2022零信任產業發展論壇【速記】

Editor發表於2022-06-23

    主持人:尊敬的各位領導,各位嘉賓,媒體和觀眾朋友們,大家好!歡迎大家觀看由騰訊安全主辦的第二屆零信任產業發展論壇,我是騰訊安全市場部的負責人付蓉潔,也是本次論壇的主持人。首先我謹代表主辦方騰訊安全對各位的關注表示熱烈的歡迎以及由衷的感謝!

    2021年騰訊安全聯合中國資訊通訊研究院、產業網際網路發展聯盟,舉辦了第一屆零信任發展趨勢論壇,共同探討了零信任的技術演進與發展趨勢。如今零信任已經逐步從理念普及走向了應用的落地,所以第二屆零信任產業發展論壇我們將聚焦零信任在中國落地的實踐與經驗展開探討。今天我們還將在共同見證2022年騰訊零信任iOA新品的釋出,騰訊與Gartner合作《2022年混合辦公白皮書》的釋出,同時我們也將同零信任產業生態聯盟的眾多企業一起迎來聯盟升級這一重要時刻。在此基礎上,還有多位重量級的嘉賓在本次論壇為大家帶來零信任趨勢以及實踐的分享,在此,讓我們對各位到來的嘉賓也表示熱烈的歡迎!

    接下來讓我們有請第一位上臺的嘉賓,騰訊安全副總裁方斌為本次論壇致開幕詞。

   

    方斌:尊敬的各位嘉賓,媒體朋友們,大家下午好!歡迎收看此次零信任產業發展論壇的直播,全國疫情此起彼伏,給線下辦公和會議帶來了很多的挑戰,不過疫情的兩年來,我們也深切感受到了遠端會議的便捷和高效。今天我們相約雲端,一起討論零信任這個話題,我覺得也非常契合。零信任就是要實現無論何人在何時、何地、何網路都能安全地訪問。在疫情背景下,數字化讓經濟展現出了強大的韌性,不過也讓觸網的終端數量和種類呈現爆發式的增長。網路安全威脅日益多元,所以傳統基於邊界的網路安全防護體系,已經無法應對數字化時代的安全要求,而基於無邊界理念的零信任技術模型,在這幾年成了全球企業關注的重點。

    在國內,騰訊是最早實現零信任的大型廠商之一,在2020年疫情期間,騰訊iOA穩定高效支撐了全網10萬終端的全型別辦公,並且實現了零安全事故。與此同時,我們也在加快騰訊自身安全能力和經驗的輸出,探索零信任對各行各業企業發展的助力價值。就在今年早些時候,騰訊iOA的部署終端已經突破100萬臺,成為國內首個落地百萬的零信任產品,這也意味著我們產品的商業成熟度和交付能力得到了客戶的認可。這個過程中,我們也有自己的一些思考和觀察。

    第一,零信任正在展現新價值,成為企業參與數字化競爭的核心能力之一。

    比如說我們第一個百萬端的客戶高燈科技,在2020年疫情期間,他們使用傳統的VPN無法支撐激增的遠端辦公需求,並且高危漏洞頻發。部署騰訊iOA之後,高燈科技實現了終端安全一體化,增強了合規基線的檢測和資料安全的管控能力,保證了公司業務穩定高效進行。

    第二,零信任加速落地,正在步入更多的新場景。

    這兩年,隨著數字化的深入,零信任已經從最初的網際網路行業,逐漸應用到了金融、地產、物流、教育、工業等新場景。比如北京的一家三甲醫院,透過部署騰訊iOA不僅實現了遠端醫療協作網路的順暢執行,還極大地保障了患者的資料安全。還有一家鋼鐵集團,騰訊iOA幫助它建立了傳統的安全架構與雲安全架構結合的一站式零信任安全體系,為其數字化轉型保駕護航。

    第三,零信任未來發展需要新生態。

    從2019年開始,騰訊就致力於國內國際標準的建設,與行業夥伴一起推動零信任行業的標準化、體系化發展。目前,騰訊零信任標準工作組制定的介面標準已經實現了同18個行業安全廠商的對接。如今,零信任步入2.0時代,它的未來發展需要更開放的生態,我們希望各廠商能攜手共建,在標準的基礎上,深化協同與商業合作,深挖落地場景,開放介面等等,這樣才能為客戶提供功能更完善,體驗更好的零信任解決方案,推動零信任在中國的加速落地。

    以上就是我的幾點思考,再次感謝大家的支援與參與,謝謝大家!

   

    主持人:感謝方斌總的致詞!正如方總所言,在數字化程式加速的背景下,零信任正在步入更多的新場景,也將成為企業參與數字化競爭的核心能力之一。零信任2.0時代需要我們攜手共建,更加開放的零信任新生態。在2.0時代,零信任產業將迎來哪些機遇和挑戰呢?

    接下來讓我們有請中國信通院雲端計算與大資料研究所所長何寶宏先生,為我們分享“零信任發展觀察”。

   

    何寶宏:大家好,我是來自中國信通院的何寶宏,很高興能有這個機會與大家分享我和我的團隊,關於零信任發展的一些情況和一些思考。

    我的介紹大概是四個方面,介紹一下零信任的起因、一些關鍵的技術組成、目前的一些典型的,在我們所看到的應用場景,以及生態,尤其是我們國內目前零信任生態的發展情況,最後談一下大家在零信任方面面臨哪些挑戰和問題。

    我們知道,我們人類社會有了信任之矛之後,現在整個社會越來越多地轉向相信技術,相信演算法,由人工智慧、大資料等等做出的一些決策,我們日常也有感受,我們購物經常是推薦演算法,我們出門基本上是靠導航給我們推薦演算法等等。所以演算法做決策,在我們現實中越來越重要,所以我們實際上將決策,將信任轉向了數字技術,雲讓我們相信計算的能力,人工智慧讓我們相信演算法創造智慧,大資料讓我們相信資料會產生新的價值,區塊鏈讓我們相信能夠創造信任,現在又流行元宇宙,讓我們相信人還有數字人生等等。當我們越來越多將我們的信任轉向數字技術,做數字決策的時候,我們發現當你依託信任多的時候,信任的問題越來越突出,這些年我們對數字技術越來越依靠,產生的信任問題也越來越多。比如我這裡簡單地梳理了一下基礎設施層面的,比如因為移動辦公、雲化、自帶裝置等等,產生零信任,也就是我們今天會議的主題。還有演算法層面的信任問題,演算法的歧視、殺熟、誘導等等,所以全世界都在做演算法治理。還有內容層面的信任問題,我們的生產式的AI,產生的深度偽造等方面的問題。還有價值信任問題,比如我們搞區塊鏈,搞隱私計算等等,價值傳遞的控制問題,還有身份信任問題。所以你會發現不同層面上都出現了數字信任的問題,當然今天我主要聚焦在基礎設施層面的信任問題,尤其是聚焦在基礎設施、雲端計算等引發零信任的概念,因為“零信任”這個詞到目前為止主要還是狹隘的聚焦在基礎設施層面,而不是在更大層面,後面主要是談基礎設施。

    “零信任”概念提出已經十多年了,從概念的提出到使用者側的方案,供應商的方案,包括視覺化,包括軟體定義的信任,安全等等,經過十餘年的發展,可以說走到這兩年出現了一種爆發式的發展狀態,我們不同機構的理解,最終走向了融合,走向了一致,大家對零信任形成了一些共識。當然主要是我們現在用得比較多的遠端辦公等等,比如Gartenr預測,明年會有60%企業VPN會被淘汰,這個我非常敏感,是因為我二十年前就是做VPN的,寫過幾本書,現在我當年做的技術又要被我今天研究的技術淘汰了,這是自然規律的問題。

    零信任基本原則很多,我把它總結為“半信半疑”,我們原來做信任實際上是位置決定信任,你在這個邊界裡就值得信任,你在邊界外面就不值得信任。所以今天是不由位置決定信任關係,不預設任何條件,預設一切都不可信。最小授權即使你在我裡面,我也需要按需分配,時刻監控,動態訪問控制,持續安全防護。所以我總結成叫“半信半疑,時刻監測”,尤其是要盯你的隔壁,我們原來的信任安全主要針對外面惡意的使用者,惡意的使用者等等,現在我們注意到越來越多信任問題轉向了內部,防自己人,防合作伙伴,不僅僅是我們今天討論一系列的架構問題,包括區塊鏈,包括隱私計算,其實越來越多是合作伙伴之間的信任問題,如何透過技術手段來解決。零信任在這裡面也是同樣的概念,我們原來主要是防止外部人的一些惡意行為,現在要解決合作伙伴之間的信任。零信任經過這些年發展,剛才也提到它的技術架構已經穩定下來了,這是美國國家標準研究院(NIST)提出的零信任架構,大概分為控制層面和資料層面,這個概念的提出很有意思,以前在我看來安全主要是透過管理和配置來解決的,而不是透過控制來解決的。因為在通訊裡經常是控制平面,管理平面和資料平面,經常是分開的。而我們經常做計算機經常隨路的,控制和管理、資料經常在一個面上。而安全越來越多的今天也要搞控制和資料平面要分離,這裡面當然在我看來,在NIST框架標準裡還少劃了管理面,因為經典劃法是管理面、控制面和資料面,所以這塊缺點,當然也是技術進步。零信任裡已經將控制和資料面分離了,這是很大的進步,這種分離往往意味著這個東西越來越複雜了,所以我們需要單獨的控制面了。當然這裡面零信任架構核心就是以身份為核心經營企業的IT,經營企業的安全,這是零信任的標準定義,NIST相關概念的定義,這是一個想法,注意零信任是一個框架,是一個概念,是一個想法,不是指具體的一個技術。

    零信任與傳統防護之間是有明顯差別的,我這裡做了簡單的對比。一個是原來靠邊界來防護,現在是邊界內外都不可信,隔壁老王是不能信的,原來住在隔壁就差不多了。原來我們做防護的產品是安全產品之間,安全產品和我們業務之間相互固定,現在要聯動,要聯合起來。所以從這個角度來講,我們的零信任不僅是以使用者身份為中心的討論,也是將我們的安全,將我們信任網路化,原來基本上是單點信任,點對點信任,現在越來越多網路化的信任關係,原來信任是固定的,現在要分開調整,這就是為什麼NIST標準定義裡,要將資料平面和控制平面分離的原因。因為我們需要對信任或者安全的策略實時動態做調整,你只能是透過協議,透過protocol來解決這個問題,而不能透過簡單的手工配置和管理,這是做不到的。防護方式已經從以網路為中心轉向以身份為中心了。

