2022零信任产业发展论坛【速记】

发布者:Editor
发布于:2022-06-23 18:33

    主持人:尊敬的各位领导,各位嘉宾,媒体和观众朋友们,大家好!欢迎大家观看由腾讯安全主办的第二届零信任产业发展论坛,我是腾讯安全市场部的负责人付蓉洁,也是本次论坛的主持人。首先我谨代表主办方腾讯安全对各位的关注表示热烈的欢迎以及由衷的感谢!

    2021年腾讯安全联合中国信息通信研究院、产业互联网发展联盟,举办了第一届零信任发展趋势论坛,共同探讨了零信任的技术演进与发展趋势。如今零信任已经逐步从理念普及走向了应用的落地,所以第二届零信任产业发展论坛我们将聚焦零信任在中国落地的实践与经验展开探讨。今天我们还将在共同见证2022年腾讯零信任iOA新品的发布,腾讯与Gartner合作《2022年混合办公白皮书》的发布,同时我们也将同零信任产业生态联盟的众多企业一起迎来联盟升级这一重要时刻。在此基础上,还有多位重量级的嘉宾在本次论坛为大家带来零信任趋势以及实践的分享,在此,让我们对各位到来的嘉宾也表示热烈的欢迎!

    接下来让我们有请第一位上台的嘉宾,腾讯安全副总裁方斌为本次论坛致开幕词。

   

    方斌:尊敬的各位嘉宾,媒体朋友们,大家下午好!欢迎收看此次零信任产业发展论坛的直播,全国疫情此起彼伏,给线下办公和会议带来了很多的挑战,不过疫情的两年来,我们也深切感受到了远程会议的便捷和高效。今天我们相约云端,一起讨论零信任这个话题,我觉得也非常契合。零信任就是要实现无论何人在何时、何地、何网络都能安全地访问。在疫情背景下,数字化让经济展现出了强大的韧性,不过也让触网的终端数量和种类呈现爆发式的增长。网络安全威胁日益多元,所以传统基于边界的网络安全防护体系,已经无法应对数字化时代的安全要求,而基于无边界理念的零信任技术模型,在这几年成了全球企业关注的重点。

    在国内,腾讯是最早实现零信任的大型厂商之一,在2020年疫情期间,腾讯iOA稳定高效支撑了全网10万终端的全类型办公,并且实现了零安全事故。与此同时,我们也在加快腾讯自身安全能力和经验的输出,探索零信任对各行各业企业发展的助力价值。就在今年早些时候,腾讯iOA的部署终端已经突破100万台,成为国内首个落地百万的零信任产品,这也意味着我们产品的商业成熟度和交付能力得到了客户的认可。这个过程中,我们也有自己的一些思考和观察。

    第一,零信任正在展现新价值,成为企业参与数字化竞争的核心能力之一。

    比如说我们第一个百万端的客户高灯科技,在2020年疫情期间,他们使用传统的VPN无法支撑激增的远程办公需求,并且高危漏洞频发。部署腾讯iOA之后,高灯科技实现了终端安全一体化,增强了合规基线的检测和数据安全的管控能力,保证了公司业务稳定高效进行。

    第二,零信任加速落地,正在步入更多的新场景。

    这两年,随着数字化的深入,零信任已经从最初的互联网行业,逐渐应用到了金融、地产、物流、教育、工业等新场景。比如北京的一家三甲医院,通过部署腾讯iOA不仅实现了远程医疗协作网络的顺畅运行,还极大地保障了患者的数据安全。还有一家钢铁集团,腾讯iOA帮助它建立了传统的安全架构与云安全架构结合的一站式零信任安全体系,为其数字化转型保驾护航。

    第三,零信任未来发展需要新生态。

    从2019年开始,腾讯就致力于国内国际标准的建设,与行业伙伴一起推动零信任行业的标准化、体系化发展。目前,腾讯零信任标准工作组制定的接口标准已经实现了同18个行业安全厂商的对接。如今,零信任步入2.0时代,它的未来发展需要更开放的生态,我们希望各厂商能携手共建,在标准的基础上,深化协同与商业合作,深挖落地场景,开放接口等等,这样才能为客户提供功能更完善,体验更好的零信任解决方案,推动零信任在中国的加速落地。

    以上就是我的几点思考,再次感谢大家的支持与参与,谢谢大家!

   

    主持人:感谢方斌总的致词!正如方总所言,在数字化进程加速的背景下,零信任正在步入更多的新场景,也将成为企业参与数字化竞争的核心能力之一。零信任2.0时代需要我们携手共建,更加开放的零信任新生态。在2.0时代,零信任产业将迎来哪些机遇和挑战呢?

    接下来让我们有请中国信通院云计算与大数据研究所所长何宝宏先生,为我们分享“零信任发展观察”。

   

    何宝宏:大家好,我是来自中国信通院的何宝宏,很高兴能有这个机会与大家分享我和我的团队,关于零信任发展的一些情况和一些思考。

    我的介绍大概是四个方面,介绍一下零信任的起因、一些关键的技术组成、目前的一些典型的,在我们所看到的应用场景,以及生态,尤其是我们国内目前零信任生态的发展情况,最后谈一下大家在零信任方面面临哪些挑战和问题。

    我们知道,我们人类社会有了信任之矛之后,现在整个社会越来越多地转向相信技术,相信算法,由人工智能、大数据等等做出的一些决策,我们日常也有感受,我们购物经常是推荐算法,我们出门基本上是靠导航给我们推荐算法等等。所以算法做决策,在我们现实中越来越重要,所以我们实际上将决策,将信任转向了数字技术,云让我们相信计算的能力,人工智能让我们相信算法创造智慧,大数据让我们相信数据会产生新的价值,区块链让我们相信能够创造信任,现在又流行元宇宙,让我们相信人还有数字人生等等。当我们越来越多将我们的信任转向数字技术,做数字决策的时候,我们发现当你依托信任多的时候,信任的问题越来越突出,这些年我们对数字技术越来越依靠,产生的信任问题也越来越多。比如我这里简单地梳理了一下基础设施层面的,比如因为移动办公、云化、自带设备等等,产生零信任,也就是我们今天会议的主题。还有算法层面的信任问题,算法的歧视、杀熟、诱导等等,所以全世界都在做算法治理。还有内容层面的信任问题,我们的生产式的AI,产生的深度伪造等方面的问题。还有价值信任问题,比如我们搞区块链,搞隐私计算等等,价值传递的控制问题,还有身份信任问题。所以你会发现不同层面上都出现了数字信任的问题,当然今天我主要聚焦在基础设施层面的信任问题,尤其是聚焦在基础设施、云计算等引发零信任的概念,因为“零信任”这个词到目前为止主要还是狭隘的聚焦在基础设施层面,而不是在更大层面,后面主要是谈基础设施。

    “零信任”概念提出已经十多年了,从概念的提出到用户侧的方案,供应商的方案,包括可视化,包括软件定义的信任,安全等等,经过十余年的发展,可以说走到这两年出现了一种爆发式的发展状态,我们不同机构的理解,最终走向了融合,走向了一致,大家对零信任形成了一些共识。当然主要是我们现在用得比较多的远程办公等等,比如Gartenr预测,明年会有60%企业VPN会被淘汰,这个我非常敏感,是因为我二十年前就是做VPN的,写过几本书,现在我当年做的技术又要被我今天研究的技术淘汰了,这是自然规律的问题。

    零信任基本原则很多,我把它总结为“半信半疑”,我们原来做信任实际上是位置决定信任,你在这个边界里就值得信任,你在边界外面就不值得信任。所以今天是不由位置决定信任关系,不预设任何条件,默认一切都不可信。最小授权即使你在我里面,我也需要按需分配,时刻监控,动态访问控制,持续安全防护。所以我总结成叫“半信半疑,时刻监测”,尤其是要盯你的隔壁,我们原来的信任安全主要针对外面恶意的用户,恶意的使用者等等,现在我们注意到越来越多信任问题转向了内部,防自己人,防合作伙伴,不仅仅是我们今天讨论一系列的架构问题,包括区块链,包括隐私计算,其实越来越多是合作伙伴之间的信任问题,如何通过技术手段来解决。零信任在这里面也是同样的概念,我们原来主要是防止外部人的一些恶意行为,现在要解决合作伙伴之间的信任。零信任经过这些年发展,刚才也提到它的技术架构已经稳定下来了,这是美国国家标准研究院(NIST)提出的零信任架构,大概分为控制层面和数据层面,这个概念的提出很有意思,以前在我看来安全主要是通过管理和配置来解决的,而不是通过控制来解决的。因为在通信里经常是控制平面,管理平面和数据平面,经常是分开的。而我们经常做计算机经常随路的,控制和管理、数据经常在一个面上。而安全越来越多的今天也要搞控制和数据平面要分离,这里面当然在我看来,在NIST框架标准里还少划了管理面,因为经典划法是管理面、控制面和数据面,所以这块缺点,当然也是技术进步。零信任里已经将控制和数据面分离了,这是很大的进步,这种分离往往意味着这个东西越来越复杂了,所以我们需要单独的控制面了。当然这里面零信任架构核心就是以身份为核心经营企业的IT,经营企业的安全,这是零信任的标准定义,NIST相关概念的定义,这是一个想法,注意零信任是一个框架,是一个概念,是一个想法,不是指具体的一个技术。

    零信任与传统防护之间是有明显差别的,我这里做了简单的对比。一个是原来靠边界来防护,现在是边界内外都不可信,隔壁老王是不能信的,原来住在隔壁就差不多了。原来我们做防护的产品是安全产品之间,安全产品和我们业务之间相互固定,现在要联动,要联合起来。所以从这个角度来讲,我们的零信任不仅是以用户身份为中心的讨论,也是将我们的安全,将我们信任网络化,原来基本上是单点信任,点对点信任,现在越来越多网络化的信任关系,原来信任是固定的,现在要分开调整,这就是为什么NIST标准定义里,要将数据平面和控制平面分离的原因。因为我们需要对信任或者安全的策略实时动态做调整,你只能是通过协议,通过protocol来解决这个问题,而不能通过简单的手工配置和管理,这是做不到的。防护方式已经从以网络为中心转向以身份为中心了。

