隨著企業數字化轉型的需要以及疫情反復的影響,遠程辦公越來越常態化。企業業務云化以及移動化,導致企業傳統的邊界越來越模糊,基于傳統邊界的安全架構面臨越來越大的挑戰。這幾年零信任的理念得到了各行各業廣泛的關注和實踐。聯軟科技作為較早的零信任架構的實踐者之一,積累了大量的實際落地經驗。
6月16日,聯軟專家線上講述聯軟零信任的應用場景和實踐能力,同時正式發布聯軟下一代零信任訪問管理系統。
零信任架構的規劃設計
1多因素驅動“零信任”成為安全新風口2021 年被譽為網絡安全元年,種種因素極大的驅動了零信任成為安全新風口。零信任也無疑成為了整個安全圈包括網絡安全領域最熱門的詞匯之一。
什么是零信任?零信任既不是單一的產品,也不是單一的技術,它是一種安全理念以及安全架構,核心原則是持續驗證、永不信任,圍繞著身份為中心,重點關注應用和數據,實現持續驗證加動態授權的訪問模式來解決整個訪問過程中的身份、終端應用以及數據安全等問題。
從理念到架構到落地,經過這幾年的實踐, SIM 仍然是實現零信任架構的主要技術方向。“S” 指SDP, 主要是軟件定義邊界,主要解決的是南北向流量,從用戶到訪問資源之間的安全訪問控制;“I”即 IAM ,身份管理,主要用于對用戶的身份和權限進行統一的管理;“M” 即MSG微隔離,主要解決東西向流量,重點防范黑客攻擊到企業的內部網絡時,避免橫向攻擊和平移的風險。
這三類零信任技術在行業內都有落地實踐。總的來說,SDP 相對于IAM和微隔離,在落地過程中對企業現有IT架構改動較小,風險會更可控。隨著遠程辦公逐漸常態化,企業更關心如何優先解決遠程辦公場景下的安全問題,SDP 技術成為了目前各大零信任解決方案提供商重點發力的對象,同時也是企業用戶重點關注的領域。
在本次發布會上,聯軟從技術層面、ROI層面和實施層面分別給出了規劃建議。
■技術層面:核心關注整個零信任方案是否具備或集成UEM的能力,UEM主要是統一端點管理,包含涵蓋移動端、PC 端移、IoT設備,涵蓋所有平臺的操作系統。
■ROI層面:零信任架構能否對接現有的安全投資?通過現有的安全能力組件,能夠將分析結果匯入到零信任的信任評估體系中,做到聯動的處置以及動態的授權。
■實施層面:畢竟零信任是一個新的架構和概念,各廠商和企業用戶也都是在摸索中前進。安全的建設從來都不是一蹴而就的,必須要整體規劃和分步建設,根據業務的重要程度和風險影響進行優先級的排序。
在整個建設中,端點安全能力作為零信任架構中最重要的一個環節,大多數的用戶因此會優先考慮現有的端點安全安全廠商是不是具備零信的解決方案。聯軟作為中國企業端點安全的領導者,積累了龐大的用戶。在聯軟現有EPP的架構體系下,通過擴容擴展能夠快速覆蓋零信任的基礎架構。同時EPP作為整個安全評估體系中的一個環節,可以實現更好的整合聯動,更好的運維以及更好的 ROI 。
聯軟幫助用戶構建出了一套先進的并且可落地的零信任架構。整個架構分為兩個大部分:零信任的核心組件和零信任的安全組件。核心組件包括零信任管理平臺,可信接入網關、安全客戶端。安全組件主要包含端點安全,數據安全、 IAM 、安全分析組件。
零信任架構主要是圍繞著身份、接入、設備、應用和數據五個方面來進行搭建。
可信身份:全面的身份化,基于身份角色去動態授權,能訪問什么、不能訪問什么,做到精細化的權限控制。
可信接入:
1、通過 SPA 技術來實現網絡入口的隱藏,暴露面的收斂。
2、通過安全代理網關實現應用層的安全加密隧道的建立。
3、通過同一個客戶端、同一個架構能夠實現一次認證,既能實現網絡準入的認證,也能實現零信任的接入認證,全面的保證接入安全。
可信設備:對終端的安全進行持續性的檢測、管控以及全面的審計。
