12月4日-12月6日，2020云安全聯(lián)盟大中華區大會(huì )于上海舉行，在今日云上（線(xiàn)上）論壇中 ，聯(lián)軟科技副總裁黃國忠分享了零信任SDP與數據安全的經(jīng)驗和見(jiàn)解,以下為論壇主持人提問(wèn)和聯(lián)軟科技回答內容：

01

Q:先請大家簡(jiǎn)要介紹下各自的公司情況。

A:聯(lián)軟科技是中國企業(yè)端點(diǎn)安全市場(chǎng)領(lǐng)域的代表性廠(chǎng)商之一，一直致力于幫客戶(hù)提供端點(diǎn)安全、邊界安全、云安全服務(wù)三大領(lǐng)域。2019年，聯(lián)軟科技與魔方安全合并，獲得了以攻擊者視角對全網(wǎng)暴露面進(jìn)行主動(dòng)持續監控與管理的能力，正式進(jìn)入網(wǎng)絡(luò )攻防領(lǐng)域，致力于以攻防全局視角，改變現階段攻防力量不平衡的網(wǎng)絡(luò )安全環(huán)境。

02

Q:近年以來(lái)，網(wǎng)絡(luò )安全隨著(zhù)應用技術(shù)、理念的不斷創(chuàng )新發(fā)展，有了很大的改變。包括“傳統”、“新一代”等時(shí)代差的關(guān)鍵詞出現，大家對這一點(diǎn)怎么看？對未來(lái)網(wǎng)絡(luò )安全對發(fā)展有什么看法？

A:1.數字化轉型和云大物智移等為代表的新一代技術(shù)，邊界模糊性、資產(chǎn)海量化、環(huán)境復雜、業(yè)務(wù)關(guān)鍵、充滿(mǎn)新的不確定風(fēng)險，傳統網(wǎng)絡(luò )為中心的基于邊界的防護體系正在瓦解或逐漸失效，外掛式、基于簽名的安全產(chǎn)品和技術(shù)難以為繼。

2.數字化或新基建也好，會(huì )出現新的資產(chǎn)、新的漏洞和威脅，不可識別和感知的風(fēng)險占主流，當前防御理論是威脅驅動(dòng)的，威脅不可見(jiàn)如何抵御高強度攻擊。

3.隨著(zhù)網(wǎng)絡(luò )安全上升到國家安全，包括從2016年開(kāi)始的實(shí)戰化攻防演習，安全建設的導向從合規驅動(dòng)走向實(shí)效驅動(dòng)，安全的本質(zhì)是攻防兩端力量的較量，歸根到底看雙方的成本，而要具備戰時(shí)的防御能力，對一般單位來(lái)講投入成本太高，需要一種更經(jīng)濟的方法。

基于以上幾點(diǎn)，我認為新一代的網(wǎng)絡(luò )安全架構，必須改變攻防不對稱(chēng)的局面，通過(guò)構建低成本防御體系來(lái)指數級提高攻擊者成本，安全必須有ROI（投資回報）、另外安全為業(yè)務(wù)提供支撐作用，需要業(yè)務(wù)深度融合，不能阻礙業(yè)務(wù)的發(fā)展，以零信任為代表的新的安全架構或方法以從不信任，始終校驗的核心思想，摒棄傳統的靜態(tài)的隱式信任，在網(wǎng)絡(luò )邊界的基礎上構建以上下文為中心的邏輯邊界，能極大收斂暴露面、構建端到端的以最小權限為原則的應用級動(dòng)態(tài)訪(fǎng)問(wèn)控制體系，將業(yè)務(wù)與安全深度融合，大大提升攻擊者的成本。未來(lái)零信任體系將和現有防御體系充分結合和深度融合，暴露面收斂后，內外部攻擊的智能大數據分析非常重要，這是我的看法。

03

Q:作為一家終端安全的廠(chǎng)商，聯(lián)軟為何做零信任或SDP？

A:我們做零信任或SDP不是蹭熱點(diǎn)，而是順應了IT架構和客戶(hù)需求的變化，很自然的平滑升級：

首先，零信任或SDP并不是沒(méi)有邊界，而是在傳統邊界逐漸失效的情況下構建以上下文（如身份）為基礎的圍繞每個(gè)應用虛擬邊界，比如在遠程辦公下邊界從防火墻延伸到個(gè)人電腦或移動(dòng)設備，各類(lèi)終端的動(dòng)態(tài)安全環(huán)境感知與防護能力就非常重要，那么聯(lián)軟十多年的終端安全管理經(jīng)驗積累和UEM能力就可以幫助我們或伙伴的零信任方案提升價(jià)值。

