12月4日-12月6日，2020云安全聯(lián)盟大中華區(qū)大會于上海舉行，在今日云上（線上）論壇中 ，聯(lián)軟科技副總裁黃國忠分享了零信任SDP與數(shù)據(jù)安全的經(jīng)驗和見解,以下為論壇主持人提問和聯(lián)軟科技回答內(nèi)容：

01

Q:先請大家簡要介紹下各自的公司情況。

A:聯(lián)軟科技是中國企業(yè)端點安全市場領(lǐng)域的代表性廠商之一，一直致力于幫客戶提供端點安全、邊界安全、云安全服務(wù)三大領(lǐng)域。2019年，聯(lián)軟科技與魔方安全合并，獲得了以攻擊者視角對全網(wǎng)暴露面進行主動持續(xù)監(jiān)控與管理的能力，正式進入網(wǎng)絡(luò)攻防領(lǐng)域，致力于以攻防全局視角，改變現(xiàn)階段攻防力量不平衡的網(wǎng)絡(luò)安全環(huán)境。

02

Q:近年以來，網(wǎng)絡(luò)安全隨著應(yīng)用技術(shù)、理念的不斷創(chuàng)新發(fā)展，有了很大的改變。包括“傳統(tǒng)”、“新一代”等時代差的關(guān)鍵詞出現(xiàn)，大家對這一點怎么看？對未來網(wǎng)絡(luò)安全對發(fā)展有什么看法？

A:1.數(shù)字化轉(zhuǎn)型和云大物智移等為代表的新一代技術(shù)，邊界模糊性、資產(chǎn)海量化、環(huán)境復(fù)雜、業(yè)務(wù)關(guān)鍵、充滿新的不確定風(fēng)險，傳統(tǒng)網(wǎng)絡(luò)為中心的基于邊界的防護體系正在瓦解或逐漸失效，外掛式、基于簽名的安全產(chǎn)品和技術(shù)難以為繼。

2.數(shù)字化或新基建也好，會出現(xiàn)新的資產(chǎn)、新的漏洞和威脅，不可識別和感知的風(fēng)險占主流，當前防御理論是威脅驅(qū)動的，威脅不可見如何抵御高強度攻擊。

3.隨著網(wǎng)絡(luò)安全上升到國家安全，包括從2016年開始的實戰(zhàn)化攻防演習(xí)，安全建設(shè)的導(dǎo)向從合規(guī)驅(qū)動走向?qū)嵭?qū)動，安全的本質(zhì)是攻防兩端力量的較量，歸根到底看雙方的成本，而要具備戰(zhàn)時的防御能力，對一般單位來講投入成本太高，需要一種更經(jīng)濟的方法。

基于以上幾點，我認為新一代的網(wǎng)絡(luò)安全架構(gòu)，必須改變攻防不對稱的局面，通過構(gòu)建低成本防御體系來指數(shù)級提高攻擊者成本，安全必須有ROI（投資回報）、另外安全為業(yè)務(wù)提供支撐作用，需要業(yè)務(wù)深度融合，不能阻礙業(yè)務(wù)的發(fā)展，以零信任為代表的新的安全架構(gòu)或方法以從不信任，始終校驗的核心思想，摒棄傳統(tǒng)的靜態(tài)的隱式信任，在網(wǎng)絡(luò)邊界的基礎(chǔ)上構(gòu)建以上下文為中心的邏輯邊界，能極大收斂暴露面、構(gòu)建端到端的以最小權(quán)限為原則的應(yīng)用級動態(tài)訪問控制體系，將業(yè)務(wù)與安全深度融合，大大提升攻擊者的成本。未來零信任體系將和現(xiàn)有防御體系充分結(jié)合和深度融合，暴露面收斂后，內(nèi)外部攻擊的智能大數(shù)據(jù)分析非常重要，這是我的看法。

03

Q:作為一家終端安全的廠商，聯(lián)軟為何做零信任或SDP？

A:我們做零信任或SDP不是蹭熱點，而是順應(yīng)了IT架構(gòu)和客戶需求的變化，很自然的平滑升級：

首先，零信任或SDP并不是沒有邊界，而是在傳統(tǒng)邊界逐漸失效的情況下構(gòu)建以上下文（如身份）為基礎(chǔ)的圍繞每個應(yīng)用虛擬邊界，比如在遠程辦公下邊界從防火墻延伸到個人電腦或移動設(shè)備，各類終端的動態(tài)安全環(huán)境感知與防護能力就非常重要，那么聯(lián)軟十多年的終端安全管理經(jīng)驗積累和UEM能力就可以幫助我們或伙伴的零信任方案提升價值。