    无论如何,零信任解决很多问题的同时也需要和传统防护机制进行相互协同,这里简单梳理一下零信任里重要的特点:第一,零信任将数据应用、负载、人员等都视为资源,而不是仅仅将网络视为一种资源,所以可以说对信任的资源密度变得更细了。第二,对我们相关内部资源,对外的资源要隐身,我们不能直接暴露出来,暴露出来容易受到攻击,所以需要相应的隐身网关,我简单画了示意图,包括应用层面,网络层面等等,控制面没有画出来。屏蔽安全策略,安全策略也需要动态的分配,以身份为中心,已经强调好几遍了。

    零信任涉及相关的核心技术大概有三个方面:

    第一,策略引擎和控制引擎等相关的,这个实际上是对应控制面的问题,因为这方面我们在做通信任叫信念,搞互联网的经常叫协议,搞安全的经常叫做安全策略,大概是一个意思。

    第二,安全网关相关的代理技术,一个是Web的代理技术,这是偏应用层的。往下还有隐身的问题,因为安全的策略之一就是你隐身了大家就不容易找到你。另外网络层面的,安全代理网关,不能仅仅是应用层网关,也需要网络层的网关。

    第三,网络本身的安全,安全隔离等等,我们不能说因为有了零信任,我们以前的传统安全就没用了,或者说意义不大了,刚才反复强调,我们零信任需要和传统安全相结合,有机的结合。所以我们仍然要做隔离,只不过安全隔离的力度比原来细多了,我们是基于虚拟机、容器的等等,越来越细致,精细化地更好地管理网络资源,因为网络本身也是资源,这是身份的管理问题,身份的确认、管理、单点登录、目录服务、多因素、认证等等,所以这四个与零信任相关的,在我们看来是一些核心技术。

    除了零信任相关核心技术,还有相关边缘性的技术,密切相关的,因为任何一种技术,任何一种安全技术都是不能独立存在的,它一定是与其它的安全技术,与其它技术配合的,形成一个生态的。所以零信任除了自己的核心技术之外,还有一些其他的相关技术,包括数据安全,应用安全,终端安全,负载安全,安全管理等大概五个方面的配套的技术,这几个技术和我们传统安全技术之间没有太大区别,只是针对的一些需要做配合、优化和调整。

    小解一下,我们零信任是“一个核心”“五个关键”,核心是数字身份,零信任是要以身份为中心,而不是以位置或者以边界为中心,所有的资源不仅仅是网络资源,所有的资源都需要赋予数字身份,这是它最核心的理念。当然除此之外,还有一些关键的问题,网络安全问题,终端安全问题,尤其是远程办公的,我们知道新冠期间,很多时候我们远程办公。自带办公设备的,像以前办公设备都是公司统一配发的,办公设备就是办公设备,家用设备就是家用设备,现在越来越多的走向了一个,所以个别零信任关注终端的产品,因为终端不知道是谁的,工作负载的问题,尤其横向的工作负载问题,容器层面的,API层面的相关安全问题非常突出。数据保护刚才已经提到,数据层面的防控问题,还有管理问题等等。

    刚才介绍了我们技术问题,现在主要介绍一下零信任目前的场景和大致的应用生态。首先我们看一下各国的政策标准,已经纷纷开始讨论支持零信任等相关议题,比如尤其是美国、英国、加拿大、新加坡等相继围绕着零信任推出了一些政策,尤其美国国防创新委员会发布的关于零信任安全之路,还有零信任架构建议等等,还有美国国家安全局等等,都有很多相关推进,可以说在这方面是非常领先的。除此之外,我们国家也在政策上大力推动零信任相关政策建议,比如我们可以看到《安全产业的高质量发展三年行动计划》里,就有这方面工作。《关于促进网络安全产业发展指导意见》里也有零信任等等,这是政策方面。在标准方面,我们ITO中国企业主导的第一个零信任国际标准的发布,还有国家标准,行业标准等等,可以说我们国家正在从政策和标准两个层面大力推动零信任在我们国内的发展。

    零信任的理念也正在迅速渗透到安全领域,零信任刚才反复强调,是一种理念思想架构,所以它需要落到具体的安全领域去实现,去体现这种思想和理念。比如我们以传统的安全问题,身份安全问题,终端、负载、网络、数据、管理,所以零信任本身首先是在安全自身领域,在快速渗透,因为它是一种理念。它的应用场景也已经变得越来越清晰了,典型场景我分成技术类的场景,一个是多云、混合云的接入场景,因为这种场景下边界是模糊的,用户访问的时候经常是多个数据中心页同时连接,统一控制等等,所以这时候要用零信任技术来解决跨云、多场景情况下的接入问题。还有物联网场景,因为有多种代理设备的并存问题,计算、拓扑的异构问题等等,DevOps,用我们不断地、快速地迭代我们的软件策略,对应的也要零信任,三天两头变,刚放上又变了,所以需要信任,理念和技术的支持,还有微服务,反不正当交易等等数据。爬虫、账户、内容篡改等等,微服务方面的访问等等。

    第二是工作场景下我们也需要,尤其是远程办公场景,这个零信任最早就是这么来的,因为员工接入地点和时间的复杂,员工自带设备,内外网之间数据流动越来越频繁,就有了零信任。远程办公和远程运营维护,远程运营维护和远程办公关系上是一样的,运营维护本身就是办公的一种特例,运营维护人员的办公就是远程办公,就是运营维护。远程分支场景的接入,原来的VPN专线等等,现在越来越多的基于软件的或软件定义的,需要零信任的,第三方协作的场景等等。

    第三是业务的持续运营,越来越多的我们数字产品服务化,而且业务服务和业务场景的运营平时是不能中断的,这种情况下既要工作,还要不断测试,所以业务数据场景的保护。还有攻防演练场景下的相关工作,包括策略一致性等等,还有合规的密码应用场景等等,都需要零信任来支持它的一些工作。

    根据我们最新的调研,目前为止国内使用零信任最多的场景,远程访问占46%,是当前企业实施零信任的主要驱动和优先的选择,远程办公、分支机构接入、远程运维等等,远程访问是目前零信任最多的。右边是统计图,大家都用它来干什么,所以这对我们下一步发展产品和服务具有非常重要的指导意义。

    根据我们研究,国内有很多企业做零信任工作,腾讯是非常积极的之一,我们可以看到有不少企业在围绕零信任在做。我们观察有三个特点,我们国家的零信任生态:第一,综合或聚焦的零信任能力各有优势,有的人叫“综合性零信任”,有的只是聚焦。又根据用户业务场景,安全基础,有新建的,改造的等等,大家都有这种情况。第二,我们看到国内产品发展有两条关键的路径或者思路不太一样,一个是围绕用户访问的数据中心内外流量的授权控制,一个是围绕工作负载的访问,零信任的管控。第三,身份和网络安全方面的,围绕零信任的身份安全、网络安全的能力,相对来说比较成熟一些。

    这是我们简单梳理了一下零信任供应生态的情况,很多企业都在做,无论是传统的API厂家还是新兴的云方面的厂家,都在做。

    当然零信任的发展还处于比较初期的阶段,因为它毕竟是一个理念和思想,出现的时间虽然有十多年了,但真正相对成熟也就是这两年的时候。根据我们调研,我们围绕零信任,用户还是有一些问题的。前期早期用户的顾虑是什么?第一,建设门坎比较高,不知道如何下手,如何推动落地,不知道需要投入多少人力物力财力,不知道如何达到和实现目标。第二,概念也很多,经过十余年发展,兼容性比较弱,大家之间不能集成在一块,互相不兼容。第三,传统安全投入这么多了,又搞一个零信任,我如何并存,或者以前的安全怎么办?终端安全怎么办等等,用户在引入零信任之前有很多顾虑。不仅如此,即使用户下定决心做零信任,在建设中期用户也会面临一些挑战和问题,我们梳理了一下:

    第一,已有的信任基础和零信任之间的关系问题,比如我们现在传统信任,有远程浏览器的相互隔离,可信浏览器等等,这类技术和我们今天所推广的零信任之间什么关系。第二,运营商多个团队之间的共同转型问题,因为搞零信任涉及到内部多个职能部门,业务部门之间的业务架构调整,这就比较麻烦。第三,企业落地时候的规划怎么做?

    用起来之后用户也有一些思考问题,我们调查,零信任对已全方位对企业私有云平台护航,这个价值是明显的。我们调研,有企业近90%业务已经上了零信任,但会发现我们使用零信任,尤其是微隔离的运营维护成本比较高,这是完全可以理解的。当你把你的业务运营搞成微服务的时候,服务和服务之间的安全信任,如何做运营维护就是指数级变复杂了,所以微服务必然面临很大的挑战,运营维护的安全性、友好性的问题。

    针对这些问题,我们也一直在努力,我们大概做了三方面工作:

    第一,落地性指南,我们联合企业来做,更加细化来帮助用户更好地理解,更好地实施,更细化地实施零信任。

    第二,深化行业应用,聚焦目前需求量比较大的一些行业,尤其是政务和金融等等,结合行业场景的零信任安全需求,精细化的发展。另外针对零信任目前还存在的技术挑战、产业化问题,产学研用我们共建零信任实验室,我们和腾讯相互协作,开放接口,共享资源,进一步推动我们国家零信任的发展和前进。

    我今天的介绍就这么多,谢谢大家!

