2023年05月25日、26日,由安世加主办的“EISS-2023企业信息安全峰会之北京站”在北京亮马河会议中心成功举办。峰会以”直面信息安全挑战,创造最佳实践案例“为主题,总共吸引了近500位来自各行业的企业安全负责人,安全专家。
本届峰会是安世加在北京连续举办的第五次峰会,得到众多行业协会、机构以及媒体等共同参与支持。亿格云受邀参与本次大会,解决方案专家 崔双硕 发表了《零信任SASE 安全一体化解决方案》主题演讲。
传统体系难以适配新型挑战
崔双硕提到,伴随着企业数字化、 业务互联网化、基础设施云化、办公移动化引发了企业三大安全挑战,总结起来主要包含两个层面:一是企业员工办公形式的变化。从固定的办公场所逐渐偏向于移动/远程/跨境等办公形态。二是企业业务承载形式的变化。从原来的单个IDC或两地三中心的建设。变成了具备公有云,私有云等混合云部署的业务承载模式。
因此,总结出当下企业面临的三大安全挑战:
● 逐渐消失的企业安全边界
● 互联网暴露面大访问控制粒度粗
● 混合办公安全防护难
如今,单点式,碎片化、烟囱式的传统办公安全体系已无法打通形成合力去解决安全问题,典型例子是:远程办公下的防病毒场景!一旦一台终端中了病毒,病毒可通过VPN连接到内网。如果想妥善解决,可能需要采购2个安全厂商的产品实现防病毒的联动效果。
新的变化带来诸如此类的安全挑战。因此,企业急需一个全场景覆盖、低成本、高效率、体验好的下一代办公安全体系来保障企业的数字化转型。
SASE是未来趋势
怎么样打破这样的安全困境与挑战?崔双硕提出,最佳方法是用SASE的技术路径去落地零信任。
SASE正以爆炸性增长速度颠覆当前企业安全的边界纵深防御架构,Gartner预估2024年会有40%的企业开始采用SASE架构,到2025年60%的企业会开始采用SASE架构。2022年《财富》500强公司中有超过40%(200多家)已采用SASE服务。
SASE带来云网端融合的安全架构,也将带来以下多样化的好处:
亿格云SASE通过一朵集中管控安全的“云”+ 一张全球办公加速的“网”+ 一个安全能力合一的“端”,融合网络和安全来重构且有新一代办公安全体系。
据崔双硕介绍,亿格云SASE架构主要分以下几个层面:
一层面是端:每个员工终端上安装的客户端都包含两方面能力:一方面是终端管理安全、I T资产管理相关能力,例如基础防病毒、基线修复,盗版软件检测、数据安全防护等。另一方面是零信任网络访问,将流量迁引到全球分布的40多个网关节点,无需暴露任何端口,安全实现内网与互联网访问路径。同时,基于客户端部署的形式,在保证业务通路的基础上,具备更多网络优化的能力。
二层面是网关节点:访问恶意域名网站时进行阻断,保障上网安全,当通过互联网渠道外发敏感文件时进行审计与拦截。
零信任SASE落地场景
在零信任SASE落地场景中,崔双硕展示了落地零信任SASE带来的优势:
网络零侵入、应用零改造,快速落地零信任
收敛互联网暴露面:在应用侧部署连接器(Connector),连接器反向TLS隧道连接POP网关,内网应用和连接器都不对互联网暴露;有端访问场景对互联网暴露POP网关,POP网关通过TCP-based SPA隐身;无端访问场景对互联网暴露企业门户
快速落地零信任:无需修改路由或者预留IP段,无需改造应用,快速落地零信任
灵活的访问方式:支持零信任客户端访问内网B/S及C/S应用;支持无端通过企业门户访问内网B/S应用;支持钉钉、企微、飞书工作台通过企业门户访问内网B/S应用
零信任网络访问具备多项能力,其中可概括为:
【权限管得细】:根据用户身份、设备、位置、时间、进程、终端风险等进行多维动态访问控制,提供细粒度的访问控制。
【访问看得清】:通过4层/7层透明应用网关实现员工内网行为全面可视,提供精细化的访问日志和敏感数据分布、流转日志。
零信任最佳实践的流程应是先实现应用/URL/API级别访问控制,再进行禁止访问不可信进程,如果发现内网扫描,中控控制实时断网,然后对不可信网络环境和不可信终端禁止下载文件,最后对访问敏感应用的身份进行二次认证,唯有如此,才会真正实现落地最小权限,防范横向移动攻击。
在现场,通过一段视频举证,模拟展示了“办公网内终端被钓鱼失陷,动态评估横向移动攻击链并阻断”的全过程,清晰演示了零信任SASE的应对钓鱼失陷情况的实践路径。
(视频详情请见亿格云科技视频号)在谈及零信任SASE落地拓展场景中,数据安全成了大多数企业面临的重要挑战,而经过大量调研得知,多数的数据安全事件都源自于“没有精细化、细粒度的身份权限管控”,导致了数据泄露等严重后果。
然而,传统的数据防泄漏方案在落地实践中通常也有“场景覆盖不全”、“易被绕过”、“运营难”等诸多问题。
基于以上三个痛点,亿格云提出了从传统DLP到XDLP演进。XDLP结合了零信任和传统DLP技术,是对传统DLP的变革性技术演进,是一种新的、现代的数据保护方法。
在监控模式方面,从原来的监控外发转变为从数据下载到流转到外发的全链路跟踪;
在数据识别方面,除传统的正则表达式、机器学习外,增加了业务上下文如来源应用、文件血缘关系等识别技术;
在风险评估方面,全场景使用应用DLP、终端DLP、网络DLP、UEBA技术进行全域风险评估。
亿格云零信任SASE平台还借助ChatGPT能跟XDLP能力就进行结合,通过AI能力去解读并分析数据风险行为的报告。
紧接着,崔双硕展示了亿格云零信任SASE “DDR数据流转跟踪”的实操演示,模拟代码文件作加密压缩,复制副本,更改副本名称与后缀,最终通过网页版的邮箱进行外发。但通过DDR数据流转跟踪能力不仅能清晰了解整个过程,还能了解包括邮件发送方、接收方等信息。结合来源应用和文件血缘技术,防绕过终端检测,高效落地数据防泄漏的绝佳实践。
(视频详情请见亿格云科技视频号)
总结来说,亿格云XDLP的安全能力通过事前、事中、事后全链路进行API数据安全防护,事前自动发现和梳理敏感数据,事中细粒度管控敏感数据,事后全链路事件还原敏感数据路径。
末了,崔双硕总结了亿格云零信任SASE一体化安全解决方案的三大优势:安全稳定体验好;降本增效;可拓展性强。
客户的成功才是我们的成功
当前,亿格云已服务近 100 家上市公司和独角兽企业,覆盖超20万个终端,包括吉利控股、传音控股、零跑汽车、 广联达、怪兽充电等行业头部客户,在智能制造、金融、游戏、泛互联网等领域得到客户广泛认可,并且,亿格云携手客户还策划了走进名企的落地经验交流会,为更多探索数字化企业安全建设的专家与代表出谋划策。
分享的最后,崔双硕也将诸多亿格云客户的真实反馈展示了出来,客户的满意才是亿格云最大的成就。