其次，聯(lián)軟早在2004年就開始做網(wǎng)絡(luò)準入控制，NAC強調(diào)先驗證身份，再連接網(wǎng)絡(luò)，設(shè)備安全基線不符可強制下線修復(fù)，這也是動態(tài)訪問控制的思想，這和零信任的核心思想是一致的，只是到了云+移動的時代傳統(tǒng)網(wǎng)絡(luò)邊界被打破，也就出現(xiàn)了SDP，實現(xiàn)更靈活和細粒度的動態(tài)訪問控制，我們設(shè)計EMM產(chǎn)品的架構(gòu)時就采用了APN網(wǎng)關(guān)，強調(diào)服務(wù)隱身和應(yīng)用層安全隧道，2019年推出SDP產(chǎn)品，今年推出UEM的ZTNA零信任網(wǎng)絡(luò)訪問產(chǎn)品和方案。

最后，零信任最終目標是保護數(shù)據(jù)和資源，而聯(lián)軟一直提供領(lǐng)先的數(shù)據(jù)防泄露、數(shù)字水印、多網(wǎng)文件安全傳輸?shù)确桨福覀兊牧阈湃畏桨负芎玫貙⑸鲜黾夹g(shù)融合進來，確保數(shù)據(jù)安全。

04

Q:雖然經(jīng)歷了十年發(fā)展，仍有人說零信任是概念，現(xiàn)在還處于市場的探索期，對這一點怎么看？

A:不同意零信任還處于市場探索期的觀點，零信任是一種理念，是一種新的范式，但零信任架構(gòu)在美國NIST標準中有明確定義，已經(jīng)有標準和工程化落地，零信任落地的最佳技術(shù)SDP市場國內(nèi)外都已經(jīng)有很多供應(yīng)商，SDP替換VPN也是正在發(fā)生并且必然的事情，比如今年因為新冠疫情很多客戶開啟遠程辦公 ，我們就幫助很多客戶采用SDP產(chǎn)品快速搭建遠程辦公、遠程運維安全接入系統(tǒng)。我認為零信任探索的是場景，要考慮如何和現(xiàn)有系統(tǒng)的融合、集成、在安全性的同時保持易用性。零信任是個過程而不是結(jié)果，需要一種持續(xù)的能力和長期規(guī)劃。

05

Q:聯(lián)軟SDP產(chǎn)品如何保護數(shù)據(jù)資產(chǎn)安全？

A:聯(lián)軟SDP產(chǎn)品基于CSA的客戶端、控制器和網(wǎng)關(guān)三組件的標準化方式實現(xiàn)，控制平面和數(shù)據(jù)平面分離，遵循SDP 服務(wù)隱身、預(yù)授權(quán)和預(yù)認證、應(yīng)用級的準入控制、持續(xù)風(fēng)險評估和動態(tài)訪問控制等核心原則，通過可信終端（符合安全策略、如配置和軟件）、可信身份（多因素、掃碼等去密碼化方式）、可信應(yīng)用（發(fā)布審核與訪問審計、應(yīng)用白名單、最小權(quán)限）、可信接入（SPA、加密、國密、應(yīng)用隧道）四個方面來確保接入內(nèi)網(wǎng)的安全，客戶端用沙箱實現(xiàn)工作域相互隔離、存儲加密、數(shù)字水印、防截屏等方式、應(yīng)用黑白名單、訪問審計等確保數(shù)據(jù)的安全。

06

Q:在座的各位都是零信任SDP領(lǐng)域的代表企業(yè)，未來大家的發(fā)展規(guī)劃是什么樣的？

A:作為聯(lián)軟科技來講，我們是在終端安全管理與網(wǎng)絡(luò)準入控制、數(shù)據(jù)安全領(lǐng)域深耕多年，具有端點側(cè)領(lǐng)先優(yōu)勢，零信任或SDP最終目標是圍繞數(shù)據(jù)安全，我們的SDP除了充分利用端點動態(tài)環(huán)境感知和安全管控、數(shù)據(jù)安全（沙箱、防泄密、水印等防護能力）外，我們的SDP規(guī)劃重點考慮開放性、標準化，我們一直強調(diào)生態(tài)和合作，也在參與國內(nèi)一些零信任聯(lián)盟，和IAM、態(tài)勢感知等廠商實現(xiàn)對接，也在積極參與國內(nèi)零信任標準的編寫。標準化、零件化、生態(tài)化合作一直是我們倡導(dǎo)的。

未來，聯(lián)軟也將發(fā)揮自身在零信任領(lǐng)域的優(yōu)勢作用，持續(xù)創(chuàng)新，為零信任發(fā)展貢獻自己的力量，為企業(yè)打造更專業(yè)、高效的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。

在本次大會的CSA GCR頒獎典禮和晚宴上，聯(lián)軟UniSDP安界軟件定義邊界系統(tǒng)獲得了CSA 2020安全創(chuàng)新獎；聯(lián)軟在云上論壇的分享人由于在網(wǎng)絡(luò)安全領(lǐng)域的突出貢獻，被云安全聯(lián)盟授予研究貢獻獎。