隨著企業(yè)數(shù)字化轉(zhuǎn)型的需要以及疫情反復(fù)的影響，遠(yuǎn)程辦公越來(lái)越常態(tài)化。企業(yè)業(yè)務(wù)云化以及移動(dòng)化，導(dǎo)致企業(yè)傳統(tǒng)的邊界越來(lái)越模糊，基于傳統(tǒng)邊界的安全架構(gòu)面臨越來(lái)越大的挑戰(zhàn)。這幾年零信任的理念得到了各行各業(yè)廣泛的關(guān)注和實(shí)踐。聯(lián)軟科技作為較早的零信任架構(gòu)的實(shí)踐者之一，積累了大量的實(shí)際落地經(jīng)驗(yàn)。

 

6月16日，聯(lián)軟專家線上講述聯(lián)軟零信任的應(yīng)用場(chǎng)景和實(shí)踐能力，同時(shí)正式發(fā)布聯(lián)軟下一代零信任訪問(wèn)管理系統(tǒng)。

 

 

零信任架構(gòu)的規(guī)劃設(shè)計(jì)

 

1多因素驅(qū)動(dòng)“零信任”成為安全新風(fēng)口

 

2021 年被譽(yù)為網(wǎng)絡(luò)安全元年，種種因素極大的驅(qū)動(dòng)了零信任成為安全新風(fēng)口。零信任也無(wú)疑成為了整個(gè)安全圈包括網(wǎng)絡(luò)安全領(lǐng)域最熱門的詞匯之一。

 

什么是零信任？零信任既不是單一的產(chǎn)品，也不是單一的技術(shù)，它是一種安全理念以及安全架構(gòu)，核心原則是持續(xù)驗(yàn)證、永不信任，圍繞著身份為中心，重點(diǎn)關(guān)注應(yīng)用和數(shù)據(jù)，實(shí)現(xiàn)持續(xù)驗(yàn)證加動(dòng)態(tài)授權(quán)的訪問(wèn)模式來(lái)解決整個(gè)訪問(wèn)過(guò)程中的身份、終端應(yīng)用以及數(shù)據(jù)安全等問(wèn)題。

 

從理念到架構(gòu)到落地，經(jīng)過(guò)這幾年的實(shí)踐， SIM 仍然是實(shí)現(xiàn)零信任架構(gòu)的主要技術(shù)方向。“S” 指SDP, 主要是軟件定義邊界，主要解決的是南北向流量，從用戶到訪問(wèn)資源之間的安全訪問(wèn)控制；“I”即 IAM ，身份管理，主要用于對(duì)用戶的身份和權(quán)限進(jìn)行統(tǒng)一的管理；“M” 即MSG微隔離，主要解決東西向流量，重點(diǎn)防范黑客攻擊到企業(yè)的內(nèi)部網(wǎng)絡(luò)時(shí)，避免橫向攻擊和平移的風(fēng)險(xiǎn)。

 

這三類零信任技術(shù)在行業(yè)內(nèi)都有落地實(shí)踐?？偟膩?lái)說(shuō)，SDP 相對(duì)于IAM和微隔離，在落地過(guò)程中對(duì)企業(yè)現(xiàn)有IT架構(gòu)改動(dòng)較小，風(fēng)險(xiǎn)會(huì)更可控。隨著遠(yuǎn)程辦公逐漸常態(tài)化，企業(yè)更關(guān)心如何優(yōu)先解決遠(yuǎn)程辦公場(chǎng)景下的安全問(wèn)題，SDP 技術(shù)成為了目前各大零信任解決方案提供商重點(diǎn)發(fā)力的對(duì)象，同時(shí)也是企業(yè)用戶重點(diǎn)關(guān)注的領(lǐng)域。

 

2企業(yè)該如何規(guī)劃的零信任架構(gòu)和建設(shè)？

 

在本次發(fā)布會(huì)上，聯(lián)軟從技術(shù)層面、ROI層面和實(shí)施層面分別給出了規(guī)劃建議。

 

