安全管理者俱樂部沙龍丨 “零信任”還有哪些意想不到的應(yīng)用場景？

炙手可熱的“零信任”技術(shù)到底如何融入企業(yè)安全建設(shè)?“零信任”是否又能針對(duì)性地解決每一行獨(dú)有的安全痛點(diǎn)，以及企業(yè)如何從0到1搭建基于零信任的安全體系?

近日，由騰訊安全主辦的安全管理者俱樂部沙龍?jiān)谏钲谟瓉硎讏龌顒?dòng)，匯聚了來自金融、物流、投研、制造業(yè)、傳媒、航空等行業(yè)的安全代表，圍繞“零信任”話題展開談?wù)摚敬伟踩芾碚呔銟凡可除垊?chuàng)新地設(shè)置了主題分享和分組研討等環(huán)節(jié)，形成了集痛點(diǎn)解析、需求配對(duì)、實(shí)踐分享、成果沉淀等于一體的沙龍模式，為各行各業(yè)加速部署“零信任”提供的案例實(shí)操性的經(jīng)驗(yàn)和前瞻性思考。

主題分享

李維春丨證券行業(yè)零信任場景探討

券商是一個(gè)強(qiáng)監(jiān)管的行業(yè)，要求辦公網(wǎng)和交易網(wǎng)兩張大網(wǎng)有效隔離，每張大網(wǎng)又通過防火墻隔離出不同的分區(qū)。雖然不同券商具體做法不一樣，但整體大同小異。

在券商行業(yè)有三個(gè)場景可能需要“零信任”技術(shù)：

一是遠(yuǎn)程辦公和外協(xié)人員訪問網(wǎng)絡(luò)資源。遠(yuǎn)程辦公情況下，員工經(jīng)常需要使用個(gè)人電腦通過VPN的形式接入公司網(wǎng)絡(luò)。員工使用個(gè)人電腦沒有準(zhǔn)入控制的基線，容易引入安全風(fēng)險(xiǎn)。此外，個(gè)人電腦類型繁多，VPN客戶端體驗(yàn)也很差;如果是外協(xié)人員通過VPN接入網(wǎng)絡(luò)，安全人員無法掌握和控制其行動(dòng)軌跡，同樣容易引發(fā)安全風(fēng)險(xiǎn)。

二是定制化交易系統(tǒng)?，F(xiàn)在很多私募基金投資機(jī)構(gòu)會(huì)自己開發(fā)一套交易系統(tǒng)，放到券商的環(huán)境里面，和券商的交易系統(tǒng)對(duì)接。這套系統(tǒng)對(duì)于券商是不透明的，后者不知道它有多少安全漏洞，也不清楚私募基金投資機(jī)構(gòu)通過自己的防火墻后進(jìn)行了什么操作。

三是整體架構(gòu)。券商的兩張大網(wǎng)之間雖然做了有效隔離，但還是存在大量數(shù)據(jù)交互：有的是接口調(diào)用，有的是設(shè)備、應(yīng)用之間互相訪問，有時(shí)是用戶身份訪問設(shè)備或應(yīng)用，這些都有可能導(dǎo)致安全隱患。

三大場景中，現(xiàn)有的網(wǎng)絡(luò)架構(gòu)已經(jīng)無法應(yīng)對(duì)新時(shí)代所帶來的安全挑戰(zhàn)，如何通過零信任來解決證券行業(yè)目前面臨的網(wǎng)絡(luò)安全問題、實(shí)現(xiàn)從現(xiàn)有架構(gòu)向零信任架構(gòu)的過渡，是業(yè)界共同的訴求。

周智堅(jiān)丨一句話說清安全與零信任，產(chǎn)業(yè)互聯(lián)下的安全業(yè)務(wù)架構(gòu)

通過科技將生產(chǎn)資料、設(shè)備和客戶的快速鏈接將使能企業(yè)，企業(yè)生產(chǎn)、經(jīng)營和決策將平臺(tái)化、自動(dòng)化化、數(shù)據(jù)化、甚至智能化，這是產(chǎn)業(yè)互聯(lián)接下來的大趨勢，不轉(zhuǎn)型的企業(yè)將逐漸被市場淘汰。

