Gartner预测,到2025年,60%的企业机构将把零信任作为安全工作的起点。
但是,国内许多企业在实施所谓的零信任时,却并没发现零信任有多“香”,这是为什么?
也许你用的零信任,并不是真正的零信任。
在今年ISC零信任论坛,持安科技联合创始人孙维伯,发表了题为《实战零信任最佳实践》的主题演讲,分享了持安科技探索和落地零信任最佳实践的心得和经验。
#1
这是有成功实践经验的零信任
零信任理念自2010年被提出之后,当时在市场上并没有掀起多大的水花,真正使零信任走入大众视野的,是谷歌、微软、亚马逊等大型企业落地零信任后,使业界看到了零信任真正的价值
谷歌
2010年前后,谷歌内部开始了代号为BeyondCorp 的零信任安全项目,Corp 是Corporate Network 的简称,代表企业网络,BeyondCorp的意思,正是打破企业安全在网络隔离方面的局限,不再区分内外网,而是根据员工身份鉴权,员工可以在任一地点安全接入企业资源,用户体验平稳流畅,从此,企业无需牺牲效率做安全。谷歌陆续在2011年至2017年,将该项目的论文公开,被全球各企业广泛认可与学习。
微软
基于微软Azure云的零信任方案,架构上与BeyondCorp类似,身份安全能力主要通过Azure AD产品打通,该方案还可与微软的XDR、Microsoft365数据安全方案集成,使其效果更佳。微软目前已将90%+业务应用迁移上云,在云安全的保障下,数据可以从微软云传输到个人的任何设备上,随时随地进行高效办公和团队协作。微软的零信任成功保障了微软全球30多万员工、64万台设备每时每刻的安全访问。
亚马逊
每天有数百万客户通过Amazon管理控制台或各类公共/私有网络,安全地调用Amazon API,与Amazon服务实现交互。以用户身份为中心,解决了IoT设备的安全问题。每连接一台终端,就要加密一次,认证一次,AWS让零信任理念成为保障各种网络设备安全的基础。
#2
都叫零信任,有啥不一样?
相较于传统安全产品
零信任接入后,可以大幅提升员工网络访问的效率与安全性。无论员工在哪里,用什么终端设备,真正的零信任都可以使用同样的细粒度访问控制策略,验证人员、设备、身份、权限、行为等皆可信后,才可访问办公系统,极大节省了记密码、多系统登录的时间成本。且由于零信任的“先认证,再访问”原则,可以将未授权的用户与企业资源隔离开,在企业业务系统漏洞防护和大型攻防演练中有显著效果。
相较于网络层的零信任产品
真正的零信任最佳实践需要承载业务,所以应该同时具备网络层和应用层的能力,尤其是应用层。通过与业务深度关联,感知业务应用的特征与权限,做最小化授权的访问控制,且在零信任持续运营过程中,基于用户行为数据,不断优化零信任与企业业务场景的贴合度。
其次,应用零信任可以通过BS应用转发,速度比网络层转发有显著提升,可以分布式部署的同时,做分布式访问,用户访问不绕圈,体验不卡顿,无延迟。
此外,网络层零信任产品难以有效防护应用风险,应用层零信任可以防护未知漏洞,同时对已知漏洞进行虚拟热补丁修复。
最后,平台化的零信任产品,可以与企业原有的安全产品超融合,拥有联防联控的一体化安全能力。
#3
持安零信任是国内零信任理念的最佳实践
办公便利、承载业务、安全一体化!
2021年4月,持安科技成立,希望为企业提供高效、无感知的办公安全方式。
团队成员基于自身20年甲方安全建设实践经验,2015年开始的零信任研究、落地、运营经验,10余年的数据安全与攻防实战经验,同时参考 Google BeyondCorp 项目框架,最终发布重磅零信任平台级产品——持安零信任平台。
持安科技零信任最佳实践落地目标
新一代零信任安全框架,应将安全融入企业办公基础设施,以提供办公便利为主线,安全为隐藏线。
安全产品从接入到使用,对业务不改造,无感知,安全不仅助力业务运行,更需要参与、帮助业务建设。
建立以身份为中心的一体化安全防护能力,使企业所有安全产品的能力得到融合打通,联防联控,打造从预测、防御、监测、响应的全链路零信任安全能力。
#4
持安零信任平台架构优秀是关键
持安零信任平台,是持安科技团队自主研发、采取微服务架构设计的企业办公安全基础平台。以组件可插拔方式,满足企业混合办公、安全防护、合规审计等多类使用场景,实现了从网络、应用、资源、数据层面的全链路零信任安全能力。
持安零信任应用网关
网关可以根据业务的实际位置分布式部署,解决企业在国内外,SaaS、公有云、私有云、IDC等不同访问途径的零信任安全问题。
同时网关还拥有网络层、应用层、数据层全链路零信任能力,比SDP等网络层网关接入效率更高、使用体验及安全性更好。
持安零信任终端
终端嵌入甲方各类办公套件,实现用户一次登录,全天安全。
此外,员工使用过程中,终端时刻开启安全感知能力,对员工身份、设备、行为进行动态安全检测,一旦发现问题,及时警告、反馈与修复,以达到业务数据防泄漏、防止过度授权的目标。
持安零信任控制中心
是用户每一个访问请求与动作的决策中心,可视化的管理平台,降低安全运维管理成本,确保用户行为合理、合法、合规。
决策中心也是持安零信任安全一体化的落脚点,与甲方各类安全产品融合后,抚平碎片化的、复杂的企业网络,提升企业整体的安全能力,使企业安全工作价值最大化。
作为国内第一个真正以甲方身份创业的零信任厂商,持安科技积累了较为完备的零信任规划、实施、运营落地方法论,这些经验,非长期实践积累不可得。
#5
持安零信任平台让安全和业务统一战线
持安零信任产品与服务方案,目前在多个行业标杆客户中落地。
某头部消费品公司
团队规模数千人,所有业务、所有员工全部上零信任,员工办公不区分内外网,实现零信任权限最小化、动态鉴权以及去静态密码化。
某头部地产集团
近百万存量用户,10万+日活用户,在大并发办公环境下零信任平稳流畅,持续校验、实时访问控制,始终保护着企业的办公安全。
某大型互联网公司
万人规模,已完成零信任连续7年的落地使用,通过零信任平台打通安全其他系统,实现安全一体化,以及持续安全运营。