    無論如何,零信任解決很多問題的同時也需要和傳統防護機制進行相互協同,這裡簡單梳理一下零信任裡重要的特點:第一,零信任將資料應用、負載、人員等都視為資源,而不是僅僅將網路視為一種資源,所以可以說對信任的資源密度變得更細了。第二,對我們相關內部資源,對外的資源要隱身,我們不能直接暴露出來,暴露出來容易受到攻擊,所以需要相應的隱身閘道器,我簡單畫了示意圖,包括應用層面,網路層面等等,控制面沒有畫出來。遮蔽安全策略,安全策略也需要動態的分配,以身份為中心,已經強調好幾遍了。

    零信任涉及相關的核心技術大概有三個方面:

    第一,策略引擎和控制引擎等相關的,這個實際上是對應控制面的問題,因為這方面我們在做通訊任叫信念,搞網際網路的經常叫協議,搞安全的經常叫做安全策略,大概是一個意思。

    第二,安全閘道器相關的代理技術,一個是Web的代理技術,這是偏應用層的。往下還有隱身的問題,因為安全的策略之一就是你隱身了大家就不容易找到你。另外網路層面的,安全代理閘道器,不能僅僅是應用層閘道器,也需要網路層的閘道器。

    第三,網路本身的安全,安全隔離等等,我們不能說因為有了零信任,我們以前的傳統安全就沒用了,或者說意義不大了,剛才反覆強調,我們零信任需要和傳統安全相結合,有機的結合。所以我們仍然要做隔離,只不過安全隔離的力度比原來細多了,我們是基於虛擬機器、容器的等等,越來越細緻,精細化地更好地管理網路資源,因為網路本身也是資源,這是身份的管理問題,身份的確認、管理、單點登入、目錄服務、多因素、認證等等,所以這四個與零信任相關的,在我們看來是一些核心技術。

    除了零信任相關核心技術,還有相關邊緣性的技術,密切相關的,因為任何一種技術,任何一種安全技術都是不能獨立存在的,它一定是與其它的安全技術,與其它技術配合的,形成一個生態的。所以零信任除了自己的核心技術之外,還有一些其他的相關技術,包括資料安全,應用安全,終端安全,負載安全,安全管理等大概五個方面的配套的技術,這幾個技術和我們傳統安全技術之間沒有太大區別,只是針對的一些需要做配合、最佳化和調整。

    小解一下,我們零信任是“一個核心”“五個關鍵”,核心是數字身份,零信任是要以身份為中心,而不是以位置或者以邊界為中心,所有的資源不僅僅是網路資源,所有的資源都需要賦予數字身份,這是它最核心的理念。當然除此之外,還有一些關鍵的問題,網路安全問題,終端安全問題,尤其是遠端辦公的,我們知道新冠期間,很多時候我們遠端辦公。自帶辦公裝置的,像以前辦公裝置都是公司統一配發的,辦公裝置就是辦公裝置,家用裝置就是家用裝置,現在越來越多的走向了一個,所以個別零信任關注終端的產品,因為終端不知道是誰的,工作負載的問題,尤其橫向的工作負載問題,容器層面的,API層面的相關安全問題非常突出。資料保護剛才已經提到,資料層面的防控問題,還有管理問題等等。

    剛才介紹了我們技術問題,現在主要介紹一下零信任目前的場景和大致的應用生態。首先我們看一下各國的政策標準,已經紛紛開始討論支援零信任等相關議題,比如尤其是美國、英國、加拿大、新加坡等相繼圍繞著零信任推出了一些政策,尤其美國國防創新委員會發布的關於零信任安全之路,還有零信任架構建議等等,還有美國國家安全域性等等,都有很多相關推進,可以說在這方面是非常領先的。除此之外,我們國家也在政策上大力推動零信任相關政策建議,比如我們可以看到《安全產業的高質量發展三年行動計劃》裡,就有這方面工作。《關於促進網路安全產業發展指導意見》裡也有零信任等等,這是政策方面。在標準方面,我們ITO中國企業主導的第一個零信任國際標準的釋出,還有國家標準,行業標準等等,可以說我們國家正在從政策和標準兩個層面大力推動零信任在我們國內的發展。

    零信任的理念也正在迅速滲透到安全領域,零信任剛才反覆強調,是一種理念思想架構,所以它需要落到具體的安全領域去實現,去體現這種思想和理念。比如我們以傳統的安全問題,身份安全問題,終端、負載、網路、資料、管理,所以零信任本身首先是在安全自身領域,在快速滲透,因為它是一種理念。它的應用場景也已經變得越來越清晰了,典型場景我分成技術類的場景,一個是多雲、混合雲的接入場景,因為這種場景下邊界是模糊的,使用者訪問的時候經常是多個資料中心頁同時連線,統一控制等等,所以這時候要用零信任技術來解決跨雲、多場景情況下的接入問題。還有物聯網場景,因為有多種代理裝置的並存問題,計算、拓撲的異構問題等等,DevOps,用我們不斷地、快速地迭代我們的軟體策略,對應的也要零信任,三天兩頭變,剛放上又變了,所以需要信任,理念和技術的支援,還有微服務,反不正當交易等等資料。爬蟲、賬戶、內容篡改等等,微服務方面的訪問等等。

    第二是工作場景下我們也需要,尤其是遠端辦公場景,這個零信任最早就是這麼來的,因為員工接入地點和時間的複雜,員工自帶裝置,內外網之間資料流動越來越頻繁,就有了零信任。遠端辦公和遠端運營維護,遠端運營維護和遠端辦公關係上是一樣的,運營維護本身就是辦公的一種特例,運營維護人員的辦公就是遠端辦公,就是運營維護。遠端分支場景的接入,原來的VPN專線等等,現在越來越多的基於軟體的或軟體定義的,需要零信任的,第三方協作的場景等等。

    第三是業務的持續運營,越來越多的我們數字產品服務化,而且業務服務和業務場景的運營平時是不能中斷的,這種情況下既要工作,還要不斷測試,所以業務資料場景的保護。還有攻防演練場景下的相關工作,包括策略一致性等等,還有合規的密碼應用場景等等,都需要零信任來支援它的一些工作。

    根據我們最新的調研,目前為止國內使用零信任最多的場景,遠端訪問佔46%,是當前企業實施零信任的主要驅動和優先的選擇,遠端辦公、分支機構接入、遠端運維等等,遠端訪問是目前零信任最多的。右邊是統計圖,大家都用它來幹什麼,所以這對我們下一步發展產品和服務具有非常重要的指導意義。

    根據我們研究,國內有很多企業做零信任工作,騰訊是非常積極的之一,我們可以看到有不少企業在圍繞零信任在做。我們觀察有三個特點,我們國家的零信任生態:第一,綜合或聚焦的零信任能力各有優勢,有的人叫“綜合性零信任”,有的只是聚焦。又根據使用者業務場景,安全基礎,有新建的,改造的等等,大家都有這種情況。第二,我們看到國內產品發展有兩條關鍵的路徑或者思路不太一樣,一個是圍繞使用者訪問的資料中心內外流量的授權控制,一個是圍繞工作負載的訪問,零信任的管控。第三,身份和網路安全方面的,圍繞零信任的身份安全、網路安全的能力,相對來說比較成熟一些。

    這是我們簡單梳理了一下零信任供應生態的情況,很多企業都在做,無論是傳統的API廠家還是新興的雲方面的廠家,都在做。

    當然零信任的發展還處於比較初期的階段,因為它畢竟是一個理念和思想,出現的時間雖然有十多年了,但真正相對成熟也就是這兩年的時候。根據我們調研,我們圍繞零信任,使用者還是有一些問題的。前期早期使用者的顧慮是什麼?第一,建設門坎比較高,不知道如何下手,如何推動落地,不知道需要投入多少人力物力財力,不知道如何達到和實現目標。第二,概念也很多,經過十餘年發展,相容性比較弱,大家之間不能整合在一塊,互相不相容。第三,傳統安全投入這麼多了,又搞一個零信任,我如何並存,或者以前的安全怎麼辦?終端安全怎麼辦等等,使用者在引入零信任之前有很多顧慮。不僅如此,即使使用者下定決心做零信任,在建設中期使用者也會面臨一些挑戰和問題,我們梳理了一下:

    第一,已有的信任基礎和零信任之間的關係問題,比如我們現在傳統信任,有遠端瀏覽器的相互隔離,可信瀏覽器等等,這類技術和我們今天所推廣的零信任之間什麼關係。第二,運營商多個團隊之間的共同轉型問題,因為搞零信任涉及到內部多個職能部門,業務部門之間的業務架構調整,這就比較麻煩。第三,企業落地時候的規劃怎麼做?

    用起來之後使用者也有一些思考問題,我們調查,零信任對已全方位對企業私有云平臺護航,這個價值是明顯的。我們調研,有企業近90%業務已經上了零信任,但會發現我們使用零信任,尤其是微隔離的運營維護成本比較高,這是完全可以理解的。當你把你的業務運營搞成微服務的時候,服務和服務之間的安全信任,如何做運營維護就是指數級變複雜了,所以微服務必然面臨很大的挑戰,運營維護的安全性、友好性的問題。

    針對這些問題,我們也一直在努力,我們大概做了三方面工作:

    第一,落地性指南,我們聯合企業來做,更加細化來幫助使用者更好地理解,更好地實施,更細化地實施零信任。

    第二,深化行業應用,聚焦目前需求量比較大的一些行業,尤其是政務和金融等等,結合行業場景的零信任安全需求,精細化的發展。另外針對零信任目前還存在的技術挑戰、產業化問題,產學研用我們共建零信任實驗室,我們和騰訊相互協作,開放介面,共享資源,進一步推動我們國家零信任的發展和前進。

    我今天的介紹就這麼多,謝謝大家!