■技術(shù)層面：核心關(guān)注整個(gè)零信任方案是否具備或集成UEM的能力，UEM主要是統(tǒng)一端點(diǎn)管理，包含涵蓋移動(dòng)端、PC 端移、IoT設(shè)備，涵蓋所有平臺(tái)的操作系統(tǒng)。

 

■ROI層面：零信任架構(gòu)能否對(duì)接現(xiàn)有的安全投資？通過(guò)現(xiàn)有的安全能力組件，能夠?qū)⒎治鼋Y(jié)果匯入到零信任的信任評(píng)估體系中，做到聯(lián)動(dòng)的處置以及動(dòng)態(tài)的授權(quán)。

 

■實(shí)施層面：畢竟零信任是一個(gè)新的架構(gòu)和概念，各廠商和企業(yè)用戶也都是在摸索中前進(jìn)。安全的建設(shè)從來(lái)都不是一蹴而就的，必須要整體規(guī)劃和分步建設(shè)，根據(jù)業(yè)務(wù)的重要程度和風(fēng)險(xiǎn)影響進(jìn)行優(yōu)先級(jí)的排序。

 

3聯(lián)軟零信任安全架構(gòu)

 

在整個(gè)建設(shè)中，端點(diǎn)安全能力作為零信任架構(gòu)中最重要的一個(gè)環(huán)節(jié)，大多數(shù)的用戶因此會(huì)優(yōu)先考慮現(xiàn)有的端點(diǎn)安全安全廠商是不是具備零信的解決方案。聯(lián)軟作為中國(guó)企業(yè)端點(diǎn)安全的領(lǐng)導(dǎo)者，積累了龐大的用戶。在聯(lián)軟現(xiàn)有EPP的架構(gòu)體系下，通過(guò)擴(kuò)容擴(kuò)展能夠快速覆蓋零信任的基礎(chǔ)架構(gòu)。同時(shí)EPP作為整個(gè)安全評(píng)估體系中的一個(gè)環(huán)節(jié)，可以實(shí)現(xiàn)更好的整合聯(lián)動(dòng)，更好的運(yùn)維以及更好的 ROI 。

 

聯(lián)軟幫助用戶構(gòu)建出了一套先進(jìn)的并且可落地的零信任架構(gòu)。整個(gè)架構(gòu)分為兩個(gè)大部分：零信任的核心組件和零信任的安全組件。核心組件包括零信任管理平臺(tái)，可信接入網(wǎng)關(guān)、安全客戶端。安全組件主要包含端點(diǎn)安全，數(shù)據(jù)安全、 IAM 、安全分析組件。

 

 

零信任架構(gòu)主要是圍繞著身份、接入、設(shè)備、應(yīng)用和數(shù)據(jù)五個(gè)方面來(lái)進(jìn)行搭建。

 

可信身份：全面的身份化，基于身份角色去動(dòng)態(tài)授權(quán)，能訪問(wèn)什么、不能訪問(wèn)什么，做到精細(xì)化的權(quán)限控制。

 

可信接入：

1、通過(guò) SPA 技術(shù)來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)入口的隱藏，暴露面的收斂。

2、通過(guò)安全代理網(wǎng)關(guān)實(shí)現(xiàn)應(yīng)用層的安全加密隧道的建立。

3、通過(guò)同一個(gè)客戶端、同一個(gè)架構(gòu)能夠?qū)崿F(xiàn)一次認(rèn)證，既能實(shí)現(xiàn)網(wǎng)絡(luò)準(zhǔn)入的認(rèn)證，也能實(shí)現(xiàn)零信任的接入認(rèn)證，全面的保證接入安全。

 

可信設(shè)備：對(duì)終端的安全進(jìn)行持續(xù)性的檢測(cè)、管控以及全面的審計(jì)。

 