可信應用:面向業務系統能夠最小化、按需授權。同時在終端側實現應用的黑白名單管理,對于應用的安全狀態去進行檢測,以評分機制的方式來控制訪問權限。
可信數據:聯軟基于在數據安全的一些積累和經驗,幫助用戶去梳理場景化的解決方案,最小化的降低安全對業務辦理的影響,實現安全和效率的平衡統一。
聯軟從 2004 年到 2022 年,整個產品的技術發展路線和零信任的發展路線是非常吻合的:
聯軟零信任產品發展歷程2004去網絡邊界化的提出,聯軟在2004 年的話推出了網絡準入控制系統,成為中國較早的網絡控制準入廠商2010Forrester提出了零信任安全的價理念。2011 年聯軟推出了基于 RBAC 的NAC 準入控制技術隨后聯軟于2013年、2017年分別推出基于零信任理念的 EMM 和 SDP 的產品2019聯軟將EMM、SDP兩個產品做到了統一的整合,一套架構,一套平臺,實現移動端和 PC 端的統一零信任管理2020基于聯軟的SDP 、華為的安全分析系統、竹云的IAM系統,形成了一整套的零信任的解決方案,構建了零信任的生態聯盟,為各行各業的客戶提供完整的零信任解決方案。
作為較早的零信任安全廠商之一,聯軟始終致力于推動零信任產業的發展,目前CSA大中華區官方授予聯軟種子講師一名以及認證講師兩名,另外聯軟成立了零信任的安全實驗室,對各行業零信任安全的應用進行深入的研究和落地實踐。聯軟也積極地參與到整個國內零信任的標準制定,并且多次入選行業機構以及媒體評選的零信任領域推薦廠商。
聯軟科技零信任領域
應用場景和實踐能力
01場景一
需求描述遠程訪問環境,包含遠程辦公、遠程開發、遠程生產和遠程運維。需要優先解決的三個核心問題,包括互聯網暴露面的收斂、安全訪問控制、數據安全。
解決方案通過聯軟的零信任解決方案的部署,從七個方面幫助用戶來解決遠程訪問場景下的一些安全問題。
1、基于聯軟的UDP 協議的SPA,能夠真正意義上實現網絡入口的隱藏以及服務的隱身。
2、全面的身份化:幫助用戶重構一個數字身份,數字身份會貫穿在整個零信任訪問過程中進行持續的校驗和驗證。
3、保證接入終端安全:對終端用戶行為進行實時的監測。
4、最小化權限:動態授權能訪問的應用,進行精細化的權限控制,杜絕越權訪問和特權訪問。
5、安全代理網關:為訪問主體、信任的主體和可利用資源建立一個應用層的加密隧道,保證在整個傳輸過程中的數據安全。
6、數據安全:通過數字水印、沙箱等多種技術的結合實現數據的保護。
7、安全審計:針對用戶所有的登錄操作、訪問行為,進行全方位的審計,追溯定位安全風險。
02場景2
需求描述分支機構接入成本高、管理難。針對企業多分支多機構,大部分的企業級用戶基本上都是通過 VPN 點對點的方式來實現互聯互通的。
解決方案聯軟方案關注應用、數據,在數據中心會集中地部署零信任的產品,各個分支機構訪問數據中心的業務,只需要通過零信任客戶端,通過身份認證、安全檢查,基于身份和安全狀態,動態分配能訪問數據中心哪些業務,解決單獨部署 VPN 設備的建設成本和維護成本,減輕管理員的運維壓力。
03場景3
需求描述多云/多數據中心訪問。傳統 VPN 的架構很難適應于多云多數據中心的環境下統一的安全接入、統一的策略管理、統一的這個安全配置等。
解決方案通過零信任方案的部署,管理平臺和安全網關分布式的模塊化部署,可以實現控制平面和數據平面的有效分離。用戶通過統一的管理平臺去提供安全認證以及授權管理,減少了運維壓力,提高用戶的使用體驗。
04場景4
需求描述跨層級/跨部門業務訪問。各層級/部門信息化建設獨立,各層級/部門數據共享程度較低,“數據孤島”現象嚴重。