產(chǎn)業(yè)互聯(lián)轉(zhuǎn)型的大趨勢下，信息安全就是生產(chǎn)安全，安全必須融入業(yè)務(wù)。針對(duì)產(chǎn)業(yè)互聯(lián)下企業(yè)的安全訴求，周智堅(jiān)創(chuàng)造性地提出了一套名為“1+N”的零信任架構(gòu)落地方案：安全業(yè)務(wù)平臺(tái)化運(yùn)行的安全ERP作為核心的“1”，連接各類安全產(chǎn)品，如員工安全、終端安全、身份識(shí)別、權(quán)限管理、自動(dòng)化工具、數(shù)據(jù)安全等基于零信任的安全能力，從而推動(dòng)企業(yè)從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)向零信任網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型。

“1+N”零信任架構(gòu)方案的落地，既需要企業(yè)技術(shù)架構(gòu)作為基礎(chǔ)支持以及產(chǎn)品化和技術(shù)化，也需要安全ERP輔助才能產(chǎn)生更好的安全效果。

曹靜丨零信任能力圖譜解讀與應(yīng)用場景探討

零信任是當(dāng)下安全領(lǐng)域的熱門話題，安全廠商紛紛推出了各自的零信任解決方案。百家爭鳴之下，甲方企業(yè)頗有種亂花漸欲迷人眼的感覺。零信任到底有哪些能力?甲方該如何選擇適合自己的解決方案?

騰訊安全在5月份發(fā)布的《企業(yè)級(jí)零信任能力圖譜》，對(duì)零信任技術(shù)的能力做了詳細(xì)列舉。零信任的核心理念是“沒有默認(rèn)的信任，只有默認(rèn)的威脅”，零信任不僅可以替換VPN，實(shí)現(xiàn)無邊界的辦公和運(yùn)維場景，針對(duì)云上業(yè)務(wù)系統(tǒng)的安全訪問，零信任可以隱藏互聯(lián)網(wǎng)暴露面進(jìn)而阻斷黑客攻擊。

具體應(yīng)用場景上，目前零信任被廣泛應(yīng)用于東西向安全訪問控制、分支機(jī)構(gòu)訪問總部、應(yīng)用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務(wù)集中管控、全球鏈路加速訪問、物聯(lián)網(wǎng)業(yè)務(wù)場景中。

企業(yè)只有了解零信任建設(shè)的能力目標(biāo)，根據(jù)能力視圖、業(yè)務(wù)優(yōu)先級(jí)規(guī)劃建設(shè)場景路徑，才能分場景、分階段完成零信任整體能力體系的建設(shè)。

嘉賓演講的間隙，為增加沙龍活動(dòng)的趣味性，讓與會(huì)企業(yè)對(duì)自身零信任實(shí)踐水平有更好的認(rèn)識(shí)，主辦方特地邀請(qǐng)現(xiàn)場嘉賓參與了零信任成熟度模型自測。

分組圓桌研討

主題分享后，沙龍活動(dòng)進(jìn)入備受期待的圓桌討論環(huán)節(jié)?，F(xiàn)場參會(huì)的嘉賓來自各行各業(yè)，每個(gè)行業(yè)都有不同的需求痛點(diǎn)及零信任思路和方法。為了讓與會(huì)嘉賓更好地交流碰撞，從不同視角激蕩出思維的火花，在頭腦風(fēng)暴和開放討論中求同存異，圓桌環(huán)節(jié)采用了非常新穎的討論形式——由騰訊安全的兩位安全專家各帶領(lǐng)一組嘉賓分別討論，與會(huì)嘉賓從甲方立項(xiàng)視角和需求視角提出了針對(duì)八大零信任應(yīng)用場景的具體需求。

在傳媒行業(yè)，業(yè)務(wù)場景除了會(huì)涉及多個(gè)業(yè)務(wù)部門外，還包含了混合云的網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)安全架構(gòu)極為復(fù)雜，其安全建設(shè)的關(guān)鍵痛點(diǎn)之一是：雖然通過容器化把各類數(shù)據(jù)、資產(chǎn)以及管理配置整合到了一起，但在進(jìn)行單一機(jī)群訪問控制時(shí)，會(huì)對(duì)整個(gè)網(wǎng)絡(luò)層的規(guī)劃產(chǎn)生影響。分享嘉賓認(rèn)為，零信任為安全管理工作提供了一個(gè)新的視角和工具，能夠成為未來網(wǎng)絡(luò)安全管理工作的抓手。

