2020年2月24日-28日，網(wǎng)絡(luò)安全行業(yè)盛會(huì)RSA Conference在舊金山舉行。作為網(wǎng)絡(luò)安全行業(yè)風(fēng)向標(biāo)，每屆RSA不僅會(huì)吸引世界各國知名的互聯(lián)網(wǎng)企業(yè)參與其中，會(huì)議中各主題演講和參展機(jī)構(gòu)所涉安全領(lǐng)域的安全熱詞也會(huì)成為熱議的焦點(diǎn)。本屆RSA統(tǒng)計(jì)出十大網(wǎng)絡(luò)安全熱詞，其中云安全位居首位。

在現(xiàn)如今企業(yè)數(shù)字化轉(zhuǎn)型的浪潮中，上云成了眾多企業(yè)的選擇，公有云、私有云或者混合云等多個(gè)領(lǐng)域，這其中既蘊(yùn)含著企業(yè)轉(zhuǎn)型的新風(fēng)口，也是各類安全廠商的必爭之地，云安全早已成為了多方的熱點(diǎn)話題。

不僅僅是云安全，零信任技術(shù)也以其獨(dú)特性，成為安全界討論的熱點(diǎn)。早在此前，RSAC組委會(huì)已表明，他們收到的2400份網(wǎng)絡(luò)安全行業(yè)演講嘉賓的議題申請，在經(jīng)過整理和審核之后他們表示：“諸如零信任和無服務(wù)器，Kubernetes，量子，混沌工程，漏洞賞金和端點(diǎn)衰減（或復(fù)興）之類的關(guān)鍵詞比比皆是”。

在如今“企業(yè)邊界正在瓦解，基于邊界的安全防護(hù)體系正在失效”這一大背景下，零信任針對傳統(tǒng)邊界安全架構(gòu)思想進(jìn)行了重新評估和審視，并在當(dāng)下云安全的架構(gòu)中給出了新的應(yīng)用和防護(hù)。聯(lián)軟科技作為業(yè)內(nèi)研發(fā)和實(shí)踐零信任相關(guān)產(chǎn)品的領(lǐng)先企業(yè)，2月20號在線上展開了一場關(guān)于《零信任在云安全中的應(yīng)用和發(fā)展》的分享，以下為精彩內(nèi)容：

在本次的分享中，聯(lián)軟云安全產(chǎn)品規(guī)劃師首先介紹了零信任的理念的發(fā)展歷程，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)基本都是基于防火墻構(gòu)建的固定網(wǎng)絡(luò)安全邊界，企業(yè)的網(wǎng)絡(luò)安全也基本圍繞著固定網(wǎng)絡(luò)安全邊界來建設(shè)，但是隨著移動(dòng)辦公和企業(yè)業(yè)務(wù)上云，傳統(tǒng)的網(wǎng)絡(luò)邊界變得很模糊了，甚至不再存在一個(gè)固定的物理邊界，云化、移動(dòng)化、萬物互聯(lián)時(shí)代急需新的網(wǎng)絡(luò)安全體系來適應(yīng)新技術(shù)的發(fā)展，而零信任理念是在新的信息化環(huán)境下產(chǎn)生的創(chuàng)新網(wǎng)絡(luò)安全理念。

零信任核心思想是企業(yè)不信任內(nèi)外部的任何人 ／事／物，除非明確了接入者的身份，否則就不能連接網(wǎng)絡(luò)，零信任的安全理念是建立在身份驗(yàn)證、設(shè)備驗(yàn)證、網(wǎng)絡(luò)隔離和訪問控制這些技術(shù)基礎(chǔ)之上的，是保護(hù)管理應(yīng)用和數(shù)據(jù)的關(guān)鍵。零信任是對傳統(tǒng)訪問方式的進(jìn)一步顛覆，傳統(tǒng)方式是訪問資源再驗(yàn)證身份，而在零信任下的理念是先驗(yàn)證身份，再授權(quán)訪問資源。

零信任的安全架構(gòu)發(fā)展迅猛

在介紹了零信任的發(fā)展歷程后，聯(lián)軟云安全產(chǎn)品規(guī)劃師和廣大學(xué)員介紹了零信任在云安全中最主要的落地實(shí)踐技術(shù)——軟件定義與邊界，簡稱SDP系統(tǒng)。SDP的目標(biāo)是通過軟件的方式，在移動(dòng)化、云化和萬物互聯(lián)的時(shí)代，構(gòu)建起一個(gè)虛擬的企業(yè)邊界，利用基于身份的訪問控制，來應(yīng)對邊界模糊化帶來的問題，以此達(dá)到保護(hù)企業(yè)數(shù)據(jù)安全的目的。