   

    主持人:感谢何宝宏所长带来的精彩解读!正如何所长所言,人类社会的信任之矛正在转向数字技术,世界日益数字化,技术也要愈发的零信任。近几年在疫情的催化下,混合办公成为了大势所趋,今年腾讯安全、腾讯产业研究院,联合Gartner机构,共同合作撰写了《2022年混合办公白皮书》,围绕混合办公的新特征,安全风险,安全要素等维度展开技术解读,希望能够为行业带来一些借鉴和参考。作为撰写单位,腾讯副总裁司晓、腾讯安全副总裁方斌总,也献上了他们的祝福和寄语。接下来让我们共同见证《2022年混合办公白皮书》的发布。

    感谢各位嘉宾真挚的祝福!作为国内最早实践零信任的大型厂商之一,腾讯零信任iOA的技术演进路线是什么样子的?在零信任2.0时代,腾讯零信任iOA产品将带来哪些功能的升级呢?接下来让我们有请腾讯安全产品总经理杨育斌带来“2022年腾讯零信任新产品发布”。

   

    杨育斌:大家好!欢迎来到腾讯零信任产业发展论坛,我是来自腾讯零信任产品团队的杨育斌。今天我会跟大家共享一下腾讯关于零信任2.0的理念和我们的新产品。我的介绍会分两部分:

    第一部分,介绍一下腾讯零信任技术演进的路线;

    第二部分,介绍一下我们新一代基于腾讯零信任2.0理念的iOA产品;

    首先介绍一下腾讯零信任技术演进的过程,整个过程分三个阶段,最早是从2016年起,我们开始实践在公司内部实现零信任整体的体系建设。到了2019年,我们将我们的实践心得对外发布,形成了我们对外的商业版“4T访问全程零信任”。到了2021年、2022年,我们将零信任提升到2.0,提倡安全一体化和自适应的零信任体系。

    大家应该很好奇,腾讯零信任的产品叫iOA,那iOA代表什么呢?iOA是三个英文字母的简称,intelligent、office、assistant,也就是办公助手。其实iOA最早的目标是作为桌面的办公工具,但桌面的办公工具大家知道,一定需要安全底座的,那我们就将我们的办公工具和安全基座打成了一套。在2016年腾讯基于谷歌BeyondCorp的实践经验,对职场内部进行了整个安全的全方位的保护。我们对所有内网终端都安装了iOA代理,同时启动了内网准入和终端反入侵的功能。在实现完端点安全以后,我们也对业务系统进行了iOA的接入,我们对上万个业务系统进行了身份系统的打通和单点登录的实现。在此同时,我们也支持端点的多因素认证。基于在分散职场还有很多运维不便利的原因,我们对VPN技术进行重新审视,觉得需要有一个新的体系来替换VPN。因此,我们逐步对远程运维的工作和分散职场接入到总部办公以及海外办公进行了替换,通过零信任接入网关全面替换VPN,并且实现了全球加速。当连成一片大网之后,安全管理问题又浮现出水面,这时候我们将零信任整个体系和SOC体系进行了联动,大数据和AI手段进行风险控制,实现了风险自动化响应。

    在2020年疫情初的时候,腾讯零信任完成了全网6万多员工,10多万设备的全负荷工作,日均承载流量20G,峰值35G。在这期间也创造了一系列的产品出来,腾讯的员工通过零信任办公这样的实践,实现了类似腾讯会议这样的优秀产品的创造。在这个阶段,腾讯的零信任iOA=办公助手+整套端到端的零信任安全体系。

    第二阶段,我们将我们的最佳实践向外面的合作伙伴进行了商业化输出,我们称之为“商业化1.0时代”。我们输出的目标就是4A的愿景:AnyWhere、AnyDevice、AnyWork、AnyApplication,任何地点、任何设备我们都可以接入进行无缝的办公。

    在iOA商业化的过程中,我们实现非常多的行业拓展。在今年我们也实现了落地100万终端的目标,推进了各行业落地。那iOA的整体目标是构建业务安全的最小化访问,从身份体系开始,我们在终端验证实现了身份体系的实名和无抵赖的认证。在终端方面,无论是PC或者自带的设备,我们都可以进行可控的安全校验,经过任何的网络位置,无论是在分子公司,还是在公共的wifi场所,我们都可以规避网络的一些风险,实现全程的加密,以及弱网的接入环境。同时在接入到业务系统之后,实现最小化的授权和持续的监控。整个iOA商业化产品提倡的是4T:可信身份、可信终端、可信应用和可信链路,对全链条进行持续的验证和最小化授权。通过iOA的商业化产品设计,我们实现了全程访问控制安全,无论是从终端还是身份,亦或从网络的链路加密,或者应用安全评估,整个横向的链路是全程安全可控的。安全可控主要是通过我们的策略控制平台,通过动态策略评估,实时监控网络上任何的可疑的行为和可疑和身份。这个时候,iOA已经进化成全程零信任安全平台。

    经过两年的落地实践,我们也得到了上百个标杆客户的认可,包括行业的、政府的、快递行业的、大学的、互联网的、以及类似银行和很多的一些大型企业的认可。在今年,我们也实现了100万终端的落地目标,实现了零信任落地部署的小突破。在此同时,我们也得到的一些权威分析机构的认可,包括Gartner、Forrester、IDC、CSA、OMDIA,都对我们的技术路线和落地实践进行了调研。

    我们知道远程办公越来越普及,但现在有一个趋势,从远程办公到混合办公的趋势,伴随着企业数字化进程的推进,混合办公逐步成为了主流。那混合办公的特性有什么?它的访问位置越来越多,它的设备类型也越来越多。在业务侧,业务资产会越来越分散,比如在数据中心,在私有化云,在公有云,在边缘云,业务的复杂度也越来越复杂。比如说C/S应用、B/S应用、APP、H5等,各类的应用都会同时上线。在这个过程中,合作的角色会越来越多,除了公司员工,还有像供应商、合作伙伴、运维人员。这时候该如何保障混合办公的整个环境安全,因此在零信任1.0落地过程中,我们也碰到了混合办公下的一些问题,在混合的环境下,数字化的业务支撑需要更加容易落地,低摩擦以及更加有效的全程安全风险可控。这里面在1.0落地的时候,有一些问题,比如说在实施难度方面,在落地和合规体系,和IT管理体系的摩擦情况,包括数字资产该如何保护,风险的可见度,以及权限自身的安全,融合安全等等问题,这里面最为突出的有四个问题:

    第一个挑战,混合办公访问的风险与效率问题;

    第二个挑战,最小权限该如何有效管理;

    第三个挑战,对泛端,泛数据、泛应用,如何有效地进行管理;

    第四个挑战,访问过程中的风险怎样才能提前发现,并且及时进行阻断。

    在2019年,腾讯联合国家互联网应急中心,中国移动通信集团设计院等单位,在国际电信联盟标准化组织立项了一个标准,这个标准名字叫做“服务访问过程持续保护指南”。2021年,这个指南正式发布,这个指南将我们的零信任创新理念提高到国际标准的高度,这个创新理念就是在整体的安全防御的整个过程中,无论是在事前、事中、事后,都需要对访问的主体、客体以及环境进行持续监控和持续保护,这个阶段我们称之为零信任2.0自适应零信任阶段。在今年,我们将我们的1.0提升到安全一体化,以接、防、管、控联合体系实现一体化的零信任全自动防御。在自适应安全方面,我们融入到XDR联动检测响应体系,实现全程风险的可视可控,以及自动化响应,这个时候iOA已经演变成自适应零信任安全平台。

    下面我会着重介绍一下我们新一代零信任iOA解决方案,零信任从1.0过渡到2.0,是实现了从4T到接、防、管、控全程的自适应安全。接、防、管、控该怎么解释呢?“接”是指接入安全,主要是指接入效率安全和权限治理各个方面的综合的考虑,使得落地成本更低。“防”是指威胁防御,这里面更加着重保护的是场景化的防护,包括像勒索攻击的防护,高级入侵的行为,以及用户异常行为的防护。“管”是指整体的终端、泛端、泛数据、泛应用的统一管理,在混合办公环境下,这么多的端,这么多的数据,这么多的应用,该如何进行有效的、安全的管理。“控”是指风险可控,风险该如何提前发现,如何进行闭环的响应处置。

    首先讲讲“接”,第一方面,接入效率的提升。刚才讲到在落地过程中有一些实际的部署难度在,比如说业务系统分散在不同的云,比如说访问的终端会多种多样。我们有三个举措来提升端到业务的便捷接入能力,针对各类业务场景,帮助零信任体系快速部署落地。

    第一个举措,在端上实现泛端的客户以及免客户端的接入模式,使得客户可以无感接入到业务系统。

    第二个举措,在交付模式上,支持公有云、私有云以及混合云结构的交付。

    第三个举措,通过业务连接器,不改变原有企业的网络拓扑情况下,能够快捷的接入到企业的业务系统。

    “接”的第二个层面是接入安全,我们这里做了一个SDP安全架构的增强,对SDP的安全架构实现全隐藏,同时升级访问控制引擎,提升动态风险评估能力,提升业务访问安全性。这里面我们从三个方面入手解决架构的安全问题:

    第一,从UDP敲门到支持TCT、ICMP敲门的协议,提高了连接的成功率。

    第二,实现了全隐藏,将控制台藏在网关之后,实现了无端口的暴露。

    第三,动态访问控制。我们会根据业务的敏感程度,制定自适应的访问策略,比如对高敏的业务,中敏的业务和低敏的业务,实施不同策略,并且动态进行监控,防止从业务侧出现一些高敏和中敏、低敏的窜访或者跨权访问的问题。

    “接”的第三个层面是动态授权治理,是我们在最新版本的新功能。动态授权治理是将最小化授权提升到动态权限治理的层面,三个步骤解决授权管理难的问题,这三个步骤分别是:

    第一,进行全网的权限梳理。

    第二,将访问的记录进行聚类分析,并且根据用户访问场景推荐出最合适的授权方案。

    第三,对于超过一定天数未使用的僵尸权限,或未被隔离使用的权限进行回收机制。

    通过这三个步骤实现了权限治理难的问题,在威胁防御方面,我们针对三个场景进行增强:

    第一个场景,针对勒索攻击,在勒索攻击对抗层面,我们有四大举措,从落地的源头,病毒的启动,病毒破坏过程,以及文件恢复四个环节进行了检测和响应,特别是文件保护方面,针对事前进行文件备份,事后进行文件解密和文件找回,进行了一些增强的功能。

    “防”的第二个场景,对类似APP高级威胁的防御,这里面我们从入侵者的视角考虑,围绕攻击链的四个关键环节,分别是:侦查阶段、突破阶段、横向移动阶段、后渗透阶段,进行了加强和检测。重点对钓鱼和横移检测进行识别,在钓鱼识别除了结合情报数据之外,我们对文件特征和敏感行为进行了增强的识别能力。

    “防”的第三个场景,异常行为的分析。我们基于用户、设备、应用、环境和行为等维度,进行持续的异常发现,对访问主体进行持续的信任评估。我们会根据登录的一些行为特征,按时间窗口进行数据清洗,比如访问敏感业务的时长,尝试访问无权业务的频次,上传下传的流量等各种组合,进行智能的防御。

    “管”方面第一个提升是对终端接入的管理,特别是泛端接入,目前我们已经支持了市面上所有主流的系统,包括windows、MacOS、Linux、Android、iOS等系统。所有的终端UI和使用体验是非常一致的,使得客户可以进行无感的泛端的切换,同时在端上我们也进行了统一身份的认证和认证体系的打通。

    “管”的第二个层面是对数据风险的管理,大家知道无论是远程办公或者是在混合办公环境下,数据是一个特别大的风险问题,那么如何在远程办公环境下,保障数据安全,数据不被泄漏出去,或者不被误用。我们会根据使用场景和数据形态的不同,应用不同的数据安全模块进行有效的组合,去解决场景化的一些痛点。

    比如通过水印技术,进行一些事前的威慑和事后的追踪。通过工作沙箱在PC或者移动端进行虚拟化的工作空间的设置,让实际的工作应用和数据跑在工作沙箱里,个人的应用跑在沙箱外,这样我们可以拒绝公私混用,既保障了数据安全,又保障了个人隐私。同时我们还可以通过透明加解密的灵活组合,以及外发文件的监控,U盘加密,防复制等手段进行数据风险的管理。

    安全管理的第三个层面,是对软件风险的管理,现在盗版的软件或者软件一些不正确的使用,会给企业造成一定的损失。比如说如果有一些不遵守规矩的员工在电脑上随意安装盗版软件,可能会导致公司产生知识产权的纠纷,这时候对盗版软件的监控和识别,就成为一个企业的痛点。我们在了解到这个痛点之后,也在这个功能上做了一些加强。在终端上,我们加强了识别风险软件的能力,同时在终端管控层面可以禁止安装黑白名单。对管理员来说,他可以对终端上软件的风险进行统一监控和管理。

    最后在风险控制层面,我们采取了大数据智能分析的手段,通过一系列的AI建模,对用户、实体等关键对象的行为进行多维度持续分析,以提升安全运营中的威胁,体现发现的能力。比如我们通过AI引擎,图分析引擎对入侵的路径和入侵的行为可以进行追溯。同时通过内部用户实体的画像,对用户的一些违规行为也可以提前发现。

    风险控制的第二个举措,联合SDR进行全程的联动响应,iOA的终端是自带EDR能力的,可以与网络侧的NDR,以及在云端的云原生安全形成端、网、云的XDR风险检测响应闭环,使得整体的业务从端到云,到业务的访问,都是闭环可控的。同时以安全云脑为中心,建立自适应安全,一旦发生风险,可以联动在端点或者在网络侧的各种设备进行阻断响应。这里面我们遵循的是Gartner的(TAFA音)模型,对全程进行自适应的检验和响应。

    我们即将发布的iOA7.0版本是基于零信任2.0防护体系打造的新一代零信任安全管理平台,我们刚刚提到的像接、防、管、控四个层面的能力,都会在7.0一起发布。“接”的目标是提升安全接入的能力以及效率;“防”的目标是增加三道安全场景的防护能力,使得防护更接地气;“管”的能力是对泛端资产应用数据,进行全面的风险可控的管理;“控”的层面是对威胁进行提早发现,并且联动SDR进行威胁处置。

    同时iOA7.0会兼容所有的平台,在端侧会覆盖企业PC设备和自带设备,实现无缝的管理。7.0产品矩阵包括了SaaS,可以针对中小企业,他们需要订阅模式。针对行业大型客户,我们也推出了一体化版,一体化版复刻了iOA在腾讯内部时间的成功经验,将接、防、管、控各个方面的功能都融合到了一块。第三个版本是终端的管控版,对泛端管理以及泛端上的各种数据风险和业务风险的管理进行了增强。第四个层面,我们也推出了一些增值模块,可以让我们的合作伙伴和我们的生态产品在这些增值模块里去为我们的客户提供更完善的安全保护,这里面包括了终端准入、数据防泄漏、云桌面、沙箱以及一些高效工具。

    除了iOA的自身产品闭环,我们也携手合作生态,共同打造生态体系。腾讯牵头零信任产业标准工作组,目前已经有近六十家合作伙伴,覆盖了身份认证、威胁防御、IT管理、能力评测、行业标准等五大体系。我们希望有更多同行加入到我们的行列里,为企业,为客户创造价值,让我们一起迈入零信任2.0时代,捍卫美好,谢谢!

   

    主持人:感谢育斌总的解读和分享!这是腾讯首次对外披露零信任的技术演进路线图,希望能够给正在研发和实践零信任架构的企业一些技术和经验参考。正如刚才育斌总所言,目前腾讯零信任iOA已经广泛应用于泛户、医疗、物流、教育、金融等十大行业,数百家企业,并且部署终端已经突破了100万。今天我们也很有幸邀请到了第100万终端的客户高灯科技带来分享,高灯科技是一家财税科技公司,在2020年首次部署了腾讯零信任iOA,随着公司业务拓展,近期进行了第二次扩容,成为我们第100万终端的客户。在部署的过程当中,他们有哪些实战经验和实用的感受呢?接下来有请高灯科技信息安全专家王凯,带来“以零信任构建网络安全新范式”的演讲。

   

    王凯:大家好,我是高灯科技的王凯,接下来很高兴和大家分享高灯科技零信任安全建设的心路历程和建设实践,希望对大家有所借鉴和帮助,我分享的题目是“高灯科技以零信任构建网络安全新范式”。

    这次分享从三个方面展开:

    第一,带大家认识一下高灯科技;

    第二,向大家介绍一下零信任项目的建设背景与对应需求分析;

    第三,高灯零信任项目的具体建设实践与价值一。

    第一,先带大家了解一下高灯科技,高灯科技成立于2017年5月份,是一家以发票数字化为基础,通过构建去人工化、在线化,科技合规的行业专业云设施,面向企业和监管提供财税合规,以及交易合规管理平台的财税科技公司。用科技弥合监管和企业之间的鸿沟,一方面助力监管利用科技手段去主动参与企业创新经营之中,另一方面,助力企业用科技手段主动构建合规管理体系。

    第二,我们一起来看一下高灯科技在2020年在零信任项目建设的背景与需求分析。在2020年的时候,我们都知道一场新冠疫情席卷全球,这时候远程办公需求猛增,在高灯使用传统VPN厂商曝出高危漏洞,存在极大的安全隐患。除此之外,在我们审视自身的网络安全建设过程中也发现存在很多问题。

    第一个问题,终端安全方面。高灯没有统一部署终端杀毒产品,员工使用自己免费的杀毒产品,造成终端安全管理混乱,终端安全产品和传统VPN产品建设是割裂的,造成远程接入无法联动终端安全,安全运营无法闭环,存在极大的安全风险。一个员工终端上面要装几个安全软件,体验非常不好,而且同时容易出现兼容性影响问题,管理员也需要维护多个后台,只能通过堆积人力来解决,这种情况下,我们的办事效率就会比较低。

    第二个问题,高灯自身属于互联网基因公司,重视数字化带来的生产效率提升。最近两年通过业务上云,提升效率,而使用传统的VPN将业务分布分散,会造成暴露面扩大,而且变得更加复杂,业务和安全形成一个对抗的关系。

    第三个问题,在后疫情时代,远程办公常态化,需要经常应对业务弹性负载,传统的VPN难以平滑扩充,平台稳定性也欠佳。

    基于以上的挑战,传统的网络安全建设方案已经无法满足新背景下的安全建设要求。这时零信任安全方案进入我们的视野,最后我们就开展了零信任方案的了解与调研。在讲具体的方案调研之前,我们对自身的安全建设做了归纳与分析,分别是以下四点:

    第一,远程办公场景替换VPN,解决高危漏洞利用安全的隐患,这是我们当务之急,也是必须要尽快解决的问题。

    第二,网络暴露面治理,网络接入安全性提升。因我司业务具有较高安全性的要求,此前使用传统VPN产品,每天都会面临黑客端口多次扫描嗅探,存在极大的安全隐患。

    第三,需要一体化终端安全建设,形成安全运营建设闭环,最大化安全建设效果。同时最好是一个客户端可以解决我们所有的终端安全问题,提升用户体验和管理效率。

    第四,应用对业务弹性具备数据安全方案演进路线,后疫情时代更好地应对业务弹性,产品需要具备中台扩容,以及进一步方案演进的路线,同时我们这里有对产品成熟度和稳定性提出了很高的要求。