民航領(lǐng)域的安全痛點(diǎn)則是——傳統(tǒng)機(jī)場連接互聯(lián)網(wǎng)的接口很少，可能就有一個(gè)是連接辦公網(wǎng)絡(luò)的。但隨著私營機(jī)場的增多，對(duì)接外網(wǎng)的接口也將越來越多。這意味著暴露接口增多將會(huì)讓機(jī)場更容易受到黑客的攻擊，對(duì)零信任解決方案中的管控對(duì)外端口功能需求旺盛。此外，目前大多數(shù)機(jī)場和空管的外部訪問管控，也需要借助零信任來實(shí)現(xiàn)進(jìn)行南北向、東西向的安全管控。

在垂直行業(yè)之外，對(duì)于企業(yè)普遍存在的安全運(yùn)營挑戰(zhàn)，零信任也是一把好手。來自大型企業(yè)的安全專家認(rèn)為，一直以來企業(yè)對(duì)于端上的安全管控非常嚴(yán)格，加之使用VPN的情況不多，所以一直以來所有的VPN都采用白名單制。在今年疫情的影響下，遠(yuǎn)程辦公需求激增，就需要安全運(yùn)營團(tuán)隊(duì)手動(dòng)進(jìn)行所有外部訪問的權(quán)限控制，導(dǎo)致工作量激增，對(duì)業(yè)務(wù)的時(shí)效性造成了較大影響。如果能夠通過零信任的動(dòng)態(tài)評(píng)估功能來進(jìn)行管控的話，不僅能節(jié)約人力成本、提升業(yè)務(wù)效率，還能進(jìn)一步控制安全風(fēng)險(xiǎn)。

分組討論結(jié)束后，兩組各推舉出一位代表對(duì)討論結(jié)果進(jìn)行圓桌成果輸出展示，由裁判組對(duì)兩組嘉賓的分享成果進(jìn)行評(píng)判。

一組成果輸出

零信任的方案落地面臨著三大挑戰(zhàn)：

一是如何說服領(lǐng)導(dǎo)，讓他覺得“零信任”是有好處的。

二是如何讓領(lǐng)導(dǎo)理解零信任和傳統(tǒng)安全的區(qū)別，零信任能解決哪些問題。

三是零信任在不同行業(yè)有不同的落地方式，企業(yè)如何找到最適合自己的路徑。

二組成果輸出

零信任的應(yīng)用場景分為三塊——端上的需求、系統(tǒng)側(cè)的需求和鏈路需要。

端上的需求包括Mac地址綁定、賬號(hào)共用、分支機(jī)構(gòu)、個(gè)人設(shè)備綁定BIOD、第三方機(jī)構(gòu)訪問、賬號(hào)體系互認(rèn)、網(wǎng)絡(luò)變化、IOT六大塊;系統(tǒng)側(cè)的需求包括東西向、混合云等等。

不難發(fā)現(xiàn)，零信任早已從概念走向各行各業(yè)的安全場景，正在切實(shí)地帶給企業(yè)安全建設(shè)新工具、新理念。這正是騰訊安全舉辦安全管理者俱樂部沙龍的核心所在，致力于搭建匯聚甲乙雙方視角的技術(shù)交流平臺(tái)，在傳遞安全知識(shí)、實(shí)踐經(jīng)驗(yàn)的同時(shí)，通過共同交流探討來探索安全產(chǎn)品在實(shí)際業(yè)務(wù)中的落地場景。

未來，騰訊安全將持續(xù)釋放自身的技術(shù)、人才與生態(tài)優(yōu)勢，攜手產(chǎn)業(yè)鏈生態(tài)伙伴共同深入探索零信任在行業(yè)中落地的新場景，持續(xù)完善適用于各行各業(yè)的新型安全機(jī)制，為企業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)程保駕護(hù)航。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）