零信任创新沙龙分享《零信任实践：从远程办公开始》 – 作者:联软科技leagsoft

11月7日，安在新媒体零信任创新沙龙第二期在上海举行。本次活动邀请了众多业界专家、企业代表，带来务实、轻松的干货分享和行业思维的碰撞。联软科技受邀出席活动，分享了以《零信任实践：从远程办公开始》为主题的演讲，主讲人讲述了零信任安全的发展过程和企业如何规划零信任落地，以及联软的零信任方案和实践经验，结合当前全球疫情再次爆发的现实情况，联软科技建议企业在往零信任的转型过程中，可优先在远程办公中进行试点验证，然后逐步切换到其他应用场景中。

企业数字化转型使得网络边界消失，访问复杂，攻击者也串入其中。在内部员工安全意识不强造成数据泄露，外部数据的窃取-加工-售卖-诈骗形成完整的产业链，APT攻击普遍使用且更加难以防护的多种威胁情况下，企业迫切需要一种新的网络安全架构来应对现状。

零信任的早期雏形在2004年的耶利哥论坛就有所体现了，随后在2010年Forrester的分析师约翰·金德维格正式提出零信任的概念，金德维格先生基于对网络安全的深入洞察，提出默认不应该信任任何网络流量，而是需要基于强认证和细粒度授权来重建信任。经过10年的发展，零信任安全已逐步被业界所认可，并从理念逐渐走向实践。零信任是一种概念、模型、体系框架、安全访问资源的方式，它不是一种产品和技术，目前对于零信任的实践有三种，即SIM：SDP（软件定义边界）、IAM（增强身份的管理）、MSG（微隔离）。

其中以SDP的发展最为成熟，并得到了Gartner、NIST、CSA等机构的强烈推荐。

2020年，一场突如其来的新冠疫情，波及社会民生方方面面，许多人的生活节奏和工作计划都被打乱，最显见的变化之一就是远程办公的兴起和火热。而随着VPN问题的突出和多云环境访问的场景逐渐增多，零信任网络访问在远程办公和多云访问等场景中发挥了更安全高效的作用，市场的需求也更加迫切。

联软科技是国内最早的准入控制厂商，是中国企业端点安全领域的领导者，一直专注终端和网络结合下的安全访问问题，坚持场景式最小化的动态授权理念，分别在Windows、Mac、Android、iOS等设备上实现基于人员、设备、应用的分层授权。所以联软认为零信任安全是对当前安全模式的演进，而非颠覆性的革命性的产品，是可以在企业现有安全建设基础上递进、演化的安全架构。

随着企业端点侧的安全能力，如NAC/EPP/AV/EDR/DLP对零信任的需求增强的情况下，一个能整体管理的安全平台可以让企业实现安全能力的简单、高效，并能节约企业成本。所以企业在考虑零信任时，需要充分评估零信任厂商对异构终端的统一管理能力。

注：Gartner 2020 ZTNA市场指南

联软零信任（ZTNA）架构以资源为中心进行安全防护，以身份为基础，先认证后授权，将控制平面与数据平面分离，细粒度动态自适应访问控制体系，让服务隐身并保障安全。联软零信任（ZTNA）架构分为三个部分：客户端、控制器、网关。所有的客户端在访问资源之前，都要和控制器通过SPA单包验证，含有双方共同信息的秘密报文，通过UDP协议发给控制器，敲开访问的大门，任何其他的包将会被丢掉，控制器不做任何回应，如果身份合法，会通知访问应用网关，告知客户端的相关信息和通信参数，之后客户端和网关之前以同样的流程进行双向验证，然后才能访问看到有权限的应用资源。

联软零信任（ZTNA）架构可实现单包认证（SPA）、全面身份化、环境感知、动态授权、持续信任评估等网络安全访问功能，此外结合安全沙箱、UEM、NAC、AV、EPP、DLP、EDR对零信任安全进行全面赋能，对零信任进行增强，并与华为安全、安恒信息等厂商达成生态合作，在UEBA、态势感知方面对终端的访问上下文进行进行持续分析，进而完成持续信任评估。

零信任的发展是一条漫长的旅程，企业必将长期处在零信任/遗留混合模式下，联软通过将零信任与企业现有安全产品进行整合，一个Agent满足任意终端在任意网络下对处于不同位置资源的灵活访问，从而安全访问能力与硬件解绑，帮助企业实现通过软件编排来定义访问。

现如今，全球疫情又呈现卷土重来的趋势，当远程办公再次运用到工作中时，联软零信任（ZTNA）架构能更好地运用其中，保障企业业务安全、顺利进行。联软也将根据市场和需求的具体，提升产品和服务，不断为企业提供强有力的网络安全保障。

来源：freebuf.com 2021-01-06 14:59:45 by: 联软科技leagsoft