   

    主持人:感謝何寶宏所長帶來的精彩解讀!正如何所長所言,人類社會的信任之矛正在轉向數字技術,世界日益數字化,技術也要愈發的零信任。近幾年在疫情的催化下,混合辦公成為了大勢所趨,今年騰訊安全、騰訊產業研究院,聯合Gartner機構,共同合作撰寫了《2022年混合辦公白皮書》,圍繞混合辦公的新特徵,安全風險,安全要素等維度展開技術解讀,希望能夠為行業帶來一些借鑑和參考。作為撰寫單位,騰訊副總裁司曉、騰訊安全副總裁方斌總,也獻上了他們的祝福和寄語。接下來讓我們共同見證《2022年混合辦公白皮書》的釋出。

    感謝各位嘉賓真摯的祝福!作為國內最早實踐零信任的大型廠商之一,騰訊零信任iOA的技術演進路線是什麼樣子的?在零信任2.0時代,騰訊零信任iOA產品將帶來哪些功能的升級呢?接下來讓我們有請騰訊安全產品總經理楊育斌帶來“2022年騰訊零信任新產品釋出”。

   

    楊育斌:大家好!歡迎來到騰訊零信任產業發展論壇,我是來自騰訊零信任產品團隊的楊育斌。今天我會跟大家共享一下騰訊關於零信任2.0的理念和我們的新產品。我的介紹會分兩部分:

    第一部分,介紹一下騰訊零信任技術演進的路線;

    第二部分,介紹一下我們新一代基於騰訊零信任2.0理念的iOA產品;

    首先介紹一下騰訊零信任技術演進的過程,整個過程分三個階段,最早是從2016年起,我們開始實踐在公司內部實現零信任整體的體系建設。到了2019年,我們將我們的實踐心得對外發布,形成了我們對外的商業版“4T訪問全程零信任”。到了2021年、2022年,我們將零信任提升到2.0,提倡安全一體化和自適應的零信任體系。

    大家應該很好奇,騰訊零信任的產品叫iOA,那iOA代表什麼呢?iOA是三個英文字母的簡稱,intelligent、office、assistant,也就是辦公助手。其實iOA最早的目標是作為桌面的辦公工具,但桌面的辦公工具大家知道,一定需要安全底座的,那我們就將我們的辦公工具和安全基座打成了一套。在2016年騰訊基於谷歌BeyondCorp的實踐經驗,對職場內部進行了整個安全的全方位的保護。我們對所有內網終端都安裝了iOA代理,同時啟動了內網准入和終端反入侵的功能。在實現完端點安全以後,我們也對業務系統進行了iOA的接入,我們對上萬個業務系統進行了身份系統的打通和單點登入的實現。在此同時,我們也支援端點的多因素認證。基於在分散職場還有很多運維不便利的原因,我們對VPN技術進行重新審視,覺得需要有一個新的體系來替換VPN。因此,我們逐步對遠端運維的工作和分散職場接入到總部辦公以及海外辦公進行了替換,透過零信任接入閘道器全面替換VPN,並且實現了全球加速。當連成一片大網之後,安全管理問題又浮現出水面,這時候我們將零信任整個體系和SOC體系進行了聯動,大資料和AI手段進行風險控制,實現了風險自動化響應。

    在2020年疫情初的時候,騰訊零信任完成了全網6萬多員工,10多萬裝置的全負荷工作,日均承載流量20G,峰值35G。在這期間也創造了一系列的產品出來,騰訊的員工透過零信任辦公這樣的實踐,實現了類似騰訊會議這樣的優秀產品的創造。在這個階段,騰訊的零信任iOA=辦公助手+整套端到端的零信任安全體系。

    第二階段,我們將我們的最佳實踐向外面的合作伙伴進行了商業化輸出,我們稱之為“商業化1.0時代”。我們輸出的目標就是4A的願景:AnyWhere、AnyDevice、AnyWork、AnyApplication,任何地點、任何裝置我們都可以接入進行無縫的辦公。

    在iOA商業化的過程中,我們實現非常多的行業擴充。在今年我們也實現了落地100萬終端的目標,推進了各行業落地。那iOA的整體目標是構建業務安全的最小化訪問,從身份體系開始,我們在終端驗證實現了身份體系的實名和無抵賴的認證。在終端方面,無論是PC或者自帶的裝置,我們都可以進行可控的安全校驗,經過任何的網路位置,無論是在分子公司,還是在公共的wifi場所,我們都可以規避網路的一些風險,實現全程的加密,以及弱網的接入環境。同時在接入到業務系統之後,實現最小化的授權和持續的監控。整個iOA商業化產品提倡的是4T:可信身份、可信終端、可信應用和可信鏈路,對全鏈條進行持續的驗證和最小化授權。透過iOA的商業化產品設計,我們實現了全程訪問控制安全,無論是從終端還是身份,亦或從網路的鏈路加密,或者應用安全評估,整個橫向的鏈路是全程安全可控的。安全可控主要是透過我們的策略控制平臺,透過動態策略評估,實時監控網路上任何的可疑的行為和可疑和身份。這個時候,iOA已經進化成全程零信任安全平臺。

    經過兩年的落地實踐,我們也得到了上百個標杆客戶的認可,包括行業的、政府的、快遞行業的、大學的、網際網路的、以及類似銀行和很多的一些大型企業的認可。在今年,我們也實現了100萬終端的落地目標,實現了零信任落地部署的小突破。在此同時,我們也得到的一些權威分析機構的認可,包括Gartner、Forrester、IDC、CSA、OMDIA,都對我們的技術路線和落地實踐進行了調研。

    我們知道遠端辦公越來越普及,但現在有一個趨勢,從遠端辦公到混合辦公的趨勢,伴隨著企業數字化程式的推進,混合辦公逐步成為了主流。那混合辦公的特性有什麼?它的訪問位置越來越多,它的裝置型別也越來越多。在業務側,業務資產會越來越分散,比如在資料中心,在私有化雲,在公有云,在邊緣雲,業務的複雜度也越來越複雜。比如說C/S應用、B/S應用、APP、H5等,各類的應用都會同時上線。在這個過程中,合作的角色會越來越多,除了公司員工,還有像供應商、合作伙伴、運維人員。這時候該如何保障混合辦公的整個環境安全,因此在零信任1.0落地過程中,我們也碰到了混合辦公下的一些問題,在混合的環境下,數字化的業務支撐需要更加容易落地,低摩擦以及更加有效的全程安全風險可控。這裡面在1.0落地的時候,有一些問題,比如說在實施難度方面,在落地和合規體系,和IT管理體系的摩擦情況,包括數字資產該如何保護,風險的可見度,以及許可權自身的安全,融合安全等等問題,這裡面最為突出的有四個問題:

    第一個挑戰,混合辦公訪問的風險與效率問題;

    第二個挑戰,最小許可權該如何有效管理;

    第三個挑戰,對泛端,泛資料、泛應用,如何有效地進行管理;

    第四個挑戰,訪問過程中的風險怎樣才能提前發現,並且及時進行阻斷。

    在2019年,騰訊聯合國家網際網路應急中心,中國行動通訊集團設計院等單位,在國際電信聯盟標準化組織立項了一個標準,這個標準名字叫做“服務訪問過程持續保護指南”。2021年,這個指南正式釋出,這個指南將我們的零信任創新理念提高到國際標準的高度,這個創新理念就是在整體的安全防禦的整個過程中,無論是在事前、事中、事後,都需要對訪問的主體、客體以及環境進行持續監控和持續保護,這個階段我們稱之為零信任2.0自適應零信任階段。在今年,我們將我們的1.0提升到安全一體化,以接、防、管、控聯合體系實現一體化的零信任全自動防禦。在自適應安全方面,我們融入到XDR聯動檢測響應體系,實現全程風險的可視可控,以及自動化響應,這個時候iOA已經演變成自適應零信任安全平臺。

    下面我會著重介紹一下我們新一代零信任iOA解決方案,零信任從1.0過渡到2.0,是實現了從4T到接、防、管、控全程的自適應安全。接、防、管、控該怎麼解釋呢?“接”是指接入安全,主要是指接入效率安全和許可權治理各個方面的綜合的考慮,使得落地成本更低。“防”是指威脅防禦,這裡面更加著重保護的是場景化的防護,包括像勒索攻擊的防護,高階入侵的行為,以及使用者異常行為的防護。“管”是指整體的終端、泛端、泛資料、泛應用的統一管理,在混合辦公環境下,這麼多的端,這麼多的資料,這麼多的應用,該如何進行有效的、安全的管理。“控”是指風險可控,風險該如何提前發現,如何進行閉環的響應處置。

    首先講講“接”,第一方面,接入效率的提升。剛才講到在落地過程中有一些實際的部署難度在,比如說業務系統分散在不同的雲,比如說訪問的終端會多種多樣。我們有三個舉措來提升端到業務的便捷接入能力,針對各類業務場景,幫助零信任體系快速部署落地。

    第一個舉措,在端上實現泛端的客戶以及免客戶端的接入模式,使得客戶可以無感接入到業務系統。

    第二個舉措,在交付模式上,支援公有云、私有云以及混合雲結構的交付。

    第三個舉措,透過業務聯結器,不改變原有企業的網路拓撲情況下,能夠快捷的接入到企業的業務系統。

    “接”的第二個層面是接入安全,我們這裡做了一個SDP安全架構的增強,對SDP的安全架構實現全隱藏,同時升級訪問控制引擎,提升動態風險評估能力,提升業務訪問安全性。這裡面我們從三個方面入手解決架構的安全問題:

    第一,從UDP敲門到支援TCT、ICMP敲門的協議,提高了連線的成功率。

    第二,實現了全隱藏,將控制檯藏在閘道器之後,實現了無埠的暴露。

    第三,動態訪問控制。我們會根據業務的敏感程度,制定自適應的訪問策略,比如對高敏的業務,中敏的業務和低敏的業務,實施不同策略,並且動態進行監控,防止從業務側出現一些高敏和中敏、低敏的竄訪或者跨權訪問的問題。

    “接”的第三個層面是動態授權治理,是我們在最新版本的新功能。動態授權治理是將最小化授權提升到動態許可權治理的層面,三個步驟解決授權管理難的問題,這三個步驟分別是:

    第一,進行全網的許可權梳理。

    第二,將訪問的記錄進行聚類分析,並且根據使用者訪問場景推薦出最合適的授權方案。

    第三,對於超過一定天數未使用的殭屍許可權,或未被隔離使用的許可權進行回收機制。

    透過這三個步驟實現了許可權治理難的問題,在威脅防禦方面,我們針對三個場景進行增強:

    第一個場景,針對勒索攻擊,在勒索攻擊對抗層面,我們有四大舉措,從落地的源頭,病毒的啟動,病毒破壞過程,以及檔案恢復四個環節進行了檢測和響應,特別是檔案保護方面,針對事前進行檔案備份,事後進行檔案解密和檔案找回,進行了一些增強的功能。

    “防”的第二個場景,對類似APP高階威脅的防禦,這裡面我們從入侵者的視角考慮,圍繞攻擊鏈的四個關鍵環節,分別是:偵查階段、突破階段、橫向移動階段、後滲透階段,進行了加強和檢測。重點對釣魚和橫移檢測進行識別,在釣魚識別除了結合情報資料之外,我們對檔案特徵和敏感行為進行了增強的識別能力。

    “防”的第三個場景,異常行為的分析。我們基於使用者、裝置、應用、環境和行為等維度,進行持續的異常發現,對訪問主體進行持續的信任評估。我們會根據登入的一些行為特徵,按時間視窗進行資料清洗,比如訪問敏感業務的時長,嘗試訪問無權業務的頻次,上傳下傳的流量等各種組合,進行智慧的防禦。

    “管”方面第一個提升是對終端接入的管理,特別是泛端接入,目前我們已經支援了市面上所有主流的系統,包括windows、MacOS、Linux、Android、iOS等系統。所有的終端UI和使用體驗是非常一致的,使得客戶可以進行無感的泛端的切換,同時在端上我們也進行了統一身份的認證和認證體系的打通。

    “管”的第二個層面是對資料風險的管理,大家知道無論是遠端辦公或者是在混合辦公環境下,資料是一個特別大的風險問題,那麼如何在遠端辦公環境下,保障資料安全,資料不被洩漏出去,或者不被誤用。我們會根據使用場景和資料形態的不同,應用不同的資料安全模組進行有效的組合,去解決場景化的一些痛點。

    比如透過水印技術,進行一些事前的威懾和事後的追蹤。透過工作沙箱在PC或者移動端進行虛擬化的工作空間的設定,讓實際的工作應用和資料跑在工作沙箱裡,個人的應用跑在沙箱外,這樣我們可以拒絕公私混用,既保障了資料安全,又保障了個人隱私。同時我們還可以透過透明加解密的靈活組合,以及外發檔案的監控,隨身碟加密,防複製等手段進行資料風險的管理。

    安全管理的第三個層面,是對軟體風險的管理,現在盜版的軟體或者軟體一些不正確的使用,會給企業造成一定的損失。比如說如果有一些不遵守規矩的員工在電腦上隨意安裝盜版軟體,可能會導致公司產生智慧財產權的糾紛,這時候對盜版軟體的監控和識別,就成為一個企業的痛點。我們在瞭解到這個痛點之後,也在這個功能上做了一些加強。在終端上,我們加強了識別風險軟體的能力,同時在終端管控層面可以禁止安裝黑白名單。對管理員來說,他可以對終端上軟體的風險進行統一監控和管理。

    最後在風險控制層面,我們採取了大資料智慧分析的手段,透過一系列的AI建模,對使用者、實體等關鍵物件的行為進行多維度持續分析,以提升安全運營中的威脅,體現發現的能力。比如我們透過AI引擎,圖分析引擎對入侵的路徑和入侵的行為可以進行追溯。同時透過內部使用者實體的畫像,對使用者的一些違規行為也可以提前發現。

    風險控制的第二個舉措,聯合SDR進行全程的聯動響應,iOA的終端是自帶EDR能力的,可以與網路側的NDR,以及在雲端的雲原生安全形成端、網、雲的XDR風險檢測響應閉環,使得整體的業務從端到雲,到業務的訪問,都是閉環可控的。同時以安全雲腦為中心,建立自適應安全,一旦發生風險,可以聯動在端點或者在網路側的各種裝置進行阻斷響應。這裡面我們遵循的是Gartner的(TAFA音)模型,對全程進行自適應的檢驗和響應。

    我們即將釋出的iOA7.0版本是基於零信任2.0防護體系打造的新一代零信任安全管理平臺,我們剛剛提到的像接、防、管、控四個層面的能力,都會在7.0一起釋出。“接”的目標是提升安全接入的能力以及效率;“防”的目標是增加三道安全場景的防護能力,使得防護更接地氣;“管”的能力是對泛端資產應用資料,進行全面的風險可控的管理;“控”的層面是對威脅進行提早發現,並且聯動SDR進行威脅處置。

    同時iOA7.0會相容所有的平臺,在端側會覆蓋企業PC裝置和自帶裝置,實現無縫的管理。7.0產品矩陣包括了SaaS,可以針對中小企業,他們需要訂閱模式。針對行業大型客戶,我們也推出了一體化版,一體化版復刻了iOA在騰訊內部時間的成功經驗,將接、防、管、控各個方面的功能都融合到了一塊。第三個版本是終端的管控版,對泛端管理以及泛端上的各種資料風險和業務風險的管理進行了增強。第四個層面,我們也推出了一些增值模組,可以讓我們的合作伙伴和我們的生態產品在這些增值模組裡去為我們的客戶提供更完善的安全保護,這裡麵包括了終端准入、資料防洩漏、雲桌面、沙箱以及一些高效工具。

    除了iOA的自身產品閉環,我們也攜手合作生態,共同打造生態體系。騰訊牽頭零信任產業標準工作組,目前已經有近六十家合作伙伴,覆蓋了身份認證、威脅防禦、IT管理、能力評測、行業標準等五大體系。我們希望有更多同行加入到我們的行列裡,為企業,為客戶創造價值,讓我們一起邁入零信任2.0時代,捍衛美好,謝謝!

   

    主持人:感謝育斌總的解讀和分享!這是騰訊首次對外披露零信任的技術演進路線圖,希望能夠給正在研發和實踐零信任架構的企業一些技術和經驗參考。正如剛才育斌總所言,目前騰訊零信任iOA已經廣泛應用於泛戶、醫療、物流、教育、金融等十大行業,數百家企業,並且部署終端已經突破了100萬。今天我們也很有幸邀請到了第100萬終端的客戶高燈科技帶來分享,高燈科技是一家財稅科技公司,在2020年首次部署了騰訊零信任iOA,隨著公司業務擴充,近期進行了第二次擴容,成為我們第100萬終端的客戶。在部署的過程當中,他們有哪些實戰經驗和實用的感受呢?接下來有請高燈科技資訊保安專家王凱,帶來“以零信任構建網路安全新正規化”的演講。

   

    王凱:大家好,我是高燈科技的王凱,接下來很高興和大家分享高燈科技零信任安全建設的心路歷程和建設實踐,希望對大家有所借鑑和幫助,我分享的題目是“高燈科技以零信任構建網路安全新正規化”。

    這次分享從三個方面展開:

    第一,帶大家認識一下高燈科技;

    第二,向大家介紹一下零信任專案的建設背景與對應需求分析;

    第三,高燈零信任專案的具體建設實踐與價值一。

    第一,先帶大家瞭解一下高燈科技,高燈科技成立於2017年5月份,是一家以發票數字化為基礎,透過構建去人工化、線上化,科技合規的行業專業雲設施,面向企業和監管提供財稅合規,以及交易合規管理平臺的財稅科技公司。用科技彌合監管和企業之間的鴻溝,一方面助力監管利用科技手段去主動參與企業創新經營之中,另一方面,助力企業用科技手段主動構建合規管理體系。

    第二,我們一起來看一下高燈科技在2020年在零信任專案建設的背景與需求分析。在2020年的時候,我們都知道一場新冠疫情席捲全球,這時候遠端辦公需求猛增,在高燈使用傳統VPN廠商曝出高危漏洞,存在極大的安全隱患。除此之外,在我們審視自身的網路安全建設過程中也發現存在很多問題。

    第一個問題,終端安全方面。高燈沒有統一部署終端防毒產品,員工使用自己免費的防毒產品,造成終端安全管理混亂,終端安全產品和傳統VPN產品建設是割裂的,造成遠端接入無法聯動終端安全,安全運營無法閉環,存在極大的安全風險。一個員工終端上面要裝幾個安全軟體,體驗非常不好,而且同時容易出現相容性影響問題,管理員也需要維護多個後臺,只能透過堆積人力來解決,這種情況下,我們的辦事效率就會比較低。

    第二個問題,高燈自身屬於網際網路基因公司,重視數字化帶來的生產效率提升。最近兩年透過業務上雲,提升效率,而使用傳統的VPN將業務分佈分散,會造成暴露面擴大,而且變得更加複雜,業務和安全形成一個對抗的關係。

    第三個問題,在後疫情時代,遠端辦公常態化,需要經常應對業務彈性負載,傳統的VPN難以平滑擴充,平臺穩定性也欠佳。

    基於以上的挑戰,傳統的網路安全建設方案已經無法滿足新背景下的安全建設要求。這時零信任安全方案進入我們的視野,最後我們就開展了零信任方案的瞭解與調研。在講具體的方案調研之前,我們對自身的安全建設做了歸納與分析,分別是以下四點:

    第一,遠端辦公場景替換VPN,解決高危漏洞利用安全的隱患,這是我們當務之急,也是必須要儘快解決的問題。

    第二,網路暴露面治理,網路接入安全性提升。因我司業務具有較高安全性的要求,此前使用傳統VPN產品,每天都會面臨駭客埠多次掃描嗅探,存在極大的安全隱患。

    第三,需要一體化終端安全建設,形成安全運營建設閉環,最大化安全建設效果。同時最好是一個客戶端可以解決我們所有的終端安全問題,提升使用者體驗和管理效率。

    第四,應用對業務彈性具備資料安全方案演進路線,後疫情時代更好地應對業務彈性,產品需要具備中臺擴容,以及進一步方案演進的路線,同時我們這裡有對產品成熟度和穩定性提出了很高的要求。

    透過對以上四點需求進行分析,我們認為第一點和第二點屬於重要而且緊急,需要我們儘快來處理這些問題。第三點屬於重要但不緊急的問題,但能儘快解決最好,解決不了在產品方案建設時,要具備對應的擴充套件能力。最後一點屬於相對更加緊急的方案,對於子專案資料安全可以放在後期建設,但要具備演進的能力。

