組件和零信任的安全組件。核心組件包括零信任管理平臺，可信接入網(wǎng)關(guān)、安全客戶(hù)端。安全組件主要包含端點(diǎn)安全，數據安全、 IAM 、安全分析組件。

零信任架構主要是圍繞著(zhù)身份、接入、設備、應用和數據五個(gè)方面來(lái)進(jìn)行搭建。

可信身份：全面的身份化，基于身份角色去動(dòng)態(tài)授權，能訪(fǎng)問(wèn)什么、不能訪(fǎng)問(wèn)什么，做到精細化的權限控制。

可信接入：

1、通過(guò) SPA 技術(shù)來(lái)實(shí)現網(wǎng)絡(luò )入口的隱藏，暴露面的收斂。

2、通過(guò)安全代理網(wǎng)關(guān)實(shí)現應用層的安全加密隧道的建立。

3、通過(guò)同一個(gè)客戶(hù)端、同一個(gè)架構能夠實(shí)現一次認證，既能實(shí)現網(wǎng)絡(luò )準入的認證，也能實(shí)現零信任的接入認證，全面的保證接入安全。

可信設備：對終端的安全進(jìn)行持續性的檢測、管控以及全面的審計。

可信應用：面向業(yè)務(wù)系統能夠最小化、按需授權。同時(shí)在終端側實(shí)現應用的黑白名單管理，對于應用的安全狀態(tài)去進(jìn)行檢測，以評分機制的方式來(lái)控制訪(fǎng)問(wèn)權限。

可信數據：聯(lián)軟基于在數據安全的一些積累和經(jīng)驗，幫助用戶(hù)去梳理場(chǎng)景化的解決方案，最小化的降低安全對業(yè)務(wù)辦理的影響，實(shí)現安全和效率的平衡統一。

4聯(lián)軟與零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)

聯(lián)軟從 2004 年到 2022 年，整個(gè)產(chǎn)品的技術(shù)發(fā)展路線(xiàn)和零信任的發(fā)展路線(xiàn)是非常吻合的：

聯(lián)軟零信任產(chǎn)品發(fā)展歷程：

2004，去網(wǎng)絡(luò )邊界化的提出，聯(lián)軟在2004 年的話(huà)推出了網(wǎng)絡(luò )準入控制系統，成為中國較早的網(wǎng)絡(luò )控制準入廠(chǎng)商

2010，Forrester提出了零信任安全的價(jià)理念。2011 年聯(lián)軟推出了基于 RBAC 的NAC 準入控制技術(shù)

隨后，聯(lián)軟于2013年、2017年分別推出基于零信任理念的 EMM 和 SDP 的產(chǎn)品

2019，聯(lián)軟將EMM、SDP兩個(gè)產(chǎn)品做到了統一的整合，一套架構，一套平臺，實(shí)現移動(dòng)端和 PC 端的統一零信任管理

2020，基于聯(lián)軟的SDP 、華為的安全分析系統、竹云的IAM系統，形成了一整套的零信任的解決方案，構建了零信任的生態(tài)聯(lián)盟，為各行各業(yè)的客戶(hù)提供完整的零信任解決方案

作為較早的零信任安全廠(chǎng)商之一，聯(lián)軟始終致力于推動(dòng)零信任產(chǎn)業(yè)的發(fā)展，目前CSA大中華區官方授予聯(lián)軟種子講師一名以及認證講師兩名，另外聯(lián)軟成立了零信任的安全實(shí)驗室，對各行業(yè)零信任安全的應用進(jìn)行深入的研究和落地實(shí)踐。聯(lián)軟也積極地參與到整個(gè)國內零信任的標準制定，并且多次入選行業(yè)機構以及媒體評選的零信任領(lǐng)域推薦廠(chǎng)商。

聯(lián)軟科技零信任領(lǐng)域應用場(chǎng)景和實(shí)踐能力

01場(chǎng)景一
需求描述

遠程訪(fǎng)問(wèn)環(huán)境，包含遠程辦公、遠程開(kāi)發(fā)、遠程生產(chǎn)和遠程運維。需要優(yōu)先解決的三個(gè)核心問(wèn)題，包括互聯(lián)網(wǎng)暴露面的收斂、安全訪(fǎng)問(wèn)控制、數據安全。

解決方案

通過(guò)聯(lián)軟的零信任解決方案的部署，從七個(gè)方面幫助用戶(hù)來(lái)解決遠程訪(fǎng)問(wèn)場(chǎng)景下的一些安全問(wèn)題。

1、基于聯(lián)軟的UDP協(xié)議的SPA，能夠真正意義上實(shí)現網(wǎng)絡(luò )入口的隱藏以及服務(wù)的隱身。

2、全面的身份化：幫助用戶(hù)重構一個(gè)數字身份，數字身份會(huì )貫穿在整個(gè)零信任訪(fǎng)問(wèn)過(guò)程中進(jìn)行持續的校驗和驗證。