可信應(yīng)用：面向業(yè)務(wù)系統(tǒng)能夠最小化、按需授權(quán)。同時(shí)在終端側(cè)實(shí)現(xiàn)應(yīng)用的黑白名單管理，對(duì)于應(yīng)用的安全狀態(tài)去進(jìn)行檢測(cè)，以評(píng)分機(jī)制的方式來(lái)控制訪問(wèn)權(quán)限。

 

可信數(shù)據(jù)：聯(lián)軟基于在數(shù)據(jù)安全的一些積累和經(jīng)驗(yàn)，幫助用戶去梳理場(chǎng)景化的解決方案，最小化的降低安全對(duì)業(yè)務(wù)辦理的影響，實(shí)現(xiàn)安全和效率的平衡統(tǒng)一。

 

4聯(lián)軟與零信任網(wǎng)絡(luò)訪問(wèn)

 

聯(lián)軟從 2004 年到 2022 年，整個(gè)產(chǎn)品的技術(shù)發(fā)展路線和零信任的發(fā)展路線是非常吻合的：

 

聯(lián)軟零信任產(chǎn)品發(fā)展歷程：

 

2004，去網(wǎng)絡(luò)邊界化的提出，聯(lián)軟在2004 年的話推出了網(wǎng)絡(luò)準(zhǔn)入控制系統(tǒng)，成為中國(guó)較早的網(wǎng)絡(luò)控制準(zhǔn)入廠商

2010，F(xiàn)orrester提出了零信任安全的價(jià)理念。2011 年聯(lián)軟推出了基于 RBAC 的NAC 準(zhǔn)入控制技術(shù)

隨后，聯(lián)軟于2013年、2017年分別推出基于零信任理念的 EMM 和 SDP 的產(chǎn)品

2019，聯(lián)軟將EMM、SDP兩個(gè)產(chǎn)品做到了統(tǒng)一的整合，一套架構(gòu)，一套平臺(tái)，實(shí)現(xiàn)移動(dòng)端和 PC 端的統(tǒng)一零信任管理

2020，基于聯(lián)軟的SDP 、華為的安全分析系統(tǒng)、竹云的IAM系統(tǒng)，形成了一整套的零信任的解決方案，構(gòu)建了零信任的生態(tài)聯(lián)盟，為各行各業(yè)的客戶提供完整的零信任解決方案

 

作為較早的零信任安全廠商之一，聯(lián)軟始終致力于推動(dòng)零信任產(chǎn)業(yè)的發(fā)展，目前CSA大中華區(qū)官方授予聯(lián)軟種子講師一名以及認(rèn)證講師兩名，另外聯(lián)軟成立了零信任的安全實(shí)驗(yàn)室，對(duì)各行業(yè)零信任安全的應(yīng)用進(jìn)行深入的研究和落地實(shí)踐。聯(lián)軟也積極地參與到整個(gè)國(guó)內(nèi)零信任的標(biāo)準(zhǔn)制定，并且多次入選行業(yè)機(jī)構(gòu)以及媒體評(píng)選的零信任領(lǐng)域推薦廠商。

 

聯(lián)軟科技零信任領(lǐng)域應(yīng)用場(chǎng)景和實(shí)踐能力

 

01場(chǎng)景一
需求描述

遠(yuǎn)程訪問(wèn)環(huán)境，包含遠(yuǎn)程辦公、遠(yuǎn)程開發(fā)、遠(yuǎn)程生產(chǎn)和遠(yuǎn)程運(yùn)維。需要優(yōu)先解決的三個(gè)核心問(wèn)題，包括互聯(lián)網(wǎng)暴露面的收斂、安全訪問(wèn)控制、數(shù)據(jù)安全。

 

解決方案

通過(guò)聯(lián)軟的零信任解決方案的部署，從七個(gè)方面幫助用戶來(lái)解決遠(yuǎn)程訪問(wèn)場(chǎng)景下的一些安全問(wèn)題。