其次，聯(lián)軟早在2004年就開(kāi)始做網(wǎng)絡(luò )準入控制，NAC強調先驗證身份，再連接網(wǎng)絡(luò )，設備安全基線(xiàn)不符可強制下線(xiàn)修復，這也是動(dòng)態(tài)訪(fǎng)問(wèn)控制的思想，這和零信任的核心思想是一致的，只是到了云+移動(dòng)的時(shí)代傳統網(wǎng)絡(luò )邊界被打破，也就出現了SDP，實(shí)現更靈活和細粒度的動(dòng)態(tài)訪(fǎng)問(wèn)控制，我們設計EMM產(chǎn)品的架構時(shí)就采用了APN網(wǎng)關(guān)，強調服務(wù)隱身和應用層安全隧道，2019年推出SDP產(chǎn)品，今年推出UEM的ZTNA零信任網(wǎng)絡(luò )訪(fǎng)問(wèn)產(chǎn)品和方案。

最后，零信任最終目標是保護數據和資源，而聯(lián)軟一直提供領(lǐng)先的數據防泄露、數字水印、多網(wǎng)文件安全傳輸等方案，我們的零信任方案很好地將上述技術(shù)融合進(jìn)來(lái)，確保數據安全。

04

Q:雖然經(jīng)歷了十年發(fā)展，仍有人說(shuō)零信任是概念，現在還處于市場(chǎng)的探索期，對這一點(diǎn)怎么看？

A:不同意零信任還處于市場(chǎng)探索期的觀(guān)點(diǎn)，零信任是一種理念，是一種新的范式，但零信任架構在美國NIST標準中有明確定義，已經(jīng)有標準和工程化落地，零信任落地的最佳技術(shù)SDP市場(chǎng)國內外都已經(jīng)有很多供應商，SDP替換VPN也是正在發(fā)生并且必然的事情，比如今年因為新冠疫情很多客戶(hù)開(kāi)啟遠程辦公 ，我們就幫助很多客戶(hù)采用SDP產(chǎn)品快速搭建遠程辦公、遠程運維安全接入系統。我認為零信任探索的是場(chǎng)景，要考慮如何和現有系統的融合、集成、在安全性的同時(shí)保持易用性。零信任是個(gè)過(guò)程而不是結果，需要一種持續的能力和長(cháng)期規劃。

05

Q:聯(lián)軟SDP產(chǎn)品如何保護數據資產(chǎn)安全？

A:聯(lián)軟SDP產(chǎn)品基于CSA的客戶(hù)端、控制器和網(wǎng)關(guān)三組件的標準化方式實(shí)現，控制平面和數據平面分離，遵循SDP 服務(wù)隱身、預授權和預認證、應用級的準入控制、持續風(fēng)險評估和動(dòng)態(tài)訪(fǎng)問(wèn)控制等核心原則，通過(guò)可信終端（符合安全策略、如配置和軟件）、可信身份（多因素、掃碼等去密碼化方式）、可信應用（發(fā)布審核與訪(fǎng)問(wèn)審計、應用白名單、最小權限）、可信接入（SPA、加密、國密、應用隧道）四個(gè)方面來(lái)確保接入內網(wǎng)的安全，客戶(hù)端用沙箱實(shí)現工作域相互隔離、存儲加密、數字水印、防截屏等方式、應用黑白名單、訪(fǎng)問(wèn)審計等確保數據的安全。

06

Q:在座的各位都是零信任SDP領(lǐng)域的代表企業(yè)，未來(lái)大家的發(fā)展規劃是什么樣的？

A:作為聯(lián)軟科技來(lái)講，我們是在終端安全管理與網(wǎng)絡(luò )準入控制、數據安全領(lǐng)域深耕多年，具有端點(diǎn)側領(lǐng)先優(yōu)勢，零信任或SDP最終目標是圍繞數據安全，我們的SDP除了充分利用端點(diǎn)動(dòng)態(tài)環(huán)境感知和安全管控、數據安全（沙箱、防泄密、水印等防護能力）外，我們的SDP規劃重點(diǎn)考慮開(kāi)放性、標準化，我們一直強調生態(tài)和合作，也在參與國內一些零信任聯(lián)盟，和IAM、態(tài)勢感知等廠(chǎng)商實(shí)現對接，也在積極參與國內零信任標準的編寫(xiě)。標準化、零件化、生態(tài)化合作一直是我們倡導的。

未來(lái)，聯(lián)軟也將發(fā)揮自身在零信任領(lǐng)域的優(yōu)勢作用，持續創(chuàng )新，為零信任發(fā)展貢獻自己的力量，為企業(yè)打造更專(zhuān)業(yè)、高效的網(wǎng)絡(luò )安全產(chǎn)品和服務(wù)。

在本次大會(huì )的CSA GCR頒獎典禮和晚宴上，聯(lián)軟UniSDP安界軟件定義邊界系統獲得了CSA 2020安全創(chuàng )新獎；聯(lián)軟在云上論壇的分享人由于在網(wǎng)絡(luò )安全領(lǐng)域的突出貢獻，被云安全聯(lián)盟授予研究貢獻獎。