3、保證接入終端安全：對終端用戶(hù)行為進(jìn)行實(shí)時(shí)的監測。

4、最小化權限：動(dòng)態(tài)授權能訪(fǎng)問(wèn)的應用，進(jìn)行精細化的權限控制，杜絕越權訪(fǎng)問(wèn)和特權訪(fǎng)問(wèn)。

5、安全代理網(wǎng)關(guān)：為訪(fǎng)問(wèn)主體、信任的主體和可利用資源建立一個(gè)應用層的加密隧道，保證在整個(gè)傳輸過(guò)程中的數據安全。

6、數據安全：通過(guò)數字水印、沙箱等多種技術(shù)的結合實(shí)現數據的保護。

7、安全審計：針對用戶(hù)所有的登錄操作、訪(fǎng)問(wèn)行為，進(jìn)行全方位的審計，追溯定位安全風(fēng)險。

02場(chǎng)景2
需求描述

分支機構接入成本高、管理難。針對企業(yè)多分支多機構，大部分的企業(yè)級用戶(hù)基本上都是通過(guò) VPN 點(diǎn)對點(diǎn)的方式來(lái)實(shí)現互聯(lián)互通的。

解決方案

聯(lián)軟方案關(guān)注應用、數據，在數據中心會(huì )集中地部署零信任的產(chǎn)品，各個(gè)分支機構訪(fǎng)問(wèn)數據中心的業(yè)務(wù)，只需要通過(guò)零信任客戶(hù)端，通過(guò)身份認證、安全檢查，基于身份和安全狀態(tài)，動(dòng)態(tài)分配能訪(fǎng)問(wèn)數據中心哪些業(yè)務(wù)，解決單獨部署 VPN 設備的建設成本和維護成本，減輕管理員的運維壓力。

03場(chǎng)景3
需求描述

多云/多數據中心訪(fǎng)問(wèn)。傳統 VPN 的架構很難適應于多云多數據中心的環(huán)境下統一的安全接入、統一的策略管理、統一的這個(gè)安全配置等。

解決方案

通過(guò)零信任方案的部署，管理平臺和安全網(wǎng)關(guān)分布式的模塊化部署，可以實(shí)現控制平面和數據平面的有效分離。用戶(hù)通過(guò)統一的管理平臺去提供安全認證以及授權管理，減少了運維壓力，提高用戶(hù)的使用體驗。

04場(chǎng)景4
需求描述

跨層級/跨部門(mén)業(yè)務(wù)訪(fǎng)問(wèn)。各層級/部門(mén)信息化建設獨立，各層級/部門(mén)數據共享程度較低，“數據孤島”現象嚴重。

解決方案

聯(lián)軟跨層級跨部門(mén)的解決方案，可以對每一個(gè)層級或每個(gè)部門(mén)單獨建設一套零信任的架構。除了提供自身層級/部門(mén)的零信任訪(fǎng)問(wèn)外，如果涉及到跨業(yè)務(wù)中心跨部門(mén)去訪(fǎng)問(wèn)，可以通過(guò)聯(lián)軟的同一個(gè)客戶(hù)端，采用切換門(mén)戶(hù)的方式來(lái)去訪(fǎng)問(wèn)。

05場(chǎng)景5
需求描述

一機多用。企業(yè)內有多張隔離的網(wǎng)絡(luò )，為了保證網(wǎng)絡(luò )的隔離性以及數據的隔離性，一般情況下傳統的用戶(hù)會(huì )在每一張網(wǎng)絡(luò )單獨配置單獨的終端以及 VDI 云桌面，投入成本和運維成本高，且高安全域和低安全域的數據都混雜在一個(gè)終端上，也可能造成比較高的數據泄密風(fēng)險。

解決方案

針對一機多用，聯(lián)軟提供上述零信任的標準化安全能力之外，可以根據客戶(hù)網(wǎng)絡(luò )隔離的情況以及相關(guān)的運維管理要求采取不同的管理方式。在集中管理的模式下，客戶(hù)可以通過(guò)統一的一套平臺、一個(gè)業(yè)務(wù)門(mén)戶(hù)入口，進(jìn)行身份的認證、終端安全檢查、權限的管理訪(fǎng)問(wèn)；如果每個(gè)業(yè)務(wù)區域單獨部署一套零信任的單獨管理平臺，也可以在終端側通過(guò)一個(gè)客戶(hù)端來(lái)進(jìn)行門(mén)戶(hù)的快速切換，提高用戶(hù)的使用體驗。