    通过对以上四点需求进行分析,我们认为第一点和第二点属于重要而且紧急,需要我们尽快来处理这些问题。第三点属于重要但不紧急的问题,但能尽快解决最好,解决不了在产品方案建设时,要具备对应的扩展能力。最后一点属于相对更加紧急的方案,对于子项目数据安全可以放在后期建设,但要具备演进的能力。

最后是高灯落地零信任项目建设过程的收益与价值,在做完了需求分析以后,我们开始市面上零信任方案的调研工作,因为当时零信任处于一个风口,市面上做零信任的厂商很多,琳琅满目,但也都处于起步阶段,如何挑选适合高灯的产品方案,是我们重点要确定的问题。

通过内部讨论,我们将调研工作主要从两个维度开展,分别是产品成熟度以及方案匹配度。产品成熟度方面,首先采用的产品必须是经过真实环境验证的成熟产品,保证产品的可用性和稳定性。其次,整体方案的匹配度,是否匹配高灯的需求。在2020年市面上的零信任厂商大概包括三个类型。

    第一类,传统的安全厂商,它们普遍通过原有产品技术构建零信任方案,产品成熟度较高,但对于高灯的需求匹配一般。

    第二类,互联网厂商,一般是内部安全建设实践的输出,但能力参差不齐,既有腾讯这样零信任高度成熟的产品,也有部分厂商刚刚开始推向市场产品。

    第三类,初创公司,他们多半刚成立公司不久,产品能力感觉很强,但缺乏实践验证。

    我们对几家厂商产品做了调研与POC认证,得出来表中的结论,互联网厂商可能对我们的匹配度会更高一些,最终我们通过综合的对比,选择了腾讯,主要是因为腾讯在产品成熟度和方案匹配度方面的优异表现。产品成熟度方面,腾讯最早在2016年就开始在自家企业IT推广了零信任产品iOA,每天承载了腾讯10万以上员工,15万以上设备的稳定运行,市场化产品是自身连接着产品的商业化付出。同时,在2020年当时已经有多个超过5万点的大规模案例使用了,腾讯也是国内外零信任建设的先驱者和权威,主导制定了很多国际国内零信任行业标准,获得了Gartner和Forrester的认可,这里我们认为产品成熟度非常重要。因为产品能力后面可以补齐,而产品成熟度不是一朝一夕就能完善的,就像盖房子,如果没有一个很坚实的基础,上层再好的花园也是空中楼阁,镜中花、水中月。在方案匹配度层面,腾讯零信任产品秉承终端安全一体化的理念,具备终端安全、身份安全、应用安全、链路安全四大方面的能力,建立起混合办公零信任安全闭环,符合我们企业安全建设理念,符合我们公司现状需求与未来规划。

    接下来我们看看高灯零信任安全建设的整体方案情况,在终端层面,零信任抹平内外网差异,不再存在默认信任区,零信任客户端支持windows、Mac、Linux、信创等多种PC端操作系统及终端ios、Android操作系统,涵盖范围较广。功能方面,用户仅需要安装一个客户端即解决终端杀毒、补丁管理、终端监控、零信任接入等传统需要三到四个客户端才能达到的功能效果,而且各个模块之间联动。

    网络层面,零信任通过SPA端口隐身技术,真正做到了内部业务对外发布的网络隐藏,极大地提升了黑客的攻击成本。后台方面,零信任主导数控分离,数据层面可以支持多云部署,快速扩容,业务系统也无需改造,可快速接入使用,最终通过零信任iOA的终端安全一体化,网络隐身,动态权限访问控制等手段,来落地零信任安全的“持续验证,永不信任”的理念。构建涵盖终端可信、身份可信、链路可信、应用可信的4T可信安全系统。另外是对办公的生命周期安全,业务访问过程进行持续动态全面的权限控制和安全检查,实现终端在任意网络环境中安全、稳定、高效的访问企业资源。

    方案建设、规划和演进方面,根据此前需求分析中的紧迫程度,我们将整体方案分为三期来推进:第一期建设,主要解决迫在眉睫的问题,替换VPN解决高危漏洞风险,建立终端安全一体化模型,方便后续扩容加减。同时收敛网络暴露面,解决网络安全暴露方面的风险。第二期建设主要聚焦于身份和权限治理方面,首先通过联动对接企业微信,做到身份信息同步认证对接,扫码登录与相应认证,提升安全访问级别,通过动态访问控制能力,来配合落地最小化权限理念。其次,在多云上部署零信任网关,纳入接入更多的业务。第三期建设集中于数据安全建设,通过零信任PC端沙箱与移动端EMM能力,构建数据围栏,加强数据安全建设。同时通过零信任扩展网络准入,在一期设备安全实现应用及准入的基础上,增加网络准入建设。通过建设零信任方案,我们的整体网络安全建设方面,整体上了一个新的台阶。

首先网络安全方面,我们通过零信任替换解决传统VPN问题,解决了我们高危漏洞利用带来的安全隐患,通过零信任网上隐身技术,做到了对外网络暴露面的收敛与隐身。在攻防维度,进一步提升了网络接入的安全性。终端安全方面,接入终端安全准入体系,将终端安全与零信任接入打通。通过终端安全一体化理念,让安全建设更全面、更智能、更便捷、更高效。零信任客户端具备勒索病毒防御专项能力,依托腾讯安全实验室的安全能力,基于事前、事中、事后,构建勒索病毒防御体系,目前已经支持一百多种常见勒索病毒的解密能力,通过防钓鱼,防横向,将可能遇到的安全隐患降到最低。

腾讯零信任客户端还具备很多实用的小工具,比如软件仓库,管理员可以将员工日常使用的常规软件提前准备好合规版本,然后上传,方便员工使用,提升安全合规性。文档时光机除了可以防止勒索病毒封锁文档以外,还可以充当防误删,强力恢复等工具。在高灯的实际使用中,对于财务、法务部分的关键票据和文件备份,有着很好的应用。

    在数据安全层面,通过屏幕水印、打印水印建立起数据溯源体系。零信任客户端还具备桌面管控的功能,可以做到外设管控与文件访问审计的能力,后期还可以扩展PC沙箱以及移动端EMM能力。

    业务效率方面,通过零信任安全建设,我们建立起一套后疫情时代混合办公的安全治理体系,形成安全管理一盘棋。涵盖多种终端类型,更多后台业务,联动企业微信实现更高效使用,结束生产与安全的对抗关系,最终实现降本增效的需求。

    谢谢大家,我的分享到这里就结束了,希望对您有所帮助!

   

    主持人:感谢王凯先生带来的高灯科技经验分享!正如王凯所说,腾讯零信任iOA不是一个软件,更多的是一个综合性的平台,它囊括了防病毒、终端管控、零信任接入、DLP等多项功能,不仅提升了高灯科技的安全管理能力和效率,还极大地降低了安全运维成本。实际上腾讯零信任iOA部署终端突破100万,对于腾讯安全来讲,更是一个新的起点,未来腾讯安全将不断升级iOA的产品能力,用更好的解决方案服务于信赖于我们的客户。实际上腾讯零信任iOA部署终端突破100万,对于腾讯安全而言,更是一个新的起点,未来腾讯安全将不断升级iOA的产品能力,用更好的解决方案服务信赖我们的客户。接下来让我们把视野放到国际,看看国际上零信任的发展是什么样的,让我们有请CSA大中华区主席李宇航带来“零信任与数字安全国际趋势与实践的分享”。

   

    李宇航:尊敬的各位领导、专家学者和参会嘉宾们,大家好!我是国际云安全联盟(CSA)大中华区主席李宇航。首先感谢主办方腾讯安全对零信任的高度重视,并给我们提供一个产业交流的机会。

    零信任是从零开始建立信任,零是起点,信任是终点。上周CSA在旧金山RSA大会上举办了首届CXO信任峰会。零信任之父CSA大中华区研究院顾问John Kindervag,全球领先的零信任厂商和甲方企业负责人们云集一趟,分享了零信任的海外实践。在美国,继去年5月拜登签署零信任相关总统令后,今年1月美国白宫正式发布了《联邦政府零信任战略》,这是全球首个零信任国家战略。4月美国网络安全局又发布了《企业移动计算中利用零信任原则的指导书》。

    从2020年到2026年的零信任市场与预测来看,美国将从196亿美元增长到516亿美元,复合增长率17.4%。美国大的老牌安全厂商都在积极拥抱零信任。Okta、Zscaler等新兴零信任厂商迅速成为独角兽,市值进入全球前列。微软基于零信任理念打造安全产品线,年度营收在2021年达到150亿美元,这都说明了零信任发展之势不可阻挡。

    在欧洲,三年前零信任还几乎是空白,今天18%的欧洲组织机构建立了零信任的企业安全战略,93%的欧洲组织机构实施了至少一项对应零信任理念的解决方案。最近,欧盟就为关键行业组织实施共同安全标准的新立法达成了政治协议。欧盟网络和信息系统安全法规NIS指令将升级,NIS2.0指令纳入了以零信任为首的安全新要求,并责成欧盟各国把它们在21个月内写入法律,涵盖在关键领域运营的大中型组织,包括公共电子通信服务,数字服务,废水和废物服务,关键产品制造,邮政和快递制造服务,医疗保健和公共管理的供应商。

    从2020年-2026年的零信任增长率预测来看,德国为17.6%,英国为18%,法国为19.7%,西班牙为21.6%,欧洲的主要零信任提供商目前几乎都是美国公司,包括微软、谷歌、思科、IBM、Akamai、PaloAlto Networks等,我希望今后能够看到中国厂商的名字。

    在俄罗斯上周举办的国际信息安全大会上,我在主旨演讲中向上合组织、金砖国家、集安组织的国家五百多位国家领导和企业IT负责人介绍了零信任。他们非常认可这个理念,也将开始战略规划和实施行动。在中国工信部《网络安全产业高质量发展三年行动计划》中,有零信任框架开发要求。腾讯是国内最早实践零信任的互联网大厂之一,今年5月,腾讯iOA零信任解决方案已经突破了100万终端的部署,是国内首个突破百万终端的零信任产品。接下来何所长也会分享中国信通院对零信任的见解和情况。