SDP在架構(gòu)上包含客戶端、控制器和網(wǎng)關(guān)三個(gè)部分，客戶端就是我們使用的手機(jī)和電腦等終端，控制器主要用于認(rèn)證和授權(quán)客戶端的，然后配置客戶端到網(wǎng)關(guān)的連接，網(wǎng)關(guān)用來終結(jié)客戶端的流量和執(zhí)行控制器的策略，SDP在實(shí)現(xiàn)上廣泛使用了加密、單包授權(quán)等技術(shù)，在架構(gòu)設(shè)計(jì)上能夠抵御網(wǎng)絡(luò)的攻擊。

SDP技術(shù)架構(gòu)

接著，聯(lián)軟云安全產(chǎn)品規(guī)劃師向廣大學(xué)員詳細(xì)介紹了業(yè)界有影響力的零信任理念實(shí)踐案例，其中包括谷歌的BeyondCorp項(xiàng)目、微軟Azure零信任網(wǎng)絡(luò)、思科可信訪問和聯(lián)軟打造的軟件定義邊界系統(tǒng)：

在分享過程中，講師指出SDP基于安全的設(shè)計(jì)理念，成熟安全技術(shù)架構(gòu)，在替代VPN、多云訪問中的統(tǒng)一入口、統(tǒng)一身份認(rèn)證等方面，有著不可比擬的優(yōu)勢，同時(shí)在第三方接入訪問，促進(jìn)IT系統(tǒng)集成等方面，SDP有廣闊的應(yīng)用場景。

基于聯(lián)軟豐富的實(shí)施經(jīng)驗(yàn)，講師向廣大學(xué)員介紹了聯(lián)軟科技在零信任的實(shí)踐案例和經(jīng)驗(yàn)總結(jié)，其中特別指出實(shí)現(xiàn)零信任其實(shí)是比較困難，企業(yè)在實(shí)施零信任的過程中，需要企業(yè)重新思考如何保護(hù)每個(gè)應(yīng)用程序、端點(diǎn)、基礎(chǔ)設(shè)施及用戶。實(shí)施的重點(diǎn)應(yīng)該放在安全驗(yàn)證用戶，確定用戶的角色和權(quán)限，查找異常設(shè)備和用戶。

分享案例：

而對于零信任的應(yīng)用前景，聯(lián)軟科技很看好，無論是國內(nèi)權(quán)威部門還是國際官方機(jī)構(gòu)發(fā)布的相關(guān)報(bào)告，都充分說明了零信任安全行業(yè)的先進(jìn)性以及市場的光明前景。面對內(nèi)外部威脅和IT新環(huán)境下邊界瓦解的現(xiàn)狀，零信任安全所倡導(dǎo)的全新安全思路，已然成為企業(yè)數(shù)字化轉(zhuǎn)型過程中應(yīng)對安全挑戰(zhàn)的主流架構(gòu)之一，目前零信任在國內(nèi)還處于發(fā)展的前期，要真正走向成熟還需要一段時(shí)期的打磨。前期，零信任的基礎(chǔ)技術(shù)都相對成熟 ，所以從技術(shù)上看差異不大，主要是涉及領(lǐng)域有區(qū)別，例如終端安全、大數(shù)據(jù)安全等。

現(xiàn)場問答回顧

（以下節(jié)選部分問答）

Q:SDP可以完全取代VPN嗎？
A:SDP在整個(gè)的架構(gòu)模型、拓展性、安全性等方面是優(yōu)于VPN的,可以替代的。

Q:SDP項(xiàng)目需要實(shí)施多久？
A:需要看實(shí)施的規(guī)模，人員多，設(shè)備多，策略就復(fù)雜，實(shí)踐時(shí)間也就越長。

Q:SDP和微隔離是什么關(guān)系？
A:都是對零信任理念的實(shí)踐，目前SDP用的較多，而微隔離在主機(jī)層面，防止傳統(tǒng)的南北向和東西向的攻擊。

Q:聯(lián)軟的SDP具備哪些優(yōu)勢?支持哪些平臺(tái)？是否支持國產(chǎn)系統(tǒng)？

A:首先聯(lián)軟從2017年開始研發(fā)零信任的相關(guān)產(chǎn)品，這在業(yè)界是比較早的，其次聯(lián)軟對零信任的理解，網(wǎng)絡(luò)安全和終端安全有著豐富的經(jīng)驗(yàn)，比如在我們的終端管理系統(tǒng)了里有安全沙箱，保護(hù)用戶數(shù)據(jù)不落地，用戶數(shù)據(jù)和企業(yè)數(shù)據(jù)分開，在員工離職，即可在沙箱里將數(shù)據(jù)擦除。聯(lián)軟的SDP對Windows，lunix,Mac都支持，同時(shí)也支持國產(chǎn)系統(tǒng)。