從數據安全的角度來(lái)說(shuō)，通過(guò)終端的沙箱實(shí)現本地的數據隔離保證數據安全。

06場(chǎng)景6
需求描述

移動(dòng)端 H5 應用的免客戶(hù)端接入。近幾年越來(lái)越多的企業(yè)喜歡用企業(yè)微信、釘釘或者飛書(shū)來(lái)進(jìn)行即時(shí)通訊、遠程業(yè)務(wù)訪(fǎng)問(wèn)等，CRM 、H5應用的訪(fǎng)問(wèn)入口，都需要對互聯(lián)網(wǎng)側單獨開(kāi)放相應的端口以及服務(wù)。無(wú)論是從合規還是企業(yè)自身安全性的要求，都需要實(shí)現互聯(lián)網(wǎng)暴露面的收斂。

解決方案

聯(lián)軟 EMM 解決方案，可以在客戶(hù)手機上安裝一個(gè)客戶(hù)端，同時(shí)可以通過(guò)企業(yè)微信、釘釘等第三方應用，集成安全的 SDK 實(shí)現 H5、App 的應用有效收斂互聯(lián)網(wǎng)暴露面，做到設備管理、數據管理、應用管理的安全等。

同時(shí)針對 H5 應用，聯(lián)軟推出了免客戶(hù)端接入的解決方案。在聯(lián)軟零信任架構中，安全網(wǎng)關(guān)可以對外提供相關(guān)的端口來(lái)實(shí)現應用的接入。用戶(hù)在不需要安裝任何客戶(hù)端的前提下，通過(guò)企業(yè)微信和釘釘認證完成之后，訪(fǎng)問(wèn) H5 應用的時(shí)候，先訪(fǎng)問(wèn)到零信任安全產(chǎn)品，通過(guò)產(chǎn)品轉給相應的 H5 應用，實(shí)現暴露面收斂，又保證用戶(hù)的使用體驗。

下一代零信任訪(fǎng)問(wèn)管理系統:聯(lián)軟Uni SDP P系列

聯(lián)軟Uni SDP P系列遵循聯(lián)軟零信任的架構體系，把管理平臺和安全網(wǎng)關(guān)合二為一。P 系列的功能模塊圍繞五個(gè)重要的方向，安全接入、可信身份、可信終端、可信應用、可信數據?；静捎?strong>一體機模塊化的部署，可以實(shí)現策略的數據以及審計信息的同步，保證用戶(hù)高可用的體驗，也可以將審計的信息以及相關(guān)的流量信息同步給第三方的平臺。

核心功能

1SPA 的單包授權

真正在不同的復雜場(chǎng)景下保證網(wǎng)絡(luò )隱身的有效性。

2可信接入能力

采用純應用層的加密技術(shù)，已實(shí)現標準密碼加密，以及國產(chǎn)商用密碼的加密。

3接入安全

P系列對終端的安全狀態(tài)去進(jìn)行持續性的檢查和校驗，針對身份和終端的環(huán)境進(jìn)行最小化的授權訪(fǎng)問(wèn)應用。

4單網(wǎng)通

當一個(gè)用戶(hù)訪(fǎng)問(wèn)一個(gè)網(wǎng)絡(luò )的業(yè)務(wù)系統的時(shí)候，可以限定在同一時(shí)間不能夠訪(fǎng)問(wèn)其他網(wǎng)絡(luò )的業(yè)務(wù)系統，實(shí)現一個(gè)網(wǎng)絡(luò )上的邏輯的隔離。對于用戶(hù)來(lái)說(shuō)，可以直接只裝一個(gè)客戶(hù)端來(lái)實(shí)現多網(wǎng)的訪(fǎng)問(wèn)。

5多門(mén)戶(hù)

主要涉及跨部門(mén)、跨層級場(chǎng)景，P系列直接通過(guò)客戶(hù)端快速的切換到另外一個(gè)門(mén)戶(hù)，經(jīng)過(guò)身份認證、安全檢查去訪(fǎng)問(wèn)對應的業(yè)務(wù)系統，實(shí)現通過(guò)一個(gè)客戶(hù)端，多場(chǎng)景、多門(mén)戶(hù)的安全接入。

6數據安全

數字水印技術(shù)。訪(fǎng)問(wèn)不同的業(yè)務(wù)系統的時(shí)候，加載不同的屏幕水印，聯(lián)軟提供明文水印、矢量水印、二維碼水印、盲水印等多種技術(shù)。

P系列方案的價(jià)值在于重塑安全、簡(jiǎn)單易用、高效運維。

面向于中小微客戶(hù)能夠快速的實(shí)施部署和落地零信任安全，支持在資源和設備齊全的情況下實(shí)現一小時(shí)的快速部署。

對于并發(fā)量大的客戶(hù)，支持負載均衡聯(lián)動(dòng)，開(kāi)放 P 系列產(chǎn)品到互聯(lián)網(wǎng)側的權限以及到內網(wǎng)側應用的權限。經(jīng)過(guò)身份認證一系列的安全規則檢查后，可以快速訪(fǎng)問(wèn)相關(guān)業(yè)務(wù)。

《2023零信任安全解決方案的白皮書(shū)》重磅發(fā)布，掃碼可領(lǐng)?。?/strong>