最後是高燈落地零信任專案建設過程的收益與價值,在做完了需求分析以後,我們開始市面上零信任方案的調研工作,因為當時零信任處於一個風口,市面上做零信任的廠商很多,琳琅滿目,但也都處於起步階段,如何挑選適合高燈的產品方案,是我們重點要確定的問題。

透過內部討論,我們將調研工作主要從兩個維度開展,分別是產品成熟度以及方案匹配度。產品成熟度方面,首先採用的產品必須是經過真實環境驗證的成熟產品,保證產品的可用性和穩定性。其次,整體方案的匹配度,是否匹配高燈的需求。在2020年市面上的零信任廠商大概包括三個型別。

    第一類,傳統的安全廠商,它們普遍透過原有產品技術構建零信任方案,產品成熟度較高,但對於高燈的需求匹配一般。

    第二類,網際網路廠商,一般是內部安全建設實踐的輸出,但能力參差不齊,既有騰訊這樣零信任高度成熟的產品,也有部分廠商剛剛開始推向市場產品。

    第三類,初創公司,他們多半剛成立公司不久,產品能力感覺很強,但缺乏實踐驗證。

    我們對幾家廠商產品做了調研與POC認證,得出來表中的結論,網際網路廠商可能對我們的匹配度會更高一些,最終我們透過綜合的對比,選擇了騰訊,主要是因為騰訊在產品成熟度和方案匹配度方面的優異表現。產品成熟度方面,騰訊最早在2016年就開始在自家企業IT推廣了零信任產品iOA,每天承載了騰訊10萬以上員工,15萬以上裝置的穩定執行,市場化產品是自身連線著產品的商業化付出。同時,在2020年當時已經有多個超過5萬點的大規模案例使用了,騰訊也是國內外零信任建設的先驅者和權威,主導制定了很多國際國內零信任行業標準,獲得了Gartner和Forrester的認可,這裡我們認為產品成熟度非常重要。因為產品能力後面可以補齊,而產品成熟度不是一朝一夕就能完善的,就像蓋房子,如果沒有一個很堅實的基礎,上層再好的花園也是空中樓閣,鏡中花、水中月。在方案匹配度層面,騰訊零信任產品秉承終端安全一體化的理念,具備終端安全、身份安全、應用安全、鏈路安全四大方面的能力,建立起混合辦公零信任安全閉環,符合我們企業安全建設理念,符合我們公司現狀需求與未來規劃。

    接下來我們看看高燈零信任安全建設的整體方案情況,在終端層面,零信任抹平內外網差異,不再存在預設信任區,零信任客戶端支援windows、Mac、Linux、信創等多種PC端作業系統及終端ios、Android作業系統,涵蓋範圍較廣。功能方面,使用者僅需要安裝一個客戶端即解決終端防毒、補丁管理、終端監控、零信任接入等傳統需要三到四個客戶端才能達到的功能效果,而且各個模組之間聯動。

    網路層面,零信任透過SPA埠隱身技術,真正做到了內部業務對外發布的網路隱藏,極大地提升了駭客的攻擊成本。後臺方面,零信任主導數控分離,資料層面可以支援多雲部署,快速擴容,業務系統也無需改造,可快速接入使用,最終透過零信任iOA的終端安全一體化,網路隱身,動態許可權訪問控制等手段,來落地零信任安全的“持續驗證,永不信任”的理念。構建涵蓋終端可信、身份可信、鏈路可信、應用可信的4T可信安全系統。另外是對辦公的生命週期安全,業務訪問過程進行持續動態全面的許可權控制和安全檢查,實現終端在任意網路環境中安全、穩定、高效的訪問企業資源。

    方案建設、規劃和演進方面,根據此前需求分析中的緊迫程度,我們將整體方案分為三期來推進:第一期建設,主要解決迫在眉睫的問題,替換VPN解決高危漏洞風險,建立終端安全一體化模型,方便後續擴容加減。同時收斂網路暴露面,解決網路安全暴露方面的風險。第二期建設主要聚焦於身份和許可權治理方面,首先透過聯動對接企業微信,做到身份資訊同步認證對接,掃碼登入與相應認證,提升安全訪問級別,透過動態訪問控制能力,來配合落地最小化許可權理念。其次,在多雲上部署零信任閘道器,納入接入更多的業務。第三期建設集中於資料安全建設,透過零信任PC端沙箱與移動端EMM能力,構建資料圍欄,加強資料安全建設。同時透過零信任擴充套件網路准入,在一期裝置安全實現應用及准入的基礎上,增加網路准入建設。透過建設零信任方案,我們的整體網路安全建設方面,整體上了一個新的臺階。

首先網路安全方面,我們透過零信任替換解決傳統VPN問題,解決了我們高危漏洞利用帶來的安全隱患,透過零信任網上隱身技術,做到了對外網路暴露面的收斂與隱身。在攻防維度,進一步提升了網路接入的安全性。終端安全方面,接入終端安全准入體系,將終端安全與零信任接入打通。透過終端安全一體化理念,讓安全建設更全面、更智慧、更便捷、更高效。零信任客戶端具備勒索病毒防禦專項能力,依託騰訊安全實驗室的安全能力,基於事前、事中、事後,構建勒索病毒防禦體系,目前已經支援一百多種常見勒索病毒的解密能力,透過防釣魚,防橫向,將可能遇到的安全隱患降到最低。

騰訊零信任客戶端還具備很多實用的小工具,比如軟體倉庫,管理員可以將員工日常使用的常規軟體提前準備好合規版本,然後上傳,方便員工使用,提升安全合規性。文件時光機除了可以防止勒索病毒封鎖文件以外,還可以充當防誤刪,強力恢復等工具。在高燈的實際使用中,對於財務、法務部分的關鍵票據和檔案備份,有著很好的應用。

    在資料安全層面,透過螢幕水印、列印水印建立起資料溯源體系。零信任客戶端還具備桌面管控的功能,可以做到外設管控與檔案訪問審計的能力,後期還可以擴充套件PC沙箱以及移動端EMM能力。

    業務效率方面,透過零信任安全建設,我們建立起一套後疫情時代混合辦公的安全治理體系,形成安全管理一盤棋。涵蓋多種終端型別,更多後臺業務,聯動企業微信實現更高效使用,結束生產與安全的對抗關係,最終實現降本增效的需求。

    謝謝大家,我的分享到這裡就結束了,希望對您有所幫助!

   

    主持人:感謝王凱先生帶來的高燈科技經驗分享!正如王凱所說,騰訊零信任iOA不是一個軟體,更多的是一個綜合性的平臺,它囊括了防病毒、終端管控、零信任接入、DLP等多項功能,不僅提升了高燈科技的安全管理能力和效率,還極大地降低了安全運維成本。實際上騰訊零信任iOA部署終端突破100萬,對於騰訊安全來講,更是一個新的起點,未來騰訊安全將不斷升級iOA的產品能力,用更好的解決方案服務於信賴於我們的客戶。實際上騰訊零信任iOA部署終端突破100萬,對於騰訊安全而言,更是一個新的起點,未來騰訊安全將不斷升級iOA的產品能力,用更好的解決方案服務信賴我們的客戶。接下來讓我們把視野放到國際,看看國際上零信任的發展是什麼樣的,讓我們有請CSA大中華區主席李宇航帶來“零信任與數字安全國際趨勢與實踐的分享”。

   

    李宇航:尊敬的各位領導、專家學者和參會嘉賓們,大家好!我是國際雲安全聯盟(CSA)大中華區主席李宇航。首先感謝主辦方騰訊安全對零信任的高度重視,並給我們提供一個產業交流的機會。

    零信任是從零開始建立信任,零是起點,信任是終點。上週CSA在舊金山RSA大會上舉辦了首屆CXO信任峰會。零信任之父CSA大中華區研究院顧問John Kindervag,全球領先的零信任廠商和甲方企業負責人們雲集一趟,分享了零信任的海外實踐。在美國,繼去年5月拜登簽署零信任相關總統令後,今年1月美國白宮正式釋出了《聯邦政府零信任戰略》,這是全球首個零信任國家戰略。4月美國網路安全域性又釋出了《企業移動計算中利用零信任原則的指導書》。

    從2020年到2026年的零信任市場與預測來看,美國將從196億美元增長到516億美元,複合增長率17.4%。美國大的老牌安全廠商都在積極擁抱零信任。Okta、Zscaler等新興零信任廠商迅速成為獨角獸,市值進入全球前列。微軟基於零信任理念打造安全產品線,年度營收在2021年達到150億美元,這都說明了零信任發展之勢不可阻擋。

    在歐洲,三年前零信任還幾乎是空白,今天18%的歐洲組織機構建立了零信任的企業安全戰略,93%的歐洲組織機構實施了至少一項對應零信任理念的解決方案。最近,歐盟就為關鍵行業組織實施共同安全標準的新立法達成了政治協議。歐盟網路和資訊系統安全法規NIS指令將升級,NIS2.0指令納入了以零信任為首的安全新要求,並責成歐盟各國把它們在21個月內寫入法律,涵蓋在關鍵領域運營的大中型組織,包括公共電子通訊服務,數字服務,廢水和廢物服務,關鍵產品製造,郵政和快遞製造服務,醫療保健和公共管理的供應商。

    從2020年-2026年的零信任增長率預測來看,德國為17.6%,英國為18%,法國為19.7%,西班牙為21.6%,歐洲的主要零信任提供商目前幾乎都是美國公司,包括微軟、谷歌、思科、IBM、Akamai、PaloAlto Networks等,我希望今後能夠看到中國廠商的名字。

    在俄羅斯上週舉辦的國際資訊保安大會上,我在主旨演講中向上合組織、金磚國家、集安組織的國家五百多位國家領導和企業IT負責人介紹了零信任。他們非常認可這個理念,也將開始戰略規劃和實施行動。在中國工信部《網路安全產業高質量發展三年行動計劃》中,有零信任框架開發要求。騰訊是國內最早實踐零信任的網際網路大廠之一,今年5月,騰訊iOA零信任解決方案已經突破了100萬終端的部署,是國內首個突破百萬終端的零信任產品。接下來何所長也會分享中國信通院對零信任的見解和情況。