    为什么零信任在这几年加速发展?这和新冠疫情爆发和数字技术突飞猛进,推动了数字经济发展是强相关的。大家知道,今年1月15日习近平总书记在《求是》杂志发表了“做大、做优、做强我国数字经济”一文,强调统筹国内国际两个大局,发展安全两件大事。数字经济被誉为第四次工业革命的“钥匙”,已经成为全球经济复苏的新疫情,国家发展新经济的助推器和国家级战略。在这一进程中,虚拟世界与物理世界融合,安全威胁与安全需求在发生变化。传统的安全产业在理念上落后,产品碎片化,厂商同质化,这些都适应不了在数据时代为数字经济发展保驾护航的需求。因此,网络安全向2.0升级是大势所趋,这个升级版可以称为数字安全。CSA大中华区于2019年向联合国秘书处汇报了这个趋势,2020年联合国秘书长发布《数字合作路线图》,首提“数字安全”。今年3月联盟应联合国授权发布了《数字安全定义和框架》,中国的安全专家们也有今年是数字安全元年的说法。

    对于数字安全来说,零信任更加重要,在产业数字化和数字产业化的所有应用场景中,零信任都能够为业务带来价值。CSA大中华区为了帮助国内的企业落地零信任,做了大量的零信任研究、人才培养和宣传活动。例如这个画面上展示的零信任SDP技术标准,中国零信任全景图,中国零信任案例集零信任认证专家CZTP课程,零信任研究报告,SDP攻防大赛等。借此机会,我邀请大家参加联盟今年将主办的第三届国际零信任峰会。

    展望未来,我认为零信任在国内需要引起更加足够的重视。

    在战略层面,政府与企业都应该以零信任为理念,做数字安全战略。

    在法律层面,基于零信任的安全要求,应该写进更新的网络安全与数据安全法律。

    在标准层面,零信任的设计、实施、测评等系列标准需要制定。

    在技术层面,更多的数字技术,如人工智能、物联网、区块链等需要与零信任解决方案融合。在产业层面,安全厂商需要围绕零信任进行产业协同,满足客户的总体需求。

    在人才层面,零信任有足够的理由成为专业专岗。

    技术原理无国界,零信任尽管起源于美国,但中国也必须搞,这样才能成为网络强国,提升数字安全能力。数字经济召唤着护卫利器,零信任践行天下,SDP盾御苍穹。谢谢!

   

    主持人:感谢李宇航主席的分享!腾讯作为零信任工作组参与单位之一,一直以来都在积极地联合CSA大中华区,从零信任技术标准、架构指南、应用场景等多方面开展人才培养,为零信任行业不断输送人才。不仅如此,在2020年6月,腾讯还牵头成立了零信任产业发展联盟,并不断推动标准的制定,生态的建设。随着零信任步入2.0时代,零信任的发展也需要新生态。今天我们将在中国产业互联网发展联盟常务副秘书长陈胜喜先生的见证下,与众联盟成员单位一起迎来联盟升级这一重要时刻。现在我们可以看到各个联盟代表也纷纷发来对本次联盟升级的祝福,我谨代表零信任产业发展联盟宣读零信任开放生态倡议。

    一、拥抱开放,共促零信任产业良性发展;

    二、共建标准,支持零信任技术规范发展;

    三、加强合作,深化企业间的技术协同与商业协作;

    四、支持国产,提升与国内芯片、操作系统等兼容能力;

    五、服务客户,深化场景,助力客户在零信任的应用和落地。

    我郑重宣布,零信任产业联盟升级一事正式启动。同时我也宣布零信任产业联盟标准兼容认证正式启动,未来零信任联盟将基于全面、开放、生态的理念,打造行业内最具权威的零信任产业联盟,通过加强合作,共建标准,深化企业间的技术协同与商业协作,共同促进零信任产业的良性发展,让我们共同期待。接下来有请联盟成员单位代表,绿盟科技解决方案负责人刘弘利,带来“用零信任构建数字化转型的信息体系”分享。

   

    刘弘利:大家好,我是绿盟科技刘弘利,今天我给大家分享的议题是“用零信任构建数字化转型的信任体系”。

    首先数字化转型是这两年重要的主题,包括RSA大会也是以转型作为它的议题的主题。数字化转型就是利用了一些现代化的数字技术,比如像云计算、大数据、物联网、5G等等,我们在“十四五”规划也提到了像数字化转型,更多提到的是上云、用户、复制。数字化转型必不可免的碰到安全问题,比如你的业务都上云了,你用了一些大数据的平台,那么你的风险就增加了。因为你的暴露面增多,而且边界是模糊的,那你用PC也可以访问,用移动设备也可以访问。另外随着疫情老是反复,我们远程办公要在家里办公,我们首先要连接到办公场景或者数据中心,要进行操作,要访问我们的应用,因为我们数字化转型我们业务都上了业务系统,都上了电子化,那么我们风险也增大了,随着远程办公的场景。那么我们就需要有一种新的方式,实际上我们安全一直在建设,但一直出现各种问题。比如像勒索软件,这个是最大风险的一个安全问题。还有挖矿软件,这都属于恶意代码。另外像APT攻击,DoS攻击、数据泄漏,这些也都是我们常见的一些风险。

    那么这么多风险这么多年,我们有没有更好的方式呢?这就是零信任被提出来的原因,它有很长的历史,我就不介绍了。我们说零信任的核心理念是什么呢?在我们的标题里,我们用零信任来构建一个可信任的体系,怎么去构建呢?就是说你去访问这些应用,访问这些数据的时候,你保证自己是可信的,你的终端是可信的,你用的设备是可信的,不管是PC机还是移动设备,还是你的人,还是你的访问行为都是可信的。在横向上,就可以说是通用的,从用户环境到业务环境,中间要有一些检查和执行的点,来判断你是不是可信的,如果你不可信,那我就有一些手段来进行控制,这个就组成零信任的理念。

    横向是访问,纵向是做决策和判断。绿盟科技就是利用零信任理念,打造了一个端到端的零信任安全访问的模型,它更多强调的是多方的可信认证。对于应用进行隐藏,然后要对用户访问行为持续评估,出现问题进行响应,这是整个零信任端到端的管理模型。那么怎么来实现可信终端和访问控制,还有分析呢?接下来我会给大家一一解释。

    首先来看整个方案它的模块,它的模块包含了像终端,终端在每个PC机或者移动设备上需要有一个SDP认证的客户端。然后到网络上,在我们资源前面会有SDP认证网关,同时还有4A平台或者IAM平台,这个主要是用户的身份认证,主要是他的模块。最后是零信任管理控制的平台,这个主要是做零信任的行为分析。

    接下来我给大家分别介绍一下绿盟科技零信任解决方案的关键特性。

    第一,SPA首包认证。这是通过UDP的方式,当你这个客户端启动了,它就要到控制中心获取它是否可以访问SDP网关的动作,这个是通过UDP发包,同时带来客户端的认证信息。当认证通过,这时候才会允许他访问我们这些数据或者资源前面的SDP安全网关,这样的话,他就可以进行用户的认证,这个主要是首包认证的目的。这样的话,不是说所有的客户端都可以访问认证网关,只有经过单包认证通过的客户端才可以接着往下访问,才可以用用户名、密码的认证方式来访问,这是首包认证的特性。

    第二,多环节的信任验证与访问控制。这个主要是说你在终端上需要是可信的,比如说我们要检查终端上是不是有满足了安全基线,有没有补丁。我们知道像WannaCrypt这个勒索软件,当时就是因为17-10这个补丁没有打,出现了WannaCrypt大面积感染勒索的事件。零信任方案里,对于客户端认证的时候,就可以对客户端是否打了某些重要的补丁,弥补了漏洞进行检查。当然了还有其他的认证方式,比如你是否安装了一些企业要求的软件,是不是有一些盗版软件,或者一些进程是不是可信的,有没有可疑的进程。还有像防病毒软件有没有安装,ETL软件有没有安装,防病毒的病毒码有没有更新到最新,这些都是可以进行认证的。同时对用户身份进行认证,还有用户权限,这个其实也是多环节信任验证。如果你这些不满足,那我们就不允许你访问,所以这就是多环节验证,然后进行访问控制。

    我们零信任不仅仅是访问,还要进行安全访问,同时要给访问者有很好的访问体验,用户体验也很重要。所以我们说一个账号,如果实现了多因素认证,并且实现了单点登录,对用户来说就相对友好,他通过认证之后,给到他的是一个集中的场景,这样的话,他进来之后就可以看到所有他可以访问的这些应用,实现了一个账号打通所有的应用,并且统一的应用入口。注销的时候,他所有的应用都不能访问了,相对来说认证和注销都是很简单的。

    我们在统一入口可以看到,如果你是普通用户,你进来之后根据你的权限,分配你什么样的应用,在通用的应用小的场景来展示,如果你是管理员的话,你看到的是后台管理系统,比如像windows主机,像Unix、Linux或者数据库这些主机,也是同时都给你开放了,这个是我们所说的访问便捷。同时有多个数据中心,多个链路,它也可以自动进行切换,因为都是网络上的连接,所以用户体验是比较高效的。

    还有一个是我们专门对数据安全进行了防护,尤其是在移动终端,我们打造了个人空间和工作空间的区隔,两个域来进行个人的访问和工作的访问,可以实现像在工作空间里实现工作文件的隔离,一些数字水印,一些防拷屏,可以进行审计等等。这是在移动设备上做的一些增强,“双域隔离”的概念。

