2020年2月24日-28日，網(wǎng)絡安全行業(yè)盛會RSA Conference在舊金山舉行。作為網(wǎng)絡安全行業(yè)風向標，每屆RSA不僅會吸引世界各國知名的互聯(lián)網(wǎng)企業(yè)參與其中，會議中各主題演講和參展機構所涉安全領域的安全熱詞也會成為熱議的焦點。本屆RSA統(tǒng)計出十大網(wǎng)絡安全熱詞，其中云安全位居首位。

在現(xiàn)如今企業(yè)數(shù)字化轉型的浪潮中，上云成了眾多企業(yè)的選擇，公有云、私有云或者混合云等多個領域，這其中既蘊含著企業(yè)轉型的新風口，也是各類安全廠商的必爭之地，云安全早已成為了多方的熱點話題。

不僅僅是云安全，零信任技術也以其獨特性，成為安全界討論的熱點。早在此前，RSAC組委會已表明，他們收到的2400份網(wǎng)絡安全行業(yè)演講嘉賓的議題申請，在經過整理和審核之后他們表示：“諸如零信任和無服務器，Kubernetes，量子，混沌工程，漏洞賞金和端點衰減（或復興）之類的關鍵詞比比皆是”。

在如今“企業(yè)邊界正在瓦解，基于邊界的安全防護體系正在失效”這一大背景下，零信任針對傳統(tǒng)邊界安全架構思想進行了重新評估和審視，并在當下云安全的架構中給出了新的應用和防護。聯(lián)軟科技作為業(yè)內研發(fā)和實踐零信任相關產品的領先企業(yè)，2月20號在線上展開了一場關于《零信任在云安全中的應用和發(fā)展》的分享，以下為精彩內容：

在本次的分享中，聯(lián)軟云安全產品規(guī)劃師首先介紹了零信任的理念的發(fā)展歷程，傳統(tǒng)的網(wǎng)絡安全架構基本都是基于防火墻構建的固定網(wǎng)絡安全邊界，企業(yè)的網(wǎng)絡安全也基本圍繞著固定網(wǎng)絡安全邊界來建設，但是隨著移動辦公和企業(yè)業(yè)務上云，傳統(tǒng)的網(wǎng)絡邊界變得很模糊了，甚至不再存在一個固定的物理邊界，云化、移動化、萬物互聯(lián)時代急需新的網(wǎng)絡安全體系來適應新技術的發(fā)展，而零信任理念是在新的信息化環(huán)境下產生的創(chuàng)新網(wǎng)絡安全理念。

零信任核心思想是企業(yè)不信任內外部的任何人 ／事／物，除非明確了接入者的身份，否則就不能連接網(wǎng)絡，零信任的安全理念是建立在身份驗證、設備驗證、網(wǎng)絡隔離和訪問控制這些技術基礎之上的，是保護管理應用和數(shù)據(jù)的關鍵。零信任是對傳統(tǒng)訪問方式的進一步顛覆，傳統(tǒng)方式是訪問資源再驗證身份，而在零信任下的理念是先驗證身份，再授權訪問資源。

零信任的安全架構發(fā)展迅猛

在介紹了零信任的發(fā)展歷程后，聯(lián)軟云安全產品規(guī)劃師和廣大學員介紹了零信任在云安全中最主要的落地實踐技術——軟件定義與邊界，簡稱SDP系統(tǒng)。SDP的目標是通過軟件的方式，在移動化、云化和萬物互聯(lián)的時代，構建起一個虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應對邊界模糊化帶來的問題，以此達到保護企業(yè)數(shù)據(jù)安全的目的。

SDP在架構上包含客戶端、控制器和網(wǎng)關三個部分，客戶端就是我們使用的手機和電腦等終端，控制器主要用于認證和授權客戶端的，然后配置客戶端到網(wǎng)關的連接，網(wǎng)關用來終結客戶端的流量和執(zhí)行控制器的策略，SDP在實現(xiàn)上廣泛使用了加密、單包授權等技術，在架構設計上能夠抵御網(wǎng)絡的攻擊。

SDP技術架構

接著，聯(lián)軟云安全產品規(guī)劃師向廣大學員詳細介紹了業(yè)界有影響力的零信任理念實踐案例，其中包括谷歌的BeyondCorp項目、微軟Azure零信任網(wǎng)絡、思科可信訪問和聯(lián)軟打造的軟件定義邊界系統(tǒng)：

在分享過程中，講師指出SDP基于安全的設計理念，成熟安全技術架構，在替代VPN、多云訪問中的統(tǒng)一入口、統(tǒng)一身份認證等方面，有著不可比擬的優(yōu)勢，同時在第三方接入訪問，促進IT系統(tǒng)集成等方面，SDP有廣闊的應用場景。

基于聯(lián)軟豐富的實施經驗，講師向廣大學員介紹了聯(lián)軟科技在零信任的實踐案例和經驗總結，其中特別指出實現(xiàn)零信任其實是比較困難，企業(yè)在實施零信任的過程中，需要企業(yè)重新思考如何保護每個應用程序、端點、基礎設施及用戶。實施的重點應該放在安全驗證用戶，確定用戶的角色和權限，查找異常設備和用戶。

分享案例：

而對于零信任的應用前景，聯(lián)軟科技很看好，無論是國內權威部門還是國際官方機構發(fā)布的相關報告，都充分說明了零信任安全行業(yè)的先進性以及市場的光明前景。面對內外部威脅和IT新環(huán)境下邊界瓦解的現(xiàn)狀，零信任安全所倡導的全新安全思路，已然成為企業(yè)數(shù)字化轉型過程中應對安全挑戰(zhàn)的主流架構之一，目前零信任在國內還處于發(fā)展的前期，要真正走向成熟還需要一段時期的打磨。前期，零信任的基礎技術都相對成熟 ，所以從技術上看差異不大，主要是涉及領域有區(qū)別，例如終端安全、大數(shù)據(jù)安全等。

現(xiàn)場問答回顧

（以下節(jié)選部分問答）

Q:SDP可以完全取代VPN嗎？
A:SDP在整個的架構模型、拓展性、安全性等方面是優(yōu)于VPN的,可以替代的。

Q:SDP項目需要實施多久？
A:需要看實施的規(guī)模，人員多，設備多，策略就復雜，實踐時間也就越長。

Q:SDP和微隔離是什么關系？
A:都是對零信任理念的實踐，目前SDP用的較多，而微隔離在主機層面，防止傳統(tǒng)的南北向和東西向的攻擊。

Q:聯(lián)軟的SDP具備哪些優(yōu)勢?支持哪些平臺？是否支持國產系統(tǒng)？

A:首先聯(lián)軟從2017年開始研發(fā)零信任的相關產品，這在業(yè)界是比較早的，其次聯(lián)軟對零信任的理解，網(wǎng)絡安全和終端安全有著豐富的經驗，比如在我們的終端管理系統(tǒng)了里有安全沙箱，保護用戶數(shù)據(jù)不落地，用戶數(shù)據(jù)和企業(yè)數(shù)據(jù)分開，在員工離職，即可在沙箱里將數(shù)據(jù)擦除。聯(lián)軟的SDP對Windows，lunix,Mac都支持，同時也支持國產系統(tǒng)。