    為什麼零信任在這幾年加速發展?這和新冠疫情爆發和數字技術突飛猛進,推動了數字經濟發展是強相關的。大家知道,今年1月15日習近平總書記在《求是》雜誌發表了“做大、做優、做強我國數字經濟”一文,強調統籌國內國際兩個大局,發展安全兩件大事。數字經濟被譽為第四次工業革命的“鑰匙”,已經成為全球經濟復甦的新疫情,國家發展新經濟的助推器和國家級戰略。在這一程式中,虛擬世界與物理世界融合,安全威脅與安全需求在發生變化。傳統的安全產業在理念上落後,產品碎片化,廠商同質化,這些都適應不了在資料時代為數字經濟發展保駕護航的需求。因此,網路安全向2.0升級是大勢所趨,這個升級版可以稱為數字安全。CSA大中華區於2019年向聯合國秘書處彙報了這個趨勢,2020年聯合國秘書長髮布《數字合作路線圖》,首提“數字安全”。今年3月聯盟應聯合國授權釋出了《數字安全定義和框架》,中國的安全專家們也有今年是數字安全元年的說法。

    對於數字安全來說,零信任更加重要,在產業數字化和數字產業化的所有應用場景中,零信任都能夠為業務帶來價值。CSA大中華區為了幫助國內的企業落地零信任,做了大量的零信任研究、人才培養和宣傳活動。例如這個畫面上展示的零信任SDP技術標準,中國零信任全景圖,中國零信任案例集零信任認證專家CZTP課程,零信任研究報告,SDP攻防大賽等。藉此機會,我邀請大家參加聯盟今年將主辦的第三屆國際零信任峰會。

    展望未來,我認為零信任在國內需要引起更加足夠的重視。

    在戰略層面,政府與企業都應該以零信任為理念,做數字安全戰略。

    在法律層面,基於零信任的安全要求,應該寫進更新的網路安全與資料安全法律。

    在標準層面,零信任的設計、實施、測評等系列標準需要制定。

    在技術層面,更多的數字技術,如人工智慧、物聯網、區塊鏈等需要與零信任解決方案融合。在產業層面,安全廠商需要圍繞零信任進行產業協同,滿足客戶的總體需求。

    在人才層面,零信任有足夠的理由成為專業專崗。

    技術原理無國界,零信任儘管起源於美國,但中國也必須搞,這樣才能成為網路強國,提升數字安全能力。數字經濟召喚著護衛利器,零信任踐行天下,SDP盾御蒼穹。謝謝!

   

    主持人:感謝李宇航主席的分享!騰訊作為零信任工作組參與單位之一,一直以來都在積極地聯合CSA大中華區,從零信任技術標準、架構指南、應用場景等多方面開展人才培養,為零信任行業不斷輸送人才。不僅如此,在2020年6月,騰訊還牽頭成立了零信任產業發展聯盟,並不斷推動標準的制定,生態的建設。隨著零信任步入2.0時代,零信任的發展也需要新生態。今天我們將在中國產業網際網路發展聯盟常務副秘書長陳勝喜先生的見證下,與眾聯盟成員單位一起迎來聯盟升級這一重要時刻。現在我們可以看到各個聯盟代表也紛紛發來對本次聯盟升級的祝福,我謹代表零信任產業發展聯盟宣讀零信任開放生態倡議。

    一、擁抱開放,共促零信任產業良性發展;

    二、共建標準,支援零信任技術規範發展;

    三、加強合作,深化企業間的技術協同與商業協作;

    四、支援國產,提升與國內晶片、作業系統等相容能力;

    五、服務客戶,深化場景,助力客戶在零信任的應用和落地。

    我鄭重宣佈,零信任產業聯盟升級一事正式啟動。同時我也宣佈零信任產業聯盟標準相容認證正式啟動,未來零信任聯盟將基於全面、開放、生態的理念,打造行業內最具權威的零信任產業聯盟,透過加強合作,共建標準,深化企業間的技術協同與商業協作,共同促進零信任產業的良性發展,讓我們共同期待。接下來有請聯盟成員單位代表,綠盟科技解決方案負責人劉弘利,帶來“用零信任構建數字化轉型的資訊體系”分享。

   

    劉弘利:大家好,我是綠盟科技劉弘利,今天我給大家分享的議題是“用零信任構建數字化轉型的信任體系”。

    首先數字化轉型是這兩年重要的主題,包括RSA大會也是以轉型作為它的議題的主題。數字化轉型就是利用了一些現代化的數字技術,比如像雲端計算、大資料、物聯網、5G等等,我們在“十四五”規劃也提到了像數字化轉型,更多提到的是上雲、使用者、複製。數字化轉型必不可免的碰到安全問題,比如你的業務都上雲了,你用了一些大資料的平臺,那麼你的風險就增加了。因為你的暴露面增多,而且邊界是模糊的,那你用PC也可以訪問,用移動裝置也可以訪問。另外隨著疫情老是反覆,我們遠端辦公要在家裡辦公,我們首先要連線到辦公場景或者資料中心,要進行操作,要訪問我們的應用,因為我們數字化轉型我們業務都上了業務系統,都上了電子化,那麼我們風險也增大了,隨著遠端辦公的場景。那麼我們就需要有一種新的方式,實際上我們安全一直在建設,但一直出現各種問題。比如像勒索軟體,這個是最大風險的一個安全問題。還有挖礦軟體,這都屬於惡意程式碼。另外像APT攻擊,DoS攻擊、資料洩漏,這些也都是我們常見的一些風險。

    那麼這麼多風險這麼多年,我們有沒有更好的方式呢?這就是零信任被提出來的原因,它有很長的歷史,我就不介紹了。我們說零信任的核心理念是什麼呢?在我們的標題裡,我們用零信任來構建一個可信任的體系,怎麼去構建呢?就是說你去訪問這些應用,訪問這些資料的時候,你保證自己是可信的,你的終端是可信的,你用的裝置是可信的,不管是PC機還是移動裝置,還是你的人,還是你的訪問行為都是可信的。在橫向上,就可以說是通用的,從使用者環境到業務環境,中間要有一些檢查和執行的點,來判斷你是不是可信的,如果你不可信,那我就有一些手段來進行控制,這個就組成零信任的理念。

    橫向是訪問,縱向是做決策和判斷。綠盟科技就是利用零信任理念,打造了一個端到端的零信任安全訪問的模型,它更多強調的是多方的可信認證。對於應用進行隱藏,然後要對使用者訪問行為持續評估,出現問題進行響應,這是整個零信任端到端的管理模型。那麼怎麼來實現可信終端和訪問控制,還有分析呢?接下來我會給大家一一解釋。

    首先來看整個方案它的模組,它的模組包含了像終端,終端在每個PC機或者移動裝置上需要有一個SDP認證的客戶端。然後到網路上,在我們資源前面會有SDP認證閘道器,同時還有4A平臺或者IAM平臺,這個主要是使用者的身份認證,主要是他的模組。最後是零信任管理控制的平臺,這個主要是做零信任的行為分析。

    接下來我給大家分別介紹一下綠盟科技零信任解決方案的關鍵特性。

    第一,SPA首包認證。這是透過UDP的方式,當你這個客戶端啟動了,它就要到控制中心獲取它是否可以訪問SDP閘道器的動作,這個是透過UDP發包,同時帶來客戶端的認證資訊。當認證透過,這時候才會允許他訪問我們這些資料或者資源前面的SDP安全閘道器,這樣的話,他就可以進行使用者的認證,這個主要是首包認證的目的。這樣的話,不是說所有的客戶端都可以訪問認證閘道器,只有經過單包認證透過的客戶端才可以接著往下訪問,才可以用使用者名稱、密碼的認證方式來訪問,這是首包認證的特性。

    第二,多環節的信任驗證與訪問控制。這個主要是說你在終端上需要是可信的,比如說我們要檢查終端上是不是有滿足了安全基線,有沒有補丁。我們知道像WannaCrypt這個勒索軟體,當時就是因為17-10這個補丁沒有打,出現了WannaCrypt大面積感染勒索的事件。零信任方案裡,對於客戶端認證的時候,就可以對客戶端是否打了某些重要的補丁,彌補了漏洞進行檢查。當然了還有其他的認證方式,比如你是否安裝了一些企業要求的軟體,是不是有一些盜版軟體,或者一些程式是不是可信的,有沒有可疑的程式。還有像防病毒軟體有沒有安裝,ETL軟體有沒有安裝,防病毒的病毒碼有沒有更新到最新,這些都是可以進行認證的。同時對使用者身份進行認證,還有使用者許可權,這個其實也是多環節信任驗證。如果你這些不滿足,那我們就不允許你訪問,所以這就是多環節驗證,然後進行訪問控制。

    我們零信任不僅僅是訪問,還要進行安全訪問,同時要給訪問者有很好的訪問體驗,使用者體驗也很重要。所以我們說一個賬號,如果實現了多因素認證,並且實現了單點登入,對使用者來說就相對友好,他透過認證之後,給到他的是一個集中的場景,這樣的話,他進來之後就可以看到所有他可以訪問的這些應用,實現了一個賬號打通所有的應用,並且統一的應用入口。登出的時候,他所有的應用都不能訪問了,相對來說認證和登出都是很簡單的。

    我們在統一入口可以看到,如果你是普通使用者,你進來之後根據你的許可權,分配你什麼樣的應用,在通用的應用小的場景來展示,如果你是管理員的話,你看到的是後臺管理系統,比如像windows主機,像Unix、Linux或者資料庫這些主機,也是同時都給你開放了,這個是我們所說的訪問便捷。同時有多個資料中心,多個鏈路,它也可以自動進行切換,因為都是網路上的連線,所以使用者體驗是比較高效的。

    還有一個是我們專門對資料安全進行了防護,尤其是在移動終端,我們打造了個人空間和工作空間的區隔,兩個域來進行個人的訪問和工作的訪問,可以實現像在工作空間裡實現工作檔案的隔離,一些數字水印,一些防拷屏,可以進行審計等等。這是在移動裝置上做的一些增強,“雙域隔離”的概念。