    那么我们说零信任持续的评估,对访问行为要评估,不仅对账号,对于授权,对于终端,还有对于访问行为。这个我觉得是和以往的认证最大的不同,就是你要持续分析用户访问行为,并且做出决策。这和之前的访问控制方案是最大的不同,它也利用到了一些UEBA的技术,主要是分析用户访问的行为,比如说用户访问上来之后,是不是有一些扫描的行为,这个怎么来实现呢?那就是通过网络上的流量,一些路径检测的告警,收集这些信息进行分析。这里用到像UEBA的模块,或者态势平台上的用户访问的模块,来看账号是不是异常了,终端是不是异常,然后你的访问行为是不是异常。当出现这些行为,你就可以给到这些网络设备或者终端上发送指令,然后切断或者进行隔离,实现动态的访问控制。这个就是动态访问控制的一些动作,比如说像阻断放行、封堵、锁定隔离或者进行二次认证,再增加一次认证,或者对它的权限进行调整。所以我们在腾讯牵头零信任联盟里也有一个倡议,我们在零信任生态,我们也呼吁联盟各个厂家可以对自己的,尤其是探针网络上的设备,可以有这种开放的接口,这样的话在零信任生态里,我们就可以用异构的模式来打造一个完整的方案。用户有自己的选择,用不同的产品,也可以组建零信任的方案,以开放的心态来拥抱这些标准,实现这些标准所要求的一些功能,就能打造这样的生态系统。

    最后我们要提出,我们的零信任是为了保护,为了提升安全的,比如隐藏我们的应用和资源,隐藏我们的数据,减少攻击面,同时增强终端对用户,对访问行为可信的多环节认证,提高体验。我们零信任组件也要是安全的,用多重的措施来保证零信任方案和各个模块的安全,避免自身成为突破口。大家知道安全理念里有一个“水桶原理”,整体的安全性决定于最短的那块木板,我们零信任不能成为最短的木板,本身是安全的设备,结果你成了不安全,这个肯定是不能接受的,所以要有对各个模块通过一些技术手段来进行自身的安全能力的加固。

    刚才我给大家介绍的是绿盟科技的零信任,落地之后我们有一些关键的特性。零信任在哪些场景下得到应用呢?我们发现各个行业都是可以应用的,尤其是在攻防演练期间,因为这时候你在对于攻击者而言,我们要减少攻击的暴露面,零信任理念就是把后台的资源和数据隐藏在网关之后,如果你要访问,那你要经过一道道手续来验证自己是可信的,并且对访问行为也是可信的。我们要随时进行访问行为的验证,并且做出一些决策。

    第二,远程办公场景主要是因为疫情的原因,我们既要实现网络连接,不管是访问办公环境,还是访问数据中心、云中心的场景,都是可以用零信任来进行访问的加强。

    第三,运维场景更多是给系统管理员或者数据库管理员,还有开发测试人员提供的场景。

    第四,数据安全场景,其实零信任本身也是保护数据安全的,除了数据安全治理本身的这些能力之外,其实对于用户的认证访问控制,其实是重要的一环。我们在纵深防御里,其实网络上的防御,像用户身份防御,然后再到数据治理,比如像数据加密,数据脱敏,数据泄漏防护等等,还有数据风险评估,数据分类分级,这些都是数据本身的。在零信任场景下,解决了对应用和数据的访问的场景。

    第五,SASE场景,SASE是更广阔的零信任,更泛化的零信任场景,因为它集成了零信任还有SZY这些远程访问的机制,各行各业都是有零信任的一些应用场景。

    最后我们来看一个企业的零信任真实的案例,这个用户痛点是他把自己的网络进行升级,有一部分数据库是在云端,是在云的环境,有一部分比较保密,比较核心的资源是在自己的数据中心。它的业务痛点,第一,传统网络能力的增强升级,这是他非常希望的,主要是体现在什么?他希望把自己的资源数据隐藏在后面,把应用系统隐藏在后面,减少攻击面。第二,他有远程办公的场景。我们的方案是提供他一些模块,比如在运维人员和办公人员,他的客户端上要装SDP客户端,然后在他的应用前面部署SDP网关,后面是有他自己身份认证平台,我们又加上零信任的分析控制平台,这样实现了一整套的零信任方案。不管是对于运维人员,还是办公人员,访问后台的服务器,访问后台的应用,首先需要首包认证,认证通过之后打开一个页面,这样SDP客户端打开用户登录页面,输入用户名、密码。同时有一个二次认证的方式,来实现前认证。在他访问过程中,还要对他的访问行为进行分析和研判,当他出现一些可疑的行为之后,SDP控制中心就可以给SDP网关发送一些指令,要求封堵或者截断访问行为,出现问题就让客户端进行修复。是出现什么原因了,比如客户端上存在一些风险,比如有一些异常的进程或者异常的访问行为,这个就实现了零信任整个环节,比如像多因素认证,单点登录,还有像访问行为的多环节分析。用户远程办公不管是PC还是移动设备,也都可以访问后台的应用系统。在移动设备上有双域隔离,它可以有个人办公还有工作的空间,来实现双域。对于数据也是办公数据的保护,这个是在企业里面我们零信任的案例。

    到这里我今天的分享也差不多结束了,简单回顾一下,我们今天还是给大家介绍了整个零信任的理念,它是随着数字化转型对网络安全的提升,尤其是远程办公场景,还有减少攻击面的场景。它的核心理念是对用户身份,以这个为中心,来实现多环节的认证,持续认证的理念。我们也介绍了绿盟科技零信任解决方案落地的一些关键特性,比如说像一些首包认证,多环节的认证方式,验证与访问控制,还有用户友好的访问体验,双域隔离,智能化分析,动态访问控制。最后也给大家介绍了一个案例,今天我给大家分享就到这里,非常感谢大家!

   

    主持人:感谢刘弘利先生的精彩分享!正如刘总所言,数字化时代网络安全面临重重挑战,零信任安全架构在不可信的网络中构建安全信任能力,是应对数字化时代的全新战略。接下来让我们有请下一位联盟成员单位代表,宁盾的CEO刘英戈先生为大家带来主题为“创新组织:后疫情时代高效办公身份最佳实践探讨”。

   

    刘英戈:大家好,很荣幸参加零信任产业发展论坛,我是宁盾CEO刘英戈,很高兴今天给大家带来的主题是“创新组织:后疫情时代高效办公身份最佳实践”,我的演讲包括四个部分:首先是疫情对于组织的变化,另外是阐述新的IT建设对于身份的变革,包括我们对新的身份一些看法,以及和腾讯的联合方案,包括落地的一些案例。

    第一,疫情对于组织发展的变化。大家知道,最近一段时间全国包括上海、北京都有比较大的疫情,在疫情期间,包括我在内有比较多的感同身受,疫情对于组织的发展变化,我们的办公室从原来的线下办公室搬到线上去了,我们更多是借助于企业微信和客户进行交流,包括飞书进行内部协作。我们也看到了组织为了服务客户,有些客户,尤其是To B的大型客户,还不得不面对客户,这些客户在外地,也考虑尝试在全国有多个分支,去进行灵活办公,到客户现场。有些高科技企业,包括像游戏、新零售生物和芯片这些行业,他们开始在全球化办公,包括服务他们的客户和本地的研发。另外疫情也催生着企业越来越注重ROI它的投资回报率,市场上的钱变得越来越值钱了,大家把原来购买资产的逻辑,逐步变成租赁的逻辑,越来越节约他的资金,包括他希望投入的核心业务,快速的能够收到收益,这是我们看到疫情对于组织发展的变化。

    今天来看,IT对于组织变革起到的至关重要的作用,组织在谈数字化转型包括组织进化来看,都会需要IT来支撑。具体我们看到的一些小的点在于,第一,过去IT从传统网络逐步过渡到零信任网络。第二,从线下往线上办公室和会客厅进行迁移,在线下的时候,我们大家强调的社交和交流。对于线上来讲,我们更加突出是实时性和敏捷性,信息系统从过去建设,以IAM为中心,逐步过渡到以业务为中心,它的迭代效率会更加提高。我们可以看到今天的企业级IT市场,从过去的PC互联网时代的信息化建设,到了今天的移动化的发展过程。另外云上云下的身份落地融合,去确保线上线下访问的一致性,这是我们看到的一个变化。

    第二,我们看到一些企业在建立它的新的IT投资铁三角,在这种情况下,对于身份变革在哪儿?我们看到新的IT投资企业铁三角,包括客户更多采用云服务,包括一些应用层的,像直播、视频会议常见的云服务。还有在办公和客户交流中,更多用一些平台级应用,包括像企业微信、飞书这样平台级应用来支撑它的客户和办公。另外在网络层面上,我们过去在物理的内网和外网隔离的情况下,包括开始变成逻辑层的零信任网络架构下,在这样投资的背景下,我们面临新的挑战是如何建立在异构的环境下,跨平台应用云和设备、终端、网络,如何建立互信,包括访问的一致性,这是我们今天面临的新的挑战。

    在这个挑战下,解决办法是我们如何用身份来建立大家的关联,去解决跨云、端、网络和平台及应用之间的互信及访问的一致性。我们也看到今天的组织可能会采用云,我们刚刚看到上面的云,像国外的AWS、谷歌、Azure,国内像腾讯、华为、阿里云,在内网关键的应用,像网络层的有线、无线,AD的域控,包括核心的应用,像研发的应用,像bitbucket、conference、JIRA,包括像一些生产流程的软件,OA类的软件,这是在内网。在云上的一些平台级的应用,看到了钉钉、企微、飞书,包括一些关键的应用,像办公的office365,还有像CRM。在端上,除了过去的windows,今天的Mac、Linux这样的桌面终端,包括还有泛终端,就是BYOD和iOT设备。在这样的多云、多平台,包括跨端的背景情况下,我们今天面临的问题,我们这些创新的组织,如何从过去的要拥有身份,以IAM为核心的情况下,过渡到去控制这个身份,我们今天所有的这些平台商,都已经把他的身份建的很健全,对于企业来讲,再去重复的建设身份,是有点浪费了,那我们怎样把原来的平台商建立起来的一些身份,我们拿过来使用,然后把他们之间建立这种互信的关联关系,我们只要保证它的访问控制就可以了。

