近日,零信任办公安全领域标杆企业持安科技2023年度产品发布会在北京成功举办。会上,持安科技邀请到智联招聘信息安全负责人李欢出席会议,并发表主题演讲《企业如何走向零信任实践深处》。
智联招聘信息安全负责人李欢
以下是本次演讲实录:
今天主要通过分享智联招聘的零信任落地过程,来讲一下零信任怎样在企业内深度落地。
#01
零信任落地的趋势与时机
传统网络安全边界存在的内外部风险
内部风险:传统安全访问控制采用粗粒度授权,攻击者一旦进入内网,企业则无法应对其在内部的横向攻击。
外部风险:云计算、物联网、远程办公等技术落地,各类应用分散部署在不同公有云、私有云及本地IDC。越来越多的应用在网络边界暴露业务端口,增加了数据暴露面,被攻击风险大幅上升。
安全管理难度大,IT建设效率低
通过堆叠部署不同维度的安全产品建立的统一安全边界。
互联网发展较快带来的安全隐患
带来客户也带来了黑客,发展较快也带来了两个问题:
任何应用程序都会存在漏洞,黑客总是比用户更早的发现漏洞。业务始终被信任使黑客可以通过业务轻易到达他想到达的任何地方。
所有的终端都具有平等的权利,不再具有可信任的边界,传统边界安全失去了其存在的基础环境。
疫情防控行业习惯了远程办公常态化
国内疫情防控,很多行业已经习惯了远程办公。疫情开始时的手忙脚乱,到如今的淡定管理,远程办公已经内化为企业办公的一种常态模式。
越来越多的员工以远程方式接入,访问公司内部的办公和生产系统,访问行为不再局限于企业内网,接入设备也再不局限于企业资产,企业数据会在不同设备、内外网之间频繁流动,增加了应用安全和数据泄露风险。需要一个更加安全灵活的方式,零信任成为一个必选项。
数据安全隐私保护政策的推行
近年来,国内越来越注重数据安全和隐私保护,相应的法律法规也在不断推行。通过合适的技术和管理措施,可以保护数据和用户的隐私不受侵害,防止数据泄露和滥用。为了实现这一目标,政府和企业需要采取切实可行的措施,如加强网络安全建设、加强法规和制度建设、提高员工的安全意识和能力等。
虚拟专用网(VPN)无法满足现状
由于虚拟专用网(VPN)存在诸如局限性、用户建设和维护成本等问题,新一代网络安全架构应该能够更好地适应云环境、可扩展性更强,并且更加智能化和自动化,还应该具备更好的安全性,能够确保数据安全和隐私保护。
降低安全风险
多角度降低企业安全系统存在的风险,例如实施受控的网络访问控制策略、减少系统的攻击面、持续对风险进行评估来做出访问决策,通过加密技术保证访问数据的安全传输等。
#02
零信任落地的难点与问题
认同感
零信任模型需要企业或组织的所有人员都认识到其重要性,并能够积极配合落实,包括维护设备、更新安全软件、规范操作行为等。提升各个群体对零信任部署的认同感,得到领导层及各部门的支持才能使零信任计划持续运作。
安全体系
企业或组织现有的IT架构大多数都是基于传统安全模式所建立的,因此需要摸清自身传统安全体系、身份、账号、权限控制等安全现状,并结合自身特点,找到最适合企业业务系统情况的的零信任落地方式。
落地场景
理清零信任与安全、业务的关系,零信任方案对传统网络安全框架的适配情况做评估与对比,降低用户的建设和维护成本。
用户使用习惯
零信任是一种思想理念,主要是通过细粒度的权限管控等方式,来保障用户对企业资产的安全访问,因此需要考虑用户访问过程中的舒适度,尽可能不过多改变用户的访问习惯。
成本
采用零信任模型需要企业在网络安全、终端安全、应用程序安全等方面带来相应的安全成本。企业需要对安全成本的投入进行合理的规划和管理,将其纳入到企业的长期战略和发展计划中,逐步实现安全投入与企业价值的平衡。
价值体现
企业需要考虑零信任在风险管控、降低成本、安全合规、业务敏捷、有效控制等价值,如何通过可量化的形式体现。
总的来说,零信任的成功落地需要“找准落地场景”,“理清零信任与安全、业务的关系”
#03
企业零信任建设之路
智联招聘选择了持安科技作为零信任合作伙伴,共同规划、实施、落地零信任产品。
在零信任规划方面
分析企业现状:全面分析企业安全体系现状,包括身份、账号、权限和数据权重,同时深入了解企业业务模式特点,为后续制定零信任规划提供基础数据。
确定安全需求:根据现有的安全痛点和业务需要,明确自身需要零信任的能力,并制定访问策略,以确保数据安全,避免未知的安全威胁。
持续优化方案:持续深化技术路径及未来的运营方向,寻找最适合自身业务场景的零信任方案,确保零信任在企业内持续发挥安全价值。
零信任实施阶段
IAM保护信息安全,提供可靠的身份和鉴权服务,访问控制降低内部数据泄露风险,提高管理效率,账号管理,权限管理。消除信息孤岛,整合信息统一认证,协同办公;
SDP解决“你是谁,从哪里来”的问题;
动态细粒度授权解决“要去哪,想干嘛”的问题;
我们知道一般的系统都是有认证系统的,通过身份识别后获得相应的访问权限,而这里的权限基本上事先配置好的,如果有变化则需要再次配置,无法做到动态化。
零信任的技术解决方式是通过细粒度动态授权的实现来解决这些问题,动态授权里包含了策略和风险评估,策略是通过属性进行的决策服务,因此,属性是权限颗粒度的单元
我们之所以在乎微隔离,就是因为它可以应对攻击建立完整的防御体系。
第一阶段:理念验证,与基础设施的结合度
在疫情期间,远程办公成为了智联办公的重要方式,企业首先选择了升级VPN的方式切入“零信任”安全。通过这种方式,确保了远程办公使用数据的传输安全,同时也能够进行数据安全管控审计,验证“零信任”安全模式在自身的基础设施环境下的价值体现。
第二个阶段,分场景分业务,逐步接入零信任
在通过初步验证后,我们从移动办公场景切入,集团总部率先接入,通过不断的测试和调整,企业逐步辐射到全国各个区域。目前,企业已经成功地实现了分场景分业务的接入,“零信任”安全模式正在平稳运行中。
第三阶段,核心网络、核心业务接入零信任体系
实现“零信任”全链路落地,将核心网络和核心业务系统接入。通过监控和记录用户行为,企业能够在第一时间发现非法访问并及时进行控制,对于安全事件做出及时响应。这样便能够保障各个业务系统内部的安全,并最终实现企业信息的全面安全保护。
零信任的价值
无感访问。安全0打扰,0学习成本,提高访问效率,增强业务防护能力。
未知威胁防护。采用“先验证、再访问”的策略,未知人员无法接触到业务系统,能够有效防范未知攻击。
应急响应。精准识别已知人员的威胁行为,发现异常及时阻断。
数据安全。深入至应用层的零信任拥有完善的闭环的数据安全能力,从存储-传输-使用环节,管控远程或本地数据非授权下载行为。
安全一体化。架构提供丰富的API接口,能够快速与第三方安全产品深度融合,实现更全面的安全保障。
零信任落地场景
1. 对于一般的业务系统,采用零信任web端访问方式。
2. 对于有核心客户数据等系统,通过零信任客户端访问。
3. 取消以IP白名单的方式限制用户访问来源,提高用户访问的便捷性和灵活