    那麼我們說零信任持續的評估,對訪問行為要評估,不僅對賬號,對於授權,對於終端,還有對於訪問行為。這個我覺得是和以往的認證最大的不同,就是你要持續分析使用者訪問行為,並且做出決策。這和之前的訪問控制方案是最大的不同,它也利用到了一些UEBA的技術,主要是分析使用者訪問的行為,比如說使用者訪問上來之後,是不是有一些掃描的行為,這個怎麼來實現呢?那就是透過網路上的流量,一些路徑檢測的告警,收集這些資訊進行分析。這裡用到像UEBA的模組,或者態勢平臺上的使用者訪問的模組,來看賬號是不是異常了,終端是不是異常,然後你的訪問行為是不是異常。當出現這些行為,你就可以給到這些網路裝置或者終端上傳送指令,然後切斷或者進行隔離,實現動態的訪問控制。這個就是動態訪問控制的一些動作,比如說像阻斷放行、封堵、鎖定隔離或者進行二次認證,再增加一次認證,或者對它的許可權進行調整。所以我們在騰訊牽頭零信任聯盟裡也有一個倡議,我們在零信任生態,我們也呼籲聯盟各個廠家可以對自己的,尤其是探針網路上的裝置,可以有這種開放的介面,這樣的話在零信任生態裡,我們就可以用異構的模式來打造一個完整的方案。使用者有自己的選擇,用不同的產品,也可以組建零信任的方案,以開放的心態來擁抱這些標準,實現這些標準所要求的一些功能,就能打造這樣的生態系統。

    最後我們要提出,我們的零信任是為了保護,為了提升安全的,比如隱藏我們的應用和資源,隱藏我們的資料,減少攻擊面,同時增強終端對使用者,對訪問行為可信的多環節認證,提高體驗。我們零信任元件也要是安全的,用多重的措施來保證零信任方案和各個模組的安全,避免自身成為突破口。大家知道安全理念裡有一個“水桶原理”,整體的安全性決定於最短的那塊木板,我們零信任不能成為最短的木板,本身是安全的裝置,結果你成了不安全,這個肯定是不能接受的,所以要有對各個模組透過一些技術手段來進行自身的安全能力的加固。

    剛才我給大家介紹的是綠盟科技的零信任,落地之後我們有一些關鍵的特性。零信任在哪些場景下得到應用呢?我們發現各個行業都是可以應用的,尤其是在攻防演練期間,因為這時候你在對於攻擊者而言,我們要減少攻擊的暴露面,零信任理念就是把後臺的資源和資料隱藏在閘道器之後,如果你要訪問,那你要經過一道道手續來驗證自己是可信的,並且對訪問行為也是可信的。我們要隨時進行訪問行為的驗證,並且做出一些決策。

    第二,遠端辦公場景主要是因為疫情的原因,我們既要實現網路連線,不管是訪問辦公環境,還是訪問資料中心、雲中心的場景,都是可以用零信任來進行訪問的加強。

    第三,運維場景更多是給系統管理員或者資料庫管理員,還有開發測試人員提供的場景。

    第四,資料安全場景,其實零信任本身也是保護資料安全的,除了資料安全治理本身的這些能力之外,其實對於使用者的認證訪問控制,其實是重要的一環。我們在縱深防禦裡,其實網路上的防禦,像使用者身份防禦,然後再到資料治理,比如像資料加密,資料脫敏,資料洩漏防護等等,還有資料風險評估,資料分類分級,這些都是資料本身的。在零信任場景下,解決了對應用和資料的訪問的場景。

    第五,SASE場景,SASE是更廣闊的零信任,更泛化的零信任場景,因為它整合了零信任還有SZY這些遠端訪問的機制,各行各業都是有零信任的一些應用場景。

    最後我們來看一個企業的零信任真實的案例,這個使用者痛點是他把自己的網路進行升級,有一部分資料庫是在雲端,是在雲的環境,有一部分比較保密,比較核心的資源是在自己的資料中心。它的業務痛點,第一,傳統網路能力的增強升級,這是他非常希望的,主要是體現在什麼?他希望把自己的資源資料隱藏在後面,把應用系統隱藏在後面,減少攻擊面。第二,他有遠端辦公的場景。我們的方案是提供他一些模組,比如在運維人員和辦公人員,他的客戶端上要裝SDP客戶端,然後在他的應用前面部署SDP閘道器,後面是有他自己身份認證平臺,我們又加上零信任的分析控制平臺,這樣實現了一整套的零信任方案。不管是對於運維人員,還是辦公人員,訪問後臺的伺服器,訪問後臺的應用,首先需要首包認證,認證透過之後開啟一個頁面,這樣SDP客戶端開啟使用者登入頁面,輸入使用者名稱、密碼。同時有一個二次認證的方式,來實現前認證。在他訪問過程中,還要對他的訪問行為進行分析和研判,當他出現一些可疑的行為之後,SDP控制中心就可以給SDP閘道器傳送一些指令,要求封堵或者截斷訪問行為,出現問題就讓客戶端進行修復。是出現什麼原因了,比如客戶端上存在一些風險,比如有一些異常的程式或者異常的訪問行為,這個就實現了零信任整個環節,比如像多因素認證,單點登入,還有像訪問行為的多環節分析。使用者遠端辦公不管是PC還是移動裝置,也都可以訪問後臺的應用系統。在移動裝置上有雙域隔離,它可以有個人辦公還有工作的空間,來實現雙域。對於資料也是辦公資料的保護,這個是在企業裡面我們零信任的案例。

    到這裡我今天的分享也差不多結束了,簡單回顧一下,我們今天還是給大家介紹了整個零信任的理念,它是隨著數字化轉型對網路安全的提升,尤其是遠端辦公場景,還有減少攻擊面的場景。它的核心理念是對使用者身份,以這個為中心,來實現多環節的認證,持續認證的理念。我們也介紹了綠盟科技零信任解決方案落地的一些關鍵特性,比如說像一些首包認證,多環節的認證方式,驗證與訪問控制,還有使用者友好的訪問體驗,雙域隔離,智慧化分析,動態訪問控制。最後也給大家介紹了一個案例,今天我給大家分享就到這裡,非常感謝大家!

   

    主持人:感謝劉弘利先生的精彩分享!正如劉總所言,數字化時代網路安全面臨重重挑戰,零信任安全架構在不可信的網路中構建安全信任能力,是應對數字化時代的全新戰略。接下來讓我們有請下一位聯盟成員單位代表,寧盾的CEO劉英戈先生為大家帶來主題為“創新組織:後疫情時代高效辦公身份最佳實踐探討”。

   

    劉英戈:大家好,很榮幸參加零信任產業發展論壇,我是寧盾CEO劉英戈,很高興今天給大家帶來的主題是“創新組織:後疫情時代高效辦公身份最佳實踐”,我的演講包括四個部分:首先是疫情對於組織的變化,另外是闡述新的IT建設對於身份的變革,包括我們對新的身份一些看法,以及和騰訊的聯合方案,包括落地的一些案例。

    第一,疫情對於組織發展的變化。大家知道,最近一段時間全國包括上海、北京都有比較大的疫情,在疫情期間,包括我在內有比較多的感同身受,疫情對於組織的發展變化,我們的辦公室從原來的線下辦公室搬到線上去了,我們更多是藉助於企業微信和客戶進行交流,包括飛書進行內部協作。我們也看到了組織為了服務客戶,有些客戶,尤其是To B的大型客戶,還不得不面對客戶,這些客戶在外地,也考慮嘗試在全國有多個分支,去進行靈活辦公,到客戶現場。有些高科技企業,包括像遊戲、新零售生物和晶片這些行業,他們開始在全球化辦公,包括服務他們的客戶和本地的研發。另外疫情也催生著企業越來越注重ROI它的投資回報率,市場上的錢變得越來越值錢了,大家把原來購買資產的邏輯,逐步變成租賃的邏輯,越來越節約他的資金,包括他希望投入的核心業務,快速的能夠收到收益,這是我們看到疫情對於組織發展的變化。

    今天來看,IT對於組織變革起到的至關重要的作用,組織在談數字化轉型包括組織進化來看,都會需要IT來支撐。具體我們看到的一些小的點在於,第一,過去IT從傳統網路逐步過渡到零信任網路。第二,從線下往線上辦公室和會客廳進行遷移,線上下的時候,我們大家強調的社交和交流。對於線上來講,我們更加突出是實時性和敏捷性,資訊系統從過去建設,以IAM為中心,逐步過渡到以業務為中心,它的迭代效率會更加提高。我們可以看到今天的企業級IT市場,從過去的PC網際網路時代的資訊化建設,到了今天的移動化的發展過程。另外雲上雲下的身份落地融合,去確保線上線下訪問的一致性,這是我們看到的一個變化。

    第二,我們看到一些企業在建立它的新的IT投資鐵三角,在這種情況下,對於身份變革在哪兒?我們看到新的IT投資企業鐵三角,包括客戶更多采用雲服務,包括一些應用層的,像直播、視訊會議常見的雲服務。還有在辦公和客戶交流中,更多用一些平臺級應用,包括像企業微信、飛書這樣平臺級應用來支撐它的客戶和辦公。另外在網路層面上,我們過去在物理的內網和外網隔離的情況下,包括開始變成邏輯層的零信任網路架構下,在這樣投資的背景下,我們面臨新的挑戰是如何建立在異構的環境下,跨平臺應用雲和裝置、終端、網路,如何建立互信,包括訪問的一致性,這是我們今天面臨的新的挑戰。

    在這個挑戰下,解決辦法是我們如何用身份來建立大家的關聯,去解決跨雲、端、網路和平臺及應用之間的互信及訪問的一致性。我們也看到今天的組織可能會採用雲,我們剛剛看到上面的雲,像國外的AWS、谷歌、Azure,國內像騰訊、華為、阿里雲,在內閘道器鍵的應用,像網路層的有線、無線,AD的域控,包括核心的應用,像研發的應用,像bitbucket、conference、JIRA,包括像一些生產流程的軟體,OA類的軟體,這是在內網。在雲上的一些平臺級的應用,看到了釘釘、企微、飛書,包括一些關鍵的應用,像辦公的office365,還有像CRM。在端上,除了過去的windows,今天的Mac、Linux這樣的桌面終端,包括還有泛終端,就是BYOD和iOT裝置。在這樣的多雲、多平臺,包括跨端的背景情況下,我們今天面臨的問題,我們這些創新的組織,如何從過去的要擁有身份,以IAM為核心的情況下,過渡到去控制這個身份,我們今天所有的這些平臺商,都已經把他的身份建的很健全,對於企業來講,再去重複的建設身份,是有點浪費了,那我們怎樣把原來的平臺商建立起來的一些身份,我們拿過來使用,然後把他們之間建立這種互信的關聯關係,我們只要保證它的訪問控制就可以了。