    第二,刚刚也谈到过去我们以IAM为核心来建设,今天我们每个平台级的应用和云平台,它都有内化的身份,怎样在去中心化的身份情况下建立联邦的身份,从过去的中心化到去中心化。所以从这个角度来看,我们想看一下创新的身份应该是什么样子,我们也看到今天的国内发展的技术趋势,对于身份的需求也越来越多,包括我们前面谈到的数字化转型,包括大量外网的访问和无线网络的访问,包括刚刚谈的企业微信、钉钉、飞书,包括像部署的云和SaaS应用,收购和合并等等这样的场景,都有越来越多的身份使用。这个时候我们会发现,什么样的技术线路是符合未来的创新组织去支撑它的,目前我们看到在全球来看身份有三种发展的线路:

    一、我们最早发现的,在局域网时代的IAM,IAM我们知道像Oracle、IBM做大型企业的IAM软件,通常来讲表现出来的是非常定制化的,而且交付周期非常长的方式来做。我们看到中小型企业会用微软ID来管终端,包括大型企业在管端的情况下也会用ID,这是在局域网时代。

    二、到了云计算时代,我们看到比较火的是IDaaS,它主要解决的是云上的SaaS应用的统一分和单点登录。但是在国内来看,这条线路发展出现了一些问题,因为国内平台级的厂商它把各种各样的SaaS纳管到自己的平台上了,所以独立的IDaaS并不能够独立成为一个市场。

    三、DaaS(目录即服务),过去的我们的端,我们的网络,我们的应用,它的身份之间怎样联合,去解决分布式的身份联合问题。所以我们看到今天的发展趋势,DaaS更符合这个技术发展趋势。但是它面临的挑战是品牌认知度,逐步让大家认识,幸好我们有这些创新的组织,他们在勇敢尝试这样一些对象。在目录即服务技术线路中,我们也看到整个IT架构,过去是以IAM为核心的各种各样的应用,全部对接到IAM中间来,今天是分布式的IAM,这个时候你的身份目录就是要把分布式的IAM进行联盟起来,包括不能解决的一些基础架构的场景,把它的身份统一进来。包括网络,包括端侧的身份,把它统一进来。这个时候形成一个联合的身份,我们称之为身份目录服务。

    宁盾在身份目录服务上,在国内算是最早去践行这个技术线路的一家企业,我们从最开始MFA的单点解决基础架构的问题,逐步往前在发展。今天我们推出的MeConnect方案,它是从人和端一体化的身份管理,已经相对比较健全了,所以它包括我们刚才谈的混合身份目录,以及同意的MFA,以及网络和终端的身份管理,包括应用的接入管理,包括平台级接入管理,还有账号生命周期管理,还有特权管理。对外我们也提供非常丰富的联动,保证大家都可以对接。这样的方案主要解决的问题是什么?它主要是解决过去烟囱式的身份管理,我们过去在端侧我们有针对端的身份管理,包括目录侧我们今天看到的内网有AD目录,在云上我们有平台级的应用身份。在网络侧有网络的接入身份,包括应用侧有它的单点登录和多因子验证,包括在云上,包括和安全的联动,这上面都有很多的身份,这样的身份形成一些孤岛,没办法进行联动连通。对于宁盾来讲,我们把这些场景一体化,包括和既有投资联动起来,这个时候把它从基础架构到云,到端一体化打通,这是提高客户的效率,并且帮助客户节约他的管理和投资成本。

    从目录即服务来讲,它在客户的落地,我们把它提炼出来有几个阶段:

    第一阶段,在混合的身份目录建设,在既有的云上云下的身份怎样把它联合起来。

    第二阶段,全场景的身份接入安全,包括远程的办公接入,包括网络接入,还有数据中心接入,还有办公应用接入。

    第三阶段,解决泛端的准入控制,包括桌面端,泛桌面端,还有亚终端BYOD的,解决它的问题。

    第四阶段,要提高效率,如何通过低代码,包括workflow的方式,来提高身份管理的自动化水平。过去我们在管理账号的时候,成本是比较高的。

    举个简单的例子,过去我们比如一个人力资源,他有一个新的员工入职的时候,他需要把他走完入职流程之后,告诉每个系统管理员给这个员工创建他的账号,这是要消耗时间的。第二,当他离职的时候也通知这些管理员把这些账号删除过程禁用掉,这个中间面临一些问题,这个系统管理员没有及时删除,它会面临一些安全风险。并且耗时,所以第四阶段需要把它整个过程变成自动化管理,这是我们看到的整个身份目录服务推进的几个落地的阶段。

    接下来我们来谈一个创新组织的需求和建设方案案例,这是一个创新组织它的需求,它的应用层有的像office365、Salesforce、坚果云网盘,它用的平台级应用像企业微信是解决对客户服务的问题。飞书进行内部协作办公,在它的基础架构的建设中用零信任网络解决它的杀毒包括数据安全的问题,除此之外还有身份,它有AD域控。另外在身份认证方面,它需要解决这样的一些问题。基于这样客户的应用和它的IT规划的情况下,我们来看看从身份角度来讲,怎样去保证它的落地和它的最佳实践,我们把整个项目拆成四期:

    第一期,解决它的SaaS业务,没办法纳管到平台级应用的业务,它的Single Sign On问题,以及它的统一身份到AD上,第一步要解决的就是把它的Salesforce和它的office365,还有坚果云的身份桥接到它的内网AD上去,然后借助企微或者像这样的工具,来实现它的扫码认证,把传统的短信验证,双因子验证替换掉。另外针对iOA和堡垒机的场景,能够给它提供令牌的双因子验证,保障入口的接入安全。

    第二期,解决它的内网接入和端上的一些安全,包括内网的接入的一些准入,包括访客的准入。另外是终端合规性的基线。

    第三期,需要解决它的本地的应用多身份桥接,包括用户的口令支付和管理,降低它的口令修改成本,包括账号的自动化管理。

    往后如果它的AD未来假设它的终端不再完全是windows终端的情况下,或者它认为加域对它来讲不是那么重要的情况下,这个时候可以去接管它原来LDAP应用,比如研发场景的像bitbucket、conference、JIRA,还有网络,像有线、无线的网络,这个地方可以通过LDAP协议,也可以通过radius协议来对接这些网络的应用。

    另外你的混合架构下的桌面7×24小时管理,最后就是当它的平台级应用将来发生一些迁移,怎么帮助它平滑过渡,这是我们给出的客户最佳实践。

    宁盾和腾讯的iOA合作也有非常悠久的时间,并且也合作非常愉快,接下来看一下我们之间的合作帮助客户解决哪些问题。我们的联合场景在于通过宁盾敏捷的身份管理,包括敏捷的内网身份准入的组件和零信任网关进行结合,最终帮助客户实现更好的零信任网络的落地。在具体的几个场景:

    第一个场景,在iOA客户端MFA认证,我们知道在企业里,它会有一些传统的应用,没办法用新型的类似扫码认证,推送认证的现代化认证方式,比如像堡垒机、服务器这样的场景。宁盾统一的MFA服务,可以帮助这些场景来进行多因子验证,同时可以和iOA联动解决MFA认证,这时候就形成统一的MFA认证。包括iOA可以和宁盾的SSO进行整合,来解决一些业务的快捷访问的问题,简化它和应用对接的流程。

    第二个场景,iOA平台和宁盾身份进行打通,宁盾作为用户的身份源,在一些创新的企业,客户在没有域的环境下,宁盾可以直接给它做身份源。iOA直接可以调动宁盾的身份,我们之间可以通过SCIM协议来进行联动。

    第三个场景,在业务资源纳管和身份打通,举个例子,比如当一个客户中间有多个身份源,比如说他有AD,有OA,有HR或者其他的身份源的情况下,甚至有些集团性企业是多域的情况。如果iOA跟很多异构的身份源进行联动,会增加它的代价,因为它本身不是来做身份。对于宁盾来讲,过去和各种各样的异构身份进行过联动,所以iOA只要和宁盾进行联动,宁盾来实现对其他身份源进行桥接,形成一个多身份源的桥接之后,给iOA提供单一的身份联动,可以简化项目落地的周期。还有是我们在内网的情况下,有些客户仍然还有内网的情况下,怎样解决它的内网终端准入,实现内外网一致的终端准入。另外还有高级别的能力,我们怎样通过身份来给它提供一些数据,能够来实现智能的终端安全风险等级,基于UEBA的智能阻断和放行。

    最后看一下我们双方联合的价值,可以实现可信的身份,可信的终端,可信的应用,在任意的网络环境中安全、高效访问企业资源,内外网一致的身份管理和体验。

    我的演讲到此结束,谢谢大家!

   

    主持人:感谢刘英戈先生带来的分享!刘总在刚才的演讲中讲到腾讯零信任iOA与宁盾MeConnect身份联合案例,通过iOA客户端MFA认证,iOA平台与宁盾身份打通等,实现了在任意网络环境中安全高效的访问企业资源,进而实现内外网一致的身份管理和访问体验。这个联合案例,也充分展现了生态合作的重要性,只有各个厂商持续深化技术协同与合作,才能够为客户提供功能更为完善,体验更好的零信任解决方案,推动零信任在中国的加速落地。

    本次腾讯安全零信任产业发展论坛到此就要结束了,再次感谢各位嘉宾今天的精彩分享,感谢各位媒体朋友和观众对于本次论坛的关注,我们明年见,再次谢谢大家!



声明:该文观点仅代表作者本人,转载请注明来自看雪