1、基于聯(lián)軟的UDP協(xié)議的SPA，能夠真正意義上實(shí)現(xiàn)網(wǎng)絡(luò)入口的隱藏以及服務(wù)的隱身。

2、全面的身份化：幫助用戶重構(gòu)一個(gè)數(shù)字身份，數(shù)字身份會(huì)貫穿在整個(gè)零信任訪問(wèn)過(guò)程中進(jìn)行持續(xù)的校驗(yàn)和驗(yàn)證。

3、保證接入終端安全：對(duì)終端用戶行為進(jìn)行實(shí)時(shí)的監(jiān)測(cè)。

4、最小化權(quán)限：動(dòng)態(tài)授權(quán)能訪問(wèn)的應(yīng)用，進(jìn)行精細(xì)化的權(quán)限控制，杜絕越權(quán)訪問(wèn)和特權(quán)訪問(wèn)。

5、安全代理網(wǎng)關(guān)：為訪問(wèn)主體、信任的主體和可利用資源建立一個(gè)應(yīng)用層的加密隧道，保證在整個(gè)傳輸過(guò)程中的數(shù)據(jù)安全。

6、數(shù)據(jù)安全：通過(guò)數(shù)字水印、沙箱等多種技術(shù)的結(jié)合實(shí)現(xiàn)數(shù)據(jù)的保護(hù)。

7、安全審計(jì)：針對(duì)用戶所有的登錄操作、訪問(wèn)行為，進(jìn)行全方位的審計(jì)，追溯定位安全風(fēng)險(xiǎn)。

 

02場(chǎng)景2
需求描述

分支機(jī)構(gòu)接入成本高、管理難。針對(duì)企業(yè)多分支多機(jī)構(gòu)，大部分的企業(yè)級(jí)用戶基本上都是通過(guò) VPN 點(diǎn)對(duì)點(diǎn)的方式來(lái)實(shí)現(xiàn)互聯(lián)互通的。

 

解決方案

聯(lián)軟方案關(guān)注應(yīng)用、數(shù)據(jù)，在數(shù)據(jù)中心會(huì)集中地部署零信任的產(chǎn)品，各個(gè)分支機(jī)構(gòu)訪問(wèn)數(shù)據(jù)中心的業(yè)務(wù)，只需要通過(guò)零信任客戶端，通過(guò)身份認(rèn)證、安全檢查，基于身份和安全狀態(tài)，動(dòng)態(tài)分配能訪問(wèn)數(shù)據(jù)中心哪些業(yè)務(wù)，解決單獨(dú)部署 VPN 設(shè)備的建設(shè)成本和維護(hù)成本，減輕管理員的運(yùn)維壓力。

 

03場(chǎng)景3
需求描述

多云/多數(shù)據(jù)中心訪問(wèn)。傳統(tǒng) VPN 的架構(gòu)很難適應(yīng)于多云多數(shù)據(jù)中心的環(huán)境下統(tǒng)一的安全接入、統(tǒng)一的策略管理、統(tǒng)一的這個(gè)安全配置等。

 

解決方案

通過(guò)零信任方案的部署，管理平臺(tái)和安全網(wǎng)關(guān)分布式的模塊化部署，可以實(shí)現(xiàn)控制平面和數(shù)據(jù)平面的有效分離。用戶通過(guò)統(tǒng)一的管理平臺(tái)去提供安全認(rèn)證以及授權(quán)管理，減少了運(yùn)維壓力，提高用戶的使用體驗(yàn)。

 

04場(chǎng)景4
需求描述

跨層級(jí)/跨部門業(yè)務(wù)訪問(wèn)。各層級(jí)/部門信息化建設(shè)獨(dú)立，各層級(jí)/部門數(shù)據(jù)共享程度較低，“數(shù)據(jù)孤島”現(xiàn)象嚴(yán)重。

 