    第二,剛剛也談到過去我們以IAM為核心來建設,今天我們每個平臺級的應用和雲平臺,它都有內化的身份,怎樣在去中心化的身份情況下建立聯邦的身份,從過去的中心化到去中心化。所以從這個角度來看,我們想看一下創新的身份應該是什麼樣子,我們也看到今天的國內發展的技術趨勢,對於身份的需求也越來越多,包括我們前面談到的數字化轉型,包括大量外網的訪問和無線網路的訪問,包括剛剛談的企業微信、釘釘、飛書,包括像部署的雲和SaaS應用,收購和合並等等這樣的場景,都有越來越多的身份使用。這個時候我們會發現,什麼樣的技術線路是符合未來的創新組織去支撐它的,目前我們看到在全球來看身份有三種發展的線路:

    一、我們最早發現的,在區域網時代的IAM,IAM我們知道像Oracle、IBM做大型企業的IAM軟體,通常來講表現出來的是非常定製化的,而且交付週期非常長的方式來做。我們看到中小型企業會用微軟ID來管終端,包括大型企業在管端的情況下也會用ID,這是在區域網時代。

    二、到了雲端計算時代,我們看到比較火的是IDaaS,它主要解決的是雲上的SaaS應用的統一分和單點登入。但是在國內來看,這條線路發展出現了一些問題,因為國內平臺級的廠商它把各種各樣的SaaS納管到自己的平臺上了,所以獨立的IDaaS並不能夠獨立成為一個市場。

    三、DaaS(目錄即服務),過去的我們的端,我們的網路,我們的應用,它的身份之間怎樣聯合,去解決分散式的身份聯合問題。所以我們看到今天的發展趨勢,DaaS更符合這個技術發展趨勢。但是它面臨的挑戰是品牌認知度,逐步讓大家認識,幸好我們有這些創新的組織,他們在勇敢嘗試這樣一些物件。在目錄即服務技術線路中,我們也看到整個IT架構,過去是以IAM為核心的各種各樣的應用,全部對接到IAM中間來,今天是分散式的IAM,這個時候你的身份目錄就是要把分散式的IAM進行聯盟起來,包括不能解決的一些基礎架構的場景,把它的身份統一進來。包括網路,包括端側的身份,把它統一進來。這個時候形成一個聯合的身份,我們稱之為身份目錄服務。

    寧盾在身份目錄服務上,在國內算是最早去踐行這個技術線路的一家企業,我們從最開始MFA的單點解決基礎架構的問題,逐步往前在發展。今天我們推出的MeConnect方案,它是從人和端一體化的身份管理,已經相對比較健全了,所以它包括我們剛才談的混合身份目錄,以及同意的MFA,以及網路和終端的身份管理,包括應用的接入管理,包括平臺級接入管理,還有賬號生命週期管理,還有特權管理。對外我們也提供非常豐富的聯動,保證大家都可以對接。這樣的方案主要解決的問題是什麼?它主要是解決過去煙囪式的身份管理,我們過去在端側我們有針對端的身份管理,包括目錄側我們今天看到的內網有AD目錄,在雲上我們有平臺級的應用身份。在網路側有網路的接入身份,包括應用側有它的單點登入和多因子驗證,包括在雲上,包括和安全的聯動,這上面都有很多的身份,這樣的身份形成一些孤島,沒辦法進行聯動連通。對於寧盾來講,我們把這些場景一體化,包括和既有投資聯動起來,這個時候把它從基礎架構到雲,到端一體化打通,這是提高客戶的效率,並且幫助客戶節約他的管理和投資成本。

    從目錄即服務來講,它在客戶的落地,我們把它提煉出來有幾個階段:

    第一階段,在混合的身份目錄建設,在既有的雲上雲下的身份怎樣把它聯合起來。

    第二階段,全場景的身份接入安全,包括遠端的辦公接入,包括網路接入,還有資料中心接入,還有辦公應用接入。

    第三階段,解決泛端的准入控制,包括桌面端,泛桌面端,還有亞終端BYOD的,解決它的問題。

    第四階段,要提高效率,如何透過低程式碼,包括workflow的方式,來提高身份管理的自動化水平。過去我們在管理賬號的時候,成本是比較高的。

    舉個簡單的例子,過去我們比如一個人力資源,他有一個新的員工入職的時候,他需要把他走完入職流程之後,告訴每個系統管理員給這個員工建立他的賬號,這是要消耗時間的。第二,當他離職的時候也通知這些管理員把這些賬號刪除過程禁用掉,這個中間面臨一些問題,這個系統管理員沒有及時刪除,它會面臨一些安全風險。並且耗時,所以第四階段需要把它整個過程變成自動化管理,這是我們看到的整個身份目錄服務推進的幾個落地的階段。

    接下來我們來談一個創新組織的需求和建設方案案例,這是一個創新組織它的需求,它的應用層有的像office365、Salesforce、堅果雲網盤,它用的平臺級應用像企業微信是解決對客戶服務的問題。飛書進行內部協作辦公,在它的基礎架構的建設中用零信任網路解決它的防毒包括資料安全的問題,除此之外還有身份,它有AD域控。另外在身份認證方面,它需要解決這樣的一些問題。基於這樣客戶的應用和它的IT規劃的情況下,我們來看看從身份角度來講,怎樣去保證它的落地和它的最佳實踐,我們把整個專案拆成四期:

    第一期,解決它的SaaS業務,沒辦法納管到平臺級應用的業務,它的Single Sign On問題,以及它的統一身份到AD上,第一步要解決的就是把它的Salesforce和它的office365,還有堅果雲的身份橋接到它的內網AD上去,然後藉助企微或者像這樣的工具,來實現它的掃碼認證,把傳統的簡訊驗證,雙因子驗證替換掉。另外針對iOA和堡壘機的場景,能夠給它提供令牌的雙因子驗證,保障入口的接入安全。

    第二期,解決它的內網接入和端上的一些安全,包括內網的接入的一些准入,包括訪客的准入。另外是終端合規性的基線。

    第三期,需要解決它的本地的應用多身份橋接,包括使用者的口令支付和管理,降低它的口令修改成本,包括賬號的自動化管理。

    往後如果它的AD未來假設它的終端不再完全是windows終端的情況下,或者它認為加域對它來講不是那麼重要的情況下,這個時候可以去接管它原來LDAP應用,比如研發場景的像bitbucket、conference、JIRA,還有網路,像有線、無線的網路,這個地方可以透過LDAP協議,也可以透過radius協議來對接這些網路的應用。

    另外你的混合架構下的桌面7×24小時管理,最後就是當它的平臺級應用將來發生一些遷移,怎麼幫助它平滑過渡,這是我們給出的客戶最佳實踐。

    寧盾和騰訊的iOA合作也有非常悠久的時間,並且也合作非常愉快,接下來看一下我們之間的合作幫助客戶解決哪些問題。我們的聯合場景在於透過寧盾敏捷的身份管理,包括敏捷的內網身份准入的元件和零信任閘道器進行結合,最終幫助客戶實現更好的零信任網路的落地。在具體的幾個場景:

    第一個場景,在iOA客戶端MFA認證,我們知道在企業裡,它會有一些傳統的應用,沒辦法用新型的類似掃碼認證,推送認證的現代化認證方式,比如像堡壘機、伺服器這樣的場景。寧盾統一的MFA服務,可以幫助這些場景來進行多因子驗證,同時可以和iOA聯動解決MFA認證,這時候就形成統一的MFA認證。包括iOA可以和寧盾的SSO進行整合,來解決一些業務的快捷訪問的問題,簡化它和應用對接的流程。

    第二個場景,iOA平臺和寧盾身份進行打通,寧盾作為使用者的身份源,在一些創新的企業,客戶在沒有域的環境下,寧盾可以直接給它做身份源。iOA直接可以調動寧盾的身份,我們之間可以透過SCIM協議來進行聯動。

    第三個場景,在業務資源納管和身份打通,舉個例子,比如當一個客戶中間有多個身份源,比如說他有AD,有OA,有HR或者其他的身份源的情況下,甚至有些集團性企業是多域的情況。如果iOA跟很多異構的身份源進行聯動,會增加它的代價,因為它本身不是來做身份。對於寧盾來講,過去和各種各樣的異構身份進行過聯動,所以iOA只要和寧盾進行聯動,寧盾來實現對其他身份源進行橋接,形成一個多身份源的橋接之後,給iOA提供單一的身份聯動,可以簡化專案落地的週期。還有是我們在內網的情況下,有些客戶仍然還有內網的情況下,怎樣解決它的內網終端准入,實現內外網一致的終端准入。另外還有高階別的能力,我們怎樣透過身份來給它提供一些資料,能夠來實現智慧的終端安全風險等級,基於UEBA的智慧阻斷和放行。

    最後看一下我們雙方聯合的價值,可以實現可信的身份,可信的終端,可信的應用,在任意的網路環境中安全、高效訪問企業資源,內外網一致的身份管理和體驗。

    我的演講到此結束,謝謝大家!

   

    主持人:感謝劉英戈先生帶來的分享!劉總在剛才的演講中講到騰訊零信任iOA與寧盾MeConnect身份聯合案例,透過iOA客戶端MFA認證,iOA平臺與寧盾身份打通等,實現了在任意網路環境中安全高效的訪問企業資源,進而實現內外網一致的身份管理和訪問體驗。這個聯合案例,也充分展現了生態合作的重要性,只有各個廠商持續深化技術協同與合作,才能夠為客戶提供功能更為完善,體驗更好的零信任解決方案,推動零信任在中國的加速落地。

    本次騰訊安全零信任產業發展論壇到此就要結束了,再次感謝各位嘉賓今天的精彩分享,感謝各位媒體朋友和觀眾對於本次論壇的關注,我們明年見,再次謝謝大家!


相關文章