中文
落地零信任
纵使千山万水
踩在「巨人」的肩膀上
共享拨云见日
一眼万里
「落地有声·第二届零信任用户分享大会」如约而至。
主持嘉宾:数世咨询创始人 李少鹏
会上,深信服邀请了知名咨询机构代表,以及金融业、制造业标杆用户,跟大家分享零信任落地过程中的思考与心得。
数字化优先时代来临,规模创新朝着持续化、情境化、实时化发展。面对安全挑战持续升级,零信任已成为向好发展驱动因素。
据最新报告《idc marketscape: 中国零信任网络访问凯发登录的解决方案,2022年厂商评估》,中国零信任网络访问凯发登录的解决方案市场进入高速发展期,百花齐放的背后呈现六大趋势:
- “产品 服务”组合落地将成为标配。
- 云原生/服务敏捷/便捷等将推动云化部署节奏。
- 智能化、自动化将从概念部署向应用部署过渡。
- 零信任网络访问和零信任边缘将实现方案融合。
- 场景化、行业化凯发登录的解决方案市场潜力大。
- 零信任凯发登录的解决方案将向保护数据安全的方向发展。
对此,如何选择方案提供商,王军民以权威客观视角,给到用户详实建议:
- 关注提供商对方案的体系化、阶段化建设能力。
- 关注提供商综合能力及技术能力。
- 关注提供商的数据安全访问体系建设规划能力。
- 关注提供商的安全服务体系建设。
数字化转型背景下,北汽福田对it提出了更高要求——“提供高效、安全、稳定、便捷的基础设施”。尤其是传统办公方式已经不适应数字化时代的发展,面对超2万名员工、6000 最高并发、超200万次月均攻击,为保障员工随时随地安全接入,北汽福田采用零信任满足远程办公常态化的安全需求。
零信任不仅为北汽福田带来了有效安全保障,还让体验更加简单省心。“以往,访问采购管理系统,需要先拨vpn,再打开手机app,操作繁琐;现在,在零信任架构下,访问控制系统可以与第三方通讯软件原生集成。”
“采用深信服零信任atrust替换vpn,只是北汽福田走进零信任的第一步。”千里之行始于足下,规划好阶段化建设路径,未来,北汽福田将持续深入探索远程运维、内网应用通信等场景。
证券行业数字化转型,带来办公体验的无边界化。it基础设施云化、容器化,业务上云、微服务化使传统以安全域划分、边界防护的理念受到怀疑。
在保障安全刚需切入点的同时,要提升用户体验,进行整体布局,中信建投证券选择进行零信任改造。
根据整体落地路径规划,基于身份访问控制、终端安全沙箱和数据分级保护技术,中信建投证券先行保护高风险场景(移动端开发安全、外包人员开发测试),收敛互联网暴露面,防止数据泄露。
目前,中信建投证券全面推进取消远程办公类系统的互联网入口,实现13000 员工随时随地安全办公。
“零信任架构搭建完成后,我们将结合数据资产信息,提升零信任安全运营能力。”未来,中信建投证券将实现增强访问行为分析和持续信任评估能力,基于风险构建自动化处置,有效阻断潜在威胁。
为了这场用户分享更加开放,我们特别开设「对话大咖」环节,前期通过线上征集问题,有3位正在落地零信任或有意向落地零信任的用户,提出了高质量问题,并到现场与嘉宾们面对面交流。
q1针对内部应用的安全,除了依赖零信任以外,还需配合哪些产品?
吉利控股集团it中心cto/吉利汽车集团数字化中心总监 郑金伟
对于终端管控来说,吉利在这方面的实践分三种情况,一是针对企业自有终端,可以结合零信任sdp、直连网关dgw的产品,二是byod设备,可以通过桌面云vdi、沙箱等,保证数据不落地;三是考虑对设备的管控,把包括网络准入、杀毒几个终端整合,形成一个终端all in one的产品。
深信服 cio 张武健
怎么把安全进行体系化建设?我们去年提出“平台 组件 服务”的战略方针,其中zta平台解决以身份为中心的细粒度访问控制。随着深信服数字化转型发展,应用和终端数量迎来双爆发,安全漏洞不可避免,我们认为“终端是不可信的” ,风险很难控制,因此不仅要收缩业务暴露面,还要收缩内网接入终端细粒度管控。我们除了实现全办公网零信任改造外,还在研发内网结合sdp vdi dgw uem沙箱等,形成了一整套零信任凯发登录的解决方案。
q2集团工厂设备多、点位多,如何通过零信任,做好精细化、细粒度的访问控制?
北汽福田集团基础设施及信息安全负责人 张志强
在工业4.0与数字化转型驱动下,我们的互联网和工业网打通,机器人等相关设备几乎是国外的,工程师需要远程接入内网进行参数校验。以前用vpn打通隧道,一是看不到人员进入内网的行为,也无法追踪;二是人员获得权限较大大,无法细粒度管控。2021年我们引入零信任之后,管理员通过可视化平台,做资源和身份的匹配。另外,我们还建立工控dmz区,在物理范围内管控人员权限。这背后更多还是在运营,把工控信息安全运营纳入信息安全运营体系,对信息安全做整体判断和处理。
深信服安全业务副总裁/零信任业务负责人 周智坚
零信任提供两种能力:一是事前隔离控制,不管是工业网、办公网、互联网,资产和数据有很多历史遗留问题,没办法通过改造架构来解决,因此需要零信任做隔离控制和细粒度控制,补齐短板;二是可视化和联动,能够看到整个资产访问活动过程中的风险,帮助安全团队进行管理和分析,以及异常的联动处置。同时,落地零信任需要分阶段、分场景,从远程办公到内外网混合办公等,如果缺乏整体规划,隔离控制、风险管理就很割裂,因此要选好一个生态开放兼容的平台,往数字化安全方向走。
q3为何大部分企业选择从sdp替代vpn的方式切入去做零信任建设?我们应当如何选择零信任落地技术路径?
北汽福田集团基础设施及信息安全负责人 张志强
我们选择从sdp切入做零信任,是因为对业务的挑战更小,除了满足远程安全接入的需求,能实现细粒度访问控制,还能满足研发远程接入的性能要求。从耗费资源和时间的角度,我们选择用最容易的手段,让决策层直观感受到零信任所带来的的好处。因此我们用深信服零信任atrust替换vpn是一个很轻松的过程,只花费2个月就完成替换。
深信服 cio 张武健
作为第一个吃螃蟹的人,深信服全网落地零信任,看起来很轻松,但过程很曲折。我们做零信任改造分三个阶段,一是pc到server,二是从vdi到server,三是从server到server。其中第一阶段最为重要,以收敛身份为前提的访问控制,也控制住大部分风险。基于过去ssl vpn产品积累的技术优势,深信服选择sdp这条技术路径,不管从安全还是运维收益来说,都是最简单有效和容易成功的。