解決方案

聯(lián)軟跨層級(jí)跨部門的解決方案，可以對(duì)每一個(gè)層級(jí)或每個(gè)部門單獨(dú)建設(shè)一套零信任的架構(gòu)。除了提供自身層級(jí)/部門的零信任訪問(wèn)外，如果涉及到跨業(yè)務(wù)中心跨部門去訪問(wèn)，可以通過(guò)聯(lián)軟的同一個(gè)客戶端，采用切換門戶的方式來(lái)去訪問(wèn)。

 

05場(chǎng)景5
需求描述

一機(jī)多用。企業(yè)內(nèi)有多張隔離的網(wǎng)絡(luò)，為了保證網(wǎng)絡(luò)的隔離性以及數(shù)據(jù)的隔離性，一般情況下傳統(tǒng)的用戶會(huì)在每一張網(wǎng)絡(luò)單獨(dú)配置單獨(dú)的終端以及 VDI 云桌面，投入成本和運(yùn)維成本高，且高安全域和低安全域的數(shù)據(jù)都混雜在一個(gè)終端上，也可能造成比較高的數(shù)據(jù)泄密風(fēng)險(xiǎn)。

 

解決方案

針對(duì)一機(jī)多用，聯(lián)軟提供上述零信任的標(biāo)準(zhǔn)化安全能力之外，可以根據(jù)客戶網(wǎng)絡(luò)隔離的情況以及相關(guān)的運(yùn)維管理要求采取不同的管理方式。在集中管理的模式下，客戶可以通過(guò)統(tǒng)一的一套平臺(tái)、一個(gè)業(yè)務(wù)門戶入口，進(jìn)行身份的認(rèn)證、終端安全檢查、權(quán)限的管理訪問(wèn)；如果每個(gè)業(yè)務(wù)區(qū)域單獨(dú)部署一套零信任的單獨(dú)管理平臺(tái)，也可以在終端側(cè)通過(guò)一個(gè)客戶端來(lái)進(jìn)行門戶的快速切換，提高用戶的使用體驗(yàn)。

 

從數(shù)據(jù)安全的角度來(lái)說(shuō)，通過(guò)終端的沙箱實(shí)現(xiàn)本地的數(shù)據(jù)隔離保證數(shù)據(jù)安全。

 

06場(chǎng)景6
需求描述

移動(dòng)端 H5 應(yīng)用的免客戶端接入。近幾年越來(lái)越多的企業(yè)喜歡用企業(yè)微信、釘釘或者飛書來(lái)進(jìn)行即時(shí)通訊、遠(yuǎn)程業(yè)務(wù)訪問(wèn)等，CRM 、H5應(yīng)用的訪問(wèn)入口，都需要對(duì)互聯(lián)網(wǎng)側(cè)單獨(dú)開放相應(yīng)的端口以及服務(wù)。無(wú)論是從合規(guī)還是企業(yè)自身安全性的要求，都需要實(shí)現(xiàn)互聯(lián)網(wǎng)暴露面的收斂。

 

解決方案

聯(lián)軟 EMM 解決方案，可以在客戶手機(jī)上安裝一個(gè)客戶端，同時(shí)可以通過(guò)企業(yè)微信、釘釘?shù)鹊谌綉?yīng)用，集成安全的 SDK 實(shí)現(xiàn) H5、App 的應(yīng)用有效收斂互聯(lián)網(wǎng)暴露面，做到設(shè)備管理、數(shù)據(jù)管理、應(yīng)用管理的安全等。

 

同時(shí)針對(duì) H5 應(yīng)用，聯(lián)軟推出了免客戶端接入的解決方案。在聯(lián)軟零信任架構(gòu)中，安全網(wǎng)關(guān)可以對(duì)外提供相關(guān)的端口來(lái)實(shí)現(xiàn)應(yīng)用的接入。用戶在不需要安裝任何客戶端的前提下，通過(guò)企業(yè)微信和釘釘認(rèn)證完成之后，訪問(wèn) H5 應(yīng)用的時(shí)候，先訪問(wèn)到零信任安全產(chǎn)品，通過(guò)產(chǎn)品轉(zhuǎn)給相應(yīng)的 H5 應(yīng)用，實(shí)現(xiàn)暴露面收斂，又保證用戶的使用體驗(yàn)。

