2021年10月11日至17日，國家網(wǎng)絡(luò )安全宣傳周重要活動(dòng)在陜西西安舉行，舉辦網(wǎng)絡(luò )安全宣傳周，提升全民網(wǎng)絡(luò )安全意識和技能，是國家網(wǎng)絡(luò )安全工作的重要內容。

（主會(huì )場(chǎng)）

在本次網(wǎng)安周，由華為承辦的“零信任安全實(shí)踐”主題分論壇，邀請了行業(yè)內眾多零信任安全專(zhuān)家與廠(chǎng)商，共同探討零信任與現有安全架構、數字經(jīng)濟發(fā)展等多種話(huà)題。聯(lián)軟科技受邀出席零信任安全實(shí)踐分論壇，分享了端點(diǎn)安全在零信任體系中的重要性。

作為國內端點(diǎn)安全領(lǐng)域的領(lǐng)導者是如何成為國內零信任領(lǐng)導廠(chǎng)商之一的？以下是演講主要內容：

零信任從提出到走向成熟

隨著(zhù)新興技術(shù)的發(fā)展，以傳統網(wǎng)絡(luò )為中心的基于邊界的防護體系正在瓦解或逐漸失效，零信任的安全模型正在被逐漸探索、完善、普及和應用中，服務(wù)于多個(gè)行業(yè)和領(lǐng)域。2010年Forrester的分析師首次提出零信任的概念，在11年的中，零信任的發(fā)展之路充滿(mǎn)了各種理論和實(shí)踐。例如，在理論上CSA提出SDP、Forrester提出ZTX、Gartner提出ZTNA、NIST都提出了ZTA的理論框架，而實(shí)踐方面最著(zhù)名的當屬Google的BeyondCorp項目，歷經(jīng)6年最終成功落地。

端點(diǎn)安全與零信任的關(guān)系

零信任安全體系的搭建是一個(gè)十分龐大的體系，端點(diǎn)安全和零信任又有什么關(guān)系？沒(méi)有端點(diǎn)安全的零信任注定是失敗的。在NIST的ZTA零信任架構中闡述了從主體到資源的訪(fǎng)問(wèn)控制過(guò)程，如果說(shuō)Forrester的ZTX模型比較抽象的話(huà)，那NIST的模型更像一個(gè)網(wǎng)絡(luò )架構圖。左邊這個(gè)圖是去年三月份發(fā)布的草案，該架構分為核心組件和支撐性組件，核心組件主要有PE、PA和PEP三個(gè)組件構成，而支撐性組件包含身份、有日志、情報、數據訪(fǎng)問(wèn)策略、CDM、SIEM等眾多因素；而右邊的是時(shí)隔半年發(fā)布的正式版，相比較舊版，正式版的核心組件依舊保持不變，而支撐性組件則換成了4個(gè)功能組件，分別是端點(diǎn)安全、數據安全、身份和安全分析。正式版更加清晰，也更加具備落地性。

在Gartner關(guān)于零信任的描述中，左邊是Gartner非常著(zhù)名終端安全的技術(shù)成熟曲線(xiàn)，UEM、ZTNA等與零信任相關(guān)技術(shù)都屬于端點(diǎn)安全的范疇內，2020年起，由于疫情的影響，很多的互聯(lián)網(wǎng)公司已經(jīng)宣布永久性的在家辦公，BYOPC也成為了熱點(diǎn)技術(shù)，這也推動(dòng)了零信任的發(fā)展。此外，在2020年，Gartner的ZTNA市場(chǎng)指南中提出了ZTNA的建設指南，其中最重要的四個(gè)關(guān)鍵點(diǎn)都與與端點(diǎn)安全相關(guān)的。

在由華為安全聯(lián)盟委托Forrester進(jìn)行的調研報告中，從208名來(lái)自政府、金融行業(yè)、交通物流行業(yè)和醫療衛生行業(yè)的中國大中型企業(yè)及機構信息安全決策者的調研中，我們可以看到終端安全是大多數受訪(fǎng)者都一致選擇了終端安全作為零信任體系建設的首要目標。

企業(yè)端點(diǎn)安全建設的三大難點(diǎn)

既然端點(diǎn)安全在整個(gè)零信任框架中這么重要，企業(yè)端點(diǎn)安全建設有哪些難點(diǎn)呢？聯(lián)軟在端點(diǎn)安全領(lǐng)域耕耘已經(jīng)有18年，總結了三大難點(diǎn)：

●第一：全面性。終端安全的范疇很廣，包括防病毒、準入控制、桌管、dlp、水印、edr、補丁、EMM、CWPP、移動(dòng)存儲介質(zhì)管理等等，如果企業(yè)要進(jìn)行零信任安全架構，是否要再裝一個(gè)Agent，大部分企業(yè)是存疑或者拒絕的，而且大量的Agent也會(huì )導致終端資源浪費、管理上異常復雜，出了問(wèn)題沒(méi)法定位等難點(diǎn)。