解決方案聯軟跨層級跨部門的解決方案,可以對每一個層級或每個部門單獨建設一套零信任的架構。除了提供自身層級/部門的零信任訪問外,如果涉及到跨業務中心跨部門去訪問,可以通過聯軟的同一個客戶端,采用切換門戶的方式來去訪問。
05場景5
需求描述一機多用。企業內有多張隔離的網絡,為了保證網絡的隔離性以及數據的隔離性,一般情況下傳統的用戶會在每一張網絡單獨配置單獨的終端以及 VDI 云桌面,投入成本和運維成本高,且高安全域和低安全域的數據都混雜在一個終端上,也可能造成比較高的數據泄密風險。
解決方案針對一機多用,聯軟提供上述零信任的標準化安全能力之外,可以根據客戶網絡隔離的情況以及相關的運維管理要求采取不同的管理方式。在集中管理的模式下,客戶可以通過統一的一套平臺、一個業務門戶入口,進行身份的認證、終端安全檢查、權限的管理訪問;如果每個業務區域單獨部署一套零信任的單獨管理平臺,也可以在終端側通過一個客戶端來進行門戶的快速切換,提高用戶的使用體驗。
從數據安全的角度來說,通過終端的沙箱實現本地的數據隔離保證數據安全。
06場景6
需求描述移動端 H5 應用的免客戶端接入。近幾年越來越多的企業喜歡用企業微信、釘釘或者飛書來進行即時通訊、遠程業務訪問等,CRM 、H5應用的訪問入口,都需要對互聯網側單獨開放相應的端口以及服務。無論是從合規還是企業自身安全性的要求,都需要實現互聯網暴露面的收斂。
解決方案聯軟 EMM 解決方案,可以在客戶手機上安裝一個客戶端,同時可以通過企業微信、釘釘等第三方應用,集成安全的 SDK 實現 H5、App 的應用有效收斂互聯網暴露面,做到設備管理、數據管理、應用管理的安全等。
同時針對 H5 應用,聯軟推出了免客戶端接入的解決方案。在聯軟零信任架構中,安全網關可以對外提供相關的端口來實現應用的接入。用戶在不需要安裝任何客戶端的前提下,通過企業微信和釘釘認證完成之后,訪問 H5 應用的時候,先訪問到零信任安全產品,通過產品轉給相應的 H5 應用,實現暴露面收斂,又保證用戶的使用體驗。
下一代零信任訪問管理系統
聯軟Uni SDP P系列
聯軟Uni SDP P系列遵循聯軟零信任的架構體系,把管理平臺和安全網關合二為一。P 系列的功能模塊圍繞五個重要的方向,安全接入、可信身份、可信終端、可信應用、可信數據。基本采用一體機模塊化的部署,可以實現策略的數據以及審計信息的同步,保證用戶高可用的體驗,也可以將審計的信息以及相關的流量信息同步給第三方的平臺
核心功能
1SPA 的單包授權
真正在不同的復雜場景下保證網絡隱身的有效性。
2可信接入能力
采用純應用層的加密技術,已實現標準密碼加密,以及國產商用密碼的加密。
3接入安全
P系列對終端的安全狀態去進行持續性的檢查和校驗,針對身份和終端的環境進行最小化的授權訪問應用。
4單網通
當一個用戶訪問一個網絡的業務系統的時候,可以限定在同一時間不能夠訪問其他網絡的業務系統,實現一個網絡上的邏輯的隔離。對于用戶來說,可以直接只裝一個客戶端來實現多網的訪問。
5多門戶
主要涉及跨部門、跨層級場景,P系列直接通過客戶端快速的切換到另外一個門戶,經過身份認證、安全檢查去訪問對應的業務系統,實現通過一個客戶端,多場景、多門戶的安全接入。
6數據安全
數字水印技術。訪問不同的業務系統的時候,加載不同的屏幕水印,聯軟提供明文水印、矢量水印、二維碼水印、盲水印等多種技術。
P系列方案的價值在于重塑安全、簡單易用、高效運維。
面向于中小微客戶能夠快速的實施部署和落地零信任安全,支持在資源和設備齊全的情況下實現一小時的快速部署。
對于并發量大的客戶,支持負載均衡聯動,開放 P 系列產品到互聯網側的權限以及到內網側應用的權限。經過身份認證一系列的安全規則檢查后,可以快速訪問相關業務。
