西安網絡安全周 | 聯軟科技:論端點安全在零信任體系中的重要性
2021年10月11日至17日,國家網絡安全宣傳周重要活動在陜西西安舉行,舉辦網絡安全宣傳周,提升全民網絡安全意識和技能,是國家網絡安全工作的重要內容。
(主會場)
在本次網安周,由華為承辦的“零信任安全實踐”主題分論壇,邀請了行業內眾多零信任安全專家與廠商,共同探討零信任與現有安全架構、數字經濟發展等多種話題。聯軟科技受邀出席零信任安全實踐分論壇,分享了端點安全在零信任體系中的重要性。
作為國內端點安全領域的領導者是如何成為國內零信任領導廠商之一的?以下是演講主要內容:
零信任從提出到走向成熟
隨著新興技術的發展,以傳統網絡為中心的基于邊界的防護體系正在瓦解或逐漸失效,零信任的安全模型正在被逐漸探索、完善、普及和應用中,服務于多個行業和領域。2010年Forrester的分析師首次提出零信任的概念,在11年的中,零信任的發展之路充滿了各種理論和實踐。例如,在理論上CSA提出SDP、Forrester提出ZTX、Gartner提出ZTNA、NIST都提出了ZTA的理論框架,而實踐方面最著名的當屬Google的BeyondCorp項目,歷經6年最終成功落地。
端點安全與零信任的關系
零信任安全體系的搭建是一個十分龐大的體系,端點安全和零信任又有什么關系?沒有端點安全的零信任注定是失敗的。在NIST的ZTA零信任架構中闡述了從主體到資源的訪問控制過程,如果說Forrester的ZTX模型比較抽象的話,那NIST的模型更像一個網絡架構圖。左邊這個圖是去年三月份發布的草案,該架構分為核心組件和支撐性組件,核心組件主要有PE、PA和PEP三個組件構成,而支撐性組件包含身份、有日志、情報、數據訪問策略、CDM、SIEM等眾多因素;而右邊的是時隔半年發布的正式版,相比較舊版,正式版的核心組件依舊保持不變,而支撐性組件則換成了4個功能組件,分別是端點安全、數據安全、身份和安全分析。正式版更加清晰,也更加具備落地性。
在Gartner關于零信任的描述中,左邊是Gartner非常著名終端安全的技術成熟曲線,UEM、ZTNA等與零信任相關技術都屬于端點安全的范疇內,2020年起,由于疫情的影響,很多的互聯網公司已經宣布永久性的在家辦公,BYOPC也成為了熱點技術,這也推動了零信任的發展。此外,在2020年,Gartner的ZTNA市場指南中提出了ZTNA的建設指南,其中最重要的四個關鍵點都與與端點安全相關的。
在由華為安全聯盟委托Forrester進行的調研報告中,從208名來自政府、金融行業、交通物流行業和醫療衛生行業的中國大中型企業及機構信息安全決策者的調研中,我們可以看到終端安全是大多數受訪者都一致選擇了終端安全作為零信任體系建設的首要目標。
企業端點安全建設的三大難點
既然端點安全在整個零信任框架中這么重要,企業端點安全建設有哪些難點呢?聯軟在端點安全領域耕耘已經有18年,總結了三大難點:
●第一:全面性。終端安全的范疇很廣,包括防病毒、準入控制、桌管、dlp、水印、edr、補丁、EMM、CWPP、移動存儲介質管理等等,如果企業要進行零信任安全架構,是否要再裝一個Agent,大部分企業是存疑或者拒絕的,而且大量的Agent也會導致終端資源浪費、管理上異常復雜,出了問題沒法定位等難點。
●第二:兼容性。隨著技術業務的發展,終端類型越來越多,PC、手機、平板、物聯網終端等,加上鴻蒙等國產操作系統等,端點安全的搭建要求安全廠商的技術儲備較高,必須對操作系統的底層原理要有深刻的理解和多年實踐,具備底層核心內核級別開發的能力,最大程度的保障產品的兼容性和穩定性等。這些都是靠廠商長期積累的能力,也是端點安全廠商最大的技術壁壘,從聯軟的經驗來說,一家做端點安全的廠商,產品要成熟至少需要5~8年的時間。
●第三,可視化。終端類型的多樣化,導致了需要對全網的資產及變更做快速定位非常的難,出現問題能夠第一時間感知,第一時間監控、告警、處置,并通過可視化來實現快速響應。
聯軟與華為零信任為客戶提供一體化的端點安全
2020年8月,聯軟由于在端點安全領域的超強能力,有幸加入了華為安全商業聯盟,在合作中共同促進產業發展,提供全網協同的立體防御體系。
聯軟提供的是終端安全一體化的能力,通過終端安全管理模塊,保障終端可管;通過網絡準入控制,保障身份可信,通過終端EDR,保障入侵可防;通過終端DLP,保證數據可控。從體檢、到入網、到檢查響應,最終圍繞著數據的保護,構成了端點安全的平臺。該平臺有三大特性:第一是功能全面,一個后臺,一個Agent,解決所有的端點安全的問題;第二是極簡運維,單臺服務器可以管控15萬+的設備;第三,與華為VPN、交換機產品無縫的集成,未來華為的VPN Client由聯軟提供,與華為的園區網NCE Campus完美對接,實現網絡準入控制。