●第二：兼容性。隨著(zhù)技術(shù)業(yè)務(wù)的發(fā)展，終端類(lèi)型越來(lái)越多，PC、手機、平板、物聯(lián)網(wǎng)終端等，加上鴻蒙等國產(chǎn)操作系統等，端點(diǎn)安全的搭建要求安全廠(chǎng)商的技術(shù)儲備較高，必須對操作系統的底層原理要有深刻的理解和多年實(shí)踐，具備底層核心內核級別開(kāi)發(fā)的能力，最大程度的保障產(chǎn)品的兼容性和穩定性等。這些都是靠廠(chǎng)商長(cháng)期積累的能力，也是端點(diǎn)安全廠(chǎng)商最大的技術(shù)壁壘，從聯(lián)軟的經(jīng)驗來(lái)說(shuō)，一家做端點(diǎn)安全的廠(chǎng)商，產(chǎn)品要成熟至少需要5~8年的時(shí)間。

●第三，可視化。終端類(lèi)型的多樣化，導致了需要對全網(wǎng)的資產(chǎn)及變更做快速定位非常的難，出現問(wèn)題能夠第一時(shí)間感知，第一時(shí)間監控、告警、處置，并通過(guò)可視化來(lái)實(shí)現快速響應。

聯(lián)軟與華為零信任為客戶(hù)提供一體化的端點(diǎn)安全

2020年8月，聯(lián)軟由于在端點(diǎn)安全領(lǐng)域的超強能力，有幸加入了華為安全商業(yè)聯(lián)盟，在合作中共同促進(jìn)產(chǎn)業(yè)發(fā)展，提供全網(wǎng)協(xié)同的立體防御體系。

聯(lián)軟提供的是終端安全一體化的能力，通過(guò)終端安全管理模塊，保障終端可管；通過(guò)網(wǎng)絡(luò )準入控制，保障身份可信，通過(guò)終端EDR，保障入侵可防；通過(guò)終端DLP，保證數據可控。從體檢、到入網(wǎng)、到檢查響應，最終圍繞著(zhù)數據的保護，構成了端點(diǎn)安全的平臺。該平臺有三大特性：第一是功能全面，一個(gè)后臺，一個(gè)Agent，解決所有的端點(diǎn)安全的問(wèn)題；第二是極簡(jiǎn)運維，單臺服務(wù)器可以管控15萬(wàn)+的設備；第三，與華為VPN、交換機產(chǎn)品無(wú)縫的集成，未來(lái)華為的VPN Client由聯(lián)軟提供，與華為的園區網(wǎng)NCE Campus完美對接，實(shí)現網(wǎng)絡(luò )準入控制。

聯(lián)軟的產(chǎn)品在華為的整個(gè)零信任方案中主要有兩大組件，一個(gè)是終端環(huán)境感知，一個(gè)是SDP的控制器。終端環(huán)境感知能力主要就是端點(diǎn)上的身份驗證和風(fēng)險評估，以及端點(diǎn)上的數據采集和分析、數據安全等能力，SDP控制器，主要是集成了SPA等單包授權，以及網(wǎng)絡(luò )訪(fǎng)問(wèn)授權和策略控制的能力。

終端的環(huán)境感知能力：首先是進(jìn)行終端的安全評分，包括物理環(huán)境、安全環(huán)境、安全基線(xiàn)及安全事件等四個(gè)維度，對終端的安全進(jìn)行評分；然后是全面身份化的身份識別，這里又包含了人員、設備和應用三個(gè)維度的身份標識；通過(guò)安全評估和身份標識，就可以計算出該訪(fǎng)問(wèn)的信任等級，從而實(shí)現對資源的動(dòng)態(tài)授權。

持續的信任評估：零信任架構中的有別于傳統訪(fǎng)問(wèn)控制架構的一個(gè)特性。當一臺設備完成了安全和身份的雙重評估后，終端上會(huì )對他的環(huán)境和身份進(jìn)行持續的監測，一旦發(fā)現環(huán)境或身份發(fā)生變化的時(shí)候，例如從不同的物理位置接入、或更換了不同的瀏覽器等，這種變更就會(huì )觸發(fā)授權的變更，需要降低信任等級，甚至是有些時(shí)候需要觸發(fā)增強認證流程，比如通過(guò)短信驗證，或者手機掃碼驗證等方式再次確認身份。

通過(guò)上述零信任架構如何實(shí)現數據安全？終端設備需要存儲和處理超過(guò)80%的企業(yè)數據，如何保護好終端上的數據，也是零信任安全最難于解決的難題。聯(lián)軟的第二個(gè)非常重要的能力就是終端的DLP。無(wú)論是移動(dòng)設備還是在PC上都實(shí)現了數據的隔離，對落到終端上的數據進(jìn)行加密的存儲，通過(guò)加密隧道對傳輸中的數據進(jìn)行保護，從而實(shí)現數據的不落地。對需要外發(fā)的數據進(jìn)行DLP的管控，通過(guò)水印對文檔進(jìn)行追蹤。通過(guò)以上的技術(shù)手段實(shí)現了端到端的數據安全保護。