 

下一代零信任訪問(wèn)管理系統(tǒng):聯(lián)軟Uni SDP P系列

 

聯(lián)軟Uni SDP P系列遵循聯(lián)軟零信任的架構(gòu)體系，把管理平臺(tái)和安全網(wǎng)關(guān)合二為一。P 系列的功能模塊圍繞五個(gè)重要的方向，安全接入、可信身份、可信終端、可信應(yīng)用、可信數(shù)據(jù)?；静捎?strong>一體機(jī)模塊化的部署，可以實(shí)現(xiàn)策略的數(shù)據(jù)以及審計(jì)信息的同步，保證用戶高可用的體驗(yàn)，也可以將審計(jì)的信息以及相關(guān)的流量信息同步給第三方的平臺(tái)。

 

核心功能

1SPA 的單包授權(quán)

真正在不同的復(fù)雜場(chǎng)景下保證網(wǎng)絡(luò)隱身的有效性。

 

2可信接入能力

采用純應(yīng)用層的加密技術(shù)，已實(shí)現(xiàn)標(biāo)準(zhǔn)密碼加密，以及國(guó)產(chǎn)商用密碼的加密。

 

3接入安全

P系列對(duì)終端的安全狀態(tài)去進(jìn)行持續(xù)性的檢查和校驗(yàn)，針對(duì)身份和終端的環(huán)境進(jìn)行最小化的授權(quán)訪問(wèn)應(yīng)用。

 

4單網(wǎng)通

當(dāng)一個(gè)用戶訪問(wèn)一個(gè)網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)的時(shí)候，可以限定在同一時(shí)間不能夠訪問(wèn)其他網(wǎng)絡(luò)的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)一個(gè)網(wǎng)絡(luò)上的邏輯的隔離。對(duì)于用戶來(lái)說(shuō)，可以直接只裝一個(gè)客戶端來(lái)實(shí)現(xiàn)多網(wǎng)的訪問(wèn)。

 

5多門戶

主要涉及跨部門、跨層級(jí)場(chǎng)景，P系列直接通過(guò)客戶端快速的切換到另外一個(gè)門戶，經(jīng)過(guò)身份認(rèn)證、安全檢查去訪問(wèn)對(duì)應(yīng)的業(yè)務(wù)系統(tǒng)，實(shí)現(xiàn)通過(guò)一個(gè)客戶端，多場(chǎng)景、多門戶的安全接入。

 

6數(shù)據(jù)安全

數(shù)字水印技術(shù)。訪問(wèn)不同的業(yè)務(wù)系統(tǒng)的時(shí)候，加載不同的屏幕水印，聯(lián)軟提供明文水印、矢量水印、二維碼水印、盲水印等多種技術(shù)。

 

P系列方案的價(jià)值在于重塑安全、簡(jiǎn)單易用、高效運(yùn)維。

 

面向于中小微客戶能夠快速的實(shí)施部署和落地零信任安全，支持在資源和設(shè)備齊全的情況下實(shí)現(xiàn)一小時(shí)的快速部署。

 

對(duì)于并發(fā)量大的客戶，支持負(fù)載均衡聯(lián)動(dòng)，開放 P 系列產(chǎn)品到互聯(lián)網(wǎng)側(cè)的權(quán)限以及到內(nèi)網(wǎng)側(cè)應(yīng)用的權(quán)限。經(jīng)過(guò)身份認(rèn)證一系列的安全規(guī)則檢查后，可以快速訪問(wèn)相關(guān)業(yè)務(wù)。

 

《2023零信任安全解決方案的白皮書》重磅發(fā)布，掃碼可領(lǐng)取：

 

發(fā)布會(huì)回放觀看

1\關(guān)注聯(lián)軟科技視頻號(hào)-“直播回放”

2\https://vzq.h5.xeknow.com/sl/4gjIhs