聯軟的產品在華為的整個零信任方案中主要有兩大組件,一個是終端環境感知,一個是SDP的控制器。終端環境感知能力主要就是端點上的身份驗證和風險評估,以及端點上的數據采集和分析、數據安全等能力,SDP控制器,主要是集成了SPA等單包授權,以及網絡訪問授權和策略控制的能力。
終端的環境感知能力:首先是進行終端的安全評分,包括物理環境、安全環境、安全基線及安全事件等四個維度,對終端的安全進行評分;然后是全面身份化的身份識別,這里又包含了人員、設備和應用三個維度的身份標識;通過安全評估和身份標識,就可以計算出該訪問的信任等級,從而實現對資源的動態授權。
持續的信任評估:零信任架構中的有別于傳統訪問控制架構的一個特性。當一臺設備完成了安全和身份的雙重評估后,終端上會對他的環境和身份進行持續的監測,一旦發現環境或身份發生變化的時候,例如從不同的物理位置接入、或更換了不同的瀏覽器等,這種變更就會觸發授權的變更,需要降低信任等級,甚至是有些時候需要觸發增強認證流程,比如通過短信驗證,或者手機掃碼驗證等方式再次確認身份。
通過上述零信任架構如何實現數據安全?終端設備需要存儲和處理超過80%的企業數據,如何保護好終端上的數據,也是零信任安全最難于解決的難題。聯軟的第二個非常重要的能力就是終端的DLP。無論是移動設備還是在PC上都實現了數據的隔離,對落到終端上的數據進行加密的存儲,通過加密隧道對傳輸中的數據進行保護,從而實現數據的不落地。對需要外發的數據進行DLP的管控,通過水印對文檔進行追蹤。通過以上的技術手段實現了端到端的數據安全保護。
最后一個能力是聯軟的EDR與華為的Hisec Insight聯動。聯軟的EDR可以在終端上采集18大類,336小類的信息,這就給Hisec的安全大腦提供強大的數據支撐,可以對攻擊行為進行取證和還原;EDR還可以和華為的沙箱進行聯動,對終端上的一些可疑文件進行分析,從而有效的識別APT的攻擊行為;此外,EDR還可以成為Hisec的手和腳,對終端上的異常行為進行精準的處置。通過與EDR的聯動可以實現對零信任的安全分析。
在華為的零信任能夠實現的四大場景增加了聯軟的端點能力后,整個零信任就能覆蓋更多的場景。
●第一,可以聯動華為的交換機,對企業內網設備進行網絡準入控制和持續的安全評估和身份驗證;
●第二,遠程辦公的場景,BYOD和企業配發的設備都可以實現零信任的遠程接入;
●第三,BYOD設備在企業內網的接入場景;
●第四,跨網訪問的場景,政府及許多企業有大量的“單網通”的需求,就是希望通過一個終端能夠訪問不同的安全域,這個場景過去最大的難點在于數據安全問題,目前聯軟可以通過多域安全沙箱的方式來完美的解決;
●第五,多云、多數據中心的訪問場景,簡單的說,就是Any to Any,這個場景是零信任整套方案最大的優勢,軟件定義訪問,按需訪問,是零信任安全實施的終極解決方案。
目前這些場景,聯軟已經在金融、證券等很多客戶落實實施,去年疫情期間,聯軟幫助網聯清算實現了安全的遠程辦公,聯軟團隊僅花費2天時間就在客戶現場快速的部署上線系統,及時滿足客戶遠程安全辦公需求,同時聯軟在某大型券商使用的零信任遠程辦公平臺也獲得客戶的積極評價和認可。
關于聯軟
聯軟科技成立于2003年成立,專注于企業級網絡安全市場,主營業務是為政企客戶提供網絡安全產品和服務。圍繞端點安全、邊界安全和云安全等打造多種產品的綜合安全解決方案。在零信任探索和實踐中,早在2011年,聯軟就推出了基于角色的場景化動態最小授權的RBAC產品;2013年聯軟的EMM產品已經是基于可信接入代理的方式來實現的;2017年推出了基于零信任架構的SDP產品,2019年,聯軟將移動端和PC端的零信任訪問進行了整合,推出了UEM的統一端點管理產品;2020年與華為、竹云等公司形成了零信任的安全生態,并推出了SDA的產品戰略。
同時,聯軟也成為了多項國內零信任標準的制定者,我們擁有CSA的種子級和認證的講師,有Forrester認證的零信任戰略專家。此外,這幾年我們在零信任領域也積累了大量的企事業客戶案例。所以我們的方案也成功入圍了IDC2020年的Innovator,全產品線也入圍了CCSIP的全景圖。聯軟一直致力于推動國內零信任的發展。