最后一個(gè)能力是聯(lián)軟的EDR與華為的Hisec Insight聯(lián)動(dòng)。聯(lián)軟的EDR可以在終端上采集18大類(lèi)，336小類(lèi)的信息，這就給Hisec的安全大腦提供強大的數據支撐，可以對攻擊行為進(jìn)行取證和還原；EDR還可以和華為的沙箱進(jìn)行聯(lián)動(dòng)，對終端上的一些可疑文件進(jìn)行分析，從而有效的識別APT的攻擊行為；此外，EDR還可以成為Hisec的手和腳，對終端上的異常行為進(jìn)行精準的處置。通過(guò)與EDR的聯(lián)動(dòng)可以實(shí)現對零信任的安全分析。

在華為的零信任能夠實(shí)現的四大場(chǎng)景增加了聯(lián)軟的端點(diǎn)能力后，整個(gè)零信任就能覆蓋更多的場(chǎng)景。

●第一，可以聯(lián)動(dòng)華為的交換機，對企業(yè)內網(wǎng)設備進(jìn)行網(wǎng)絡(luò )準入控制和持續的安全評估和身份驗證；

●第二，遠程辦公的場(chǎng)景，BYOD和企業(yè)配發(fā)的設備都可以實(shí)現零信任的遠程接入；

●第三，BYOD設備在企業(yè)內網(wǎng)的接入場(chǎng)景；

●第四，跨網(wǎng)訪(fǎng)問(wèn)的場(chǎng)景，政府及許多企業(yè)有大量的“單網(wǎng)通”的需求，就是希望通過(guò)一個(gè)終端能夠訪(fǎng)問(wèn)不同的安全域，這個(gè)場(chǎng)景過(guò)去最大的難點(diǎn)在于數據安全問(wèn)題，目前聯(lián)軟可以通過(guò)多域安全沙箱的方式來(lái)完美的解決；

●第五，多云、多數據中心的訪(fǎng)問(wèn)場(chǎng)景，簡(jiǎn)單的說(shuō)，就是Any to Any，這個(gè)場(chǎng)景是零信任整套方案最大的優(yōu)勢，軟件定義訪(fǎng)問(wèn)，按需訪(fǎng)問(wèn)，是零信任安全實(shí)施的終極解決方案。

目前這些場(chǎng)景，聯(lián)軟已經(jīng)在金融、證券等很多客戶(hù)落實(shí)實(shí)施，去年疫情期間，聯(lián)軟幫助網(wǎng)聯(lián)清算實(shí)現了安全的遠程辦公，聯(lián)軟團隊僅花費2天時(shí)間就在客戶(hù)現場(chǎng)快速的部署上線(xiàn)系統，及時(shí)滿(mǎn)足客戶(hù)遠程安全辦公需求，同時(shí)聯(lián)軟在某大型券商使用的零信任遠程辦公平臺也獲得客戶(hù)的積極評價(jià)和認可。

關(guān)于聯(lián)軟

聯(lián)軟科技成立于2003年成立，專(zhuān)注于企業(yè)級網(wǎng)絡(luò )安全市場(chǎng)，主營(yíng)業(yè)務(wù)是為政企客戶(hù)提供網(wǎng)絡(luò )安全產(chǎn)品和服務(wù)。圍繞端點(diǎn)安全、邊界安全和云安全等打造多種產(chǎn)品的綜合安全解決方案。在零信任探索和實(shí)踐中，早在2011年，聯(lián)軟就推出了基于角色的場(chǎng)景化動(dòng)態(tài)最小授權的RBAC產(chǎn)品；2013年聯(lián)軟的EMM產(chǎn)品已經(jīng)是基于可信接入代理的方式來(lái)實(shí)現的；2017年推出了基于零信任架構的SDP產(chǎn)品，2019年，聯(lián)軟將移動(dòng)端和PC端的零信任訪(fǎng)問(wèn)進(jìn)行了整合，推出了UEM的統一端點(diǎn)管理產(chǎn)品；2020年與華為、竹云等公司形成了零信任的安全生態(tài)，并推出了SDA的產(chǎn)品戰略。

同時(shí)，聯(lián)軟也成為了多項國內零信任標準的制定者，我們擁有CSA的種子級和認證的講師，有Forrester認證的零信任戰略專(zhuān)家。此外，這幾年我們在零信任領(lǐng)域也積累了大量的企事業(yè)客戶(hù)案例。所以我們的方案也成功入圍了IDC2020年的Innovator，全產(chǎn)品線(xiàn)也入圍了CCSIP的全景圖。聯(lián)軟一直致力于推動(dòng)國內零信任的發(fā)展。