12月4日-12月6日,2020云安全联盟大中华区大会于上海举行,在今日云上(线上)论坛中 ,联软科技副总裁黄国忠分享了零信任SDP与数据安全的经验和见解,以下为论坛主持人提问和联软科技回答内容:
01
Q:先请大家简要介绍下各自的公司情况。
A:联软科技是中国企业端点安全市场领域的领导者,国产自主安全可控的网络安全管控技术领军厂商、全球最早的网络准入控制厂商之一,一直致力于帮客户提供端点安全、边界安全、云安全服务三大领域。2019年,联软科技与魔方安全合并,获得了以攻击者视角对全网暴露面进行主动持续监控与管理的能力,正式进入网络攻防领域,致力于以攻防全局视角,改变现阶段攻防力量不平衡的网络安全环境。
02
Q:近年以来,网络安全随着应用技术、理念的不断创新发展,有了很大的改变。包括“传统”、“新一代”等时代差的关键词出现,大家对这一点怎么看?对未来网络安全对发展有什么看法?
A:1.数字化转型和云大物智移等为代表的新一代技术,边界模糊性、资产海量化、环境复杂、业务关键、充满新的不确定风险,传统网络为中心的基于边界的防护体系正在瓦解或逐渐失效,外挂式、基于签名的安全产品和技术难以为继。
2.数字化或新基建也好,会出现新的资产、新的漏洞和威胁,不可识别和感知的风险占主流,当前防御理论是威胁驱动的,威胁不可见如何抵御高强度攻击。
3.随着网络安全上升到国家安全,包括从2016年开始的实战化攻防演习,安全建设的导向从合规驱动走向实效驱动,安全的本质是攻防两端力量的较量,归根到底看双方的成本,而要具备战时的防御能力,对一般单位来讲投入成本太高,需要一种更经济的方法。
基于以上几点,我认为新一代的网络安全架构,必须改变攻防不对称的局面,通过构建低成本防御体系来指数级提高攻击者成本,安全必须有ROI(投资回报)、另外安全为业务提供支撑作用,需要业务深度融合,不能阻碍业务的发展,以零信任为代表的新的安全架构或方法以从不信任,始终校验的核心思想,摒弃传统的静态的隐式信任,在网络边界的基础上构建以上下文为中心的逻辑边界,能极大收敛暴露面、构建端到端的以最小权限为原则的应用级动态访问控制体系,将业务与安全深度融合,大大提升攻击者的成本。未来零信任体系将和现有防御体系充分结合和深度融合,暴露面收敛后,内外部攻击的智能大数据分析非常重要,这是我的看法。
03
Q:作为一家终端安全的厂商,联软为何做零信任或SDP?
A:我们做零信任或SDP不是蹭热点,而是顺应了IT架构和客户需求的变化,很自然的平滑升级:
首先,零信任或SDP并不是没有边界,而是在传统边界逐渐失效的情况下构建以上下文(如身份)为基础的围绕每个应用虚拟边界,比如在远程办公下边界从防火墙延伸到个人电脑或移动设备,各类终端的动态安全环境感知与防护能力就非常重要,那么联软十多年的终端安全管理经验积累和UEM能力就可以帮助我们或伙伴的零信任方案提升价值。
其次,联软早在2004年就开始做网络准入控制,NAC强调先验证身份,再连接网络,设备安全基线不符可强制下线修复,这也是动态访问控制的思想,这和零信任的核心思想是一致的,只是到了云+移动的时代传统网络边界被打破,也就出现了SDP,实现更灵活和细粒度的动态访问控制,我们设计EMM产品的架构时就采用了APN网关,强调服务隐身和应用层安全隧道,2019年推出SDP产品,今年推出UEM的ZTNA零信任网络访问产品和方案。
最后,零信任最终目标是保护数据和资源,而联软一直提供领先的数据防泄露、数字水印、多网文件安全传输等方案,我们的零信任方案很好地将上述技术融合进来,确保数据安全。
04
Q:虽然经历了十年发展,仍有人说零信任是概念,现在还处于市场的探索期,对这一点怎么看?
A:不同意零信任还处于市场探索期的观点,零信任是一种理念,是一种新的范式,但零信任架构在美国NIST标准中有明确定义,已经有标准和工程化落地,零信任落地的最佳技术SDP市场国内外都已经有很多供应商,SDP替换VPN也是正在发生并且必然的事情,比如今年因为新冠疫情很多客户开启远程办公 ,我们就帮助很多客户采用SDP产品快速搭建远程办公、远程运维安全接入系统。我认为零信任探索的是场景,要考虑如何和现有系统的融合、集成、在安全性的同时保持易用性。零信任是个过程而不是结果,需要一种持续的能力和长期规划。
05
Q:联软SDP产品如何保护数据资产安全?
A:联软SDP产品基于CSA的客户端、控制器和网关三组件的标准化方式实现,控制平面和数据平面分离,遵循SDP 服务隐身、预授权和预认证、应用级的准入控制、持续风险评估和动态访问控制等核心原则,通过可信终端(符合安全策略、如配置和软件)、可信身份(多因素、扫码等去密码化方式)、可信应用(发布审核与访问审计、应用白名单、最小权限)、可信接入(SPA、加密、国密、应用隧道)四个方面来确保接入内网的安全,客户端用沙箱实现工作域相互隔离、存储加密、数字水印、防截屏等方式、应用黑白名单、访问审计等确保数据的安全。
06
Q:在座的各位都是零信任SDP领域的代表企业,未来大家的发展规划是什么样的?
A:作为联软科技来讲,我们是在终端安全管理与网络准入控制、数据安全领域深耕多年,具有端点侧领先优势,零信任或SDP最终目标是围绕数据安全,我们的SDP除了充分利用端点动态环境感知和安全管控、数据安全(沙箱、防泄密、水印等防护能力)外,我们的SDP规划重点考虑开放性、标准化,我们一直强调生态和合作,也在参与国内一些零信任联盟,和IAM、态势感知等厂商实现对接,也在积极参与国内零信任标准的编写。标准化、零件化、生态化合作一直是我们倡导的。
未来,联软也将发挥自身在零信任领域的优势作用,持续创新,为零信任发展贡献自己的力量,为企业打造更专业、高效的网络安全产品和服务。
在本次大会的CSA GCR颁奖典礼和晚宴上,联软UniSDP安界软件定义边界系统获得了CSA 2020安全创新奖;联软在云上论坛的分享人由于在网络安全领域的突出贡献,被云安全联盟授予研究贡献奖。
来源:freebuf.com 2021-01-06 15:26:44 by: 联软科技leagsoft
请登录后发表评论
注册