炙手可熱的“零信任”技術(shù)到底如何融入企業(yè)安全建設(shè)？“零信任”是否又能針對(duì)性地解決每一行獨(dú)有的安全痛點(diǎn)，以及企業(yè)如何從0到1搭建基于零信任的安全體系？

近日，由騰訊安全主辦的安全管理者俱樂(lè)部沙龍?jiān)谏钲谟瓉?lái)首場(chǎng)活動(dòng)，匯聚了來(lái)自金融、物流、投研、制造業(yè)、傳媒、航空等行業(yè)的安全代表，圍繞“零信任”話題展開(kāi)談?wù)摚�本次安全管理者俱�?lè)部沙龍創(chuàng)新地設(shè)置了主題分享和分組研討等環(huán)節(jié)，形成了集痛點(diǎn)解析、需求配對(duì)、實(shí)踐分享、成果沉淀等于一體的沙龍模式，為各行各業(yè)加速部署“零信任”提供的案例實(shí)操性的經(jīng)驗(yàn)和前瞻性思考。

主題分享

李維春丨證券行業(yè)零信任場(chǎng)景探討

券商是一個(gè)強(qiáng)監(jiān)管的行業(yè)，要求辦公網(wǎng)和交易網(wǎng)兩張大網(wǎng)有效隔離，每張大網(wǎng)又通過(guò)防火墻隔離出不同的分區(qū)。雖然不同券商具體做法不一樣，但整體大同小異。

在券商行業(yè)有三個(gè)場(chǎng)景可能需要“零信任”技術(shù)：

一是遠(yuǎn)程辦公和外協(xié)人員訪問(wèn)網(wǎng)絡(luò)資源。遠(yuǎn)程辦公情況下，員工經(jīng)常需要使用個(gè)人電腦通過(guò)VPN的形式接入公司網(wǎng)絡(luò)。員工使用個(gè)人電腦沒(méi)有準(zhǔn)入控制的基線，容易引入安全風(fēng)險(xiǎn)。此外，個(gè)人電腦類型繁多，VPN客戶端體驗(yàn)也很差；如果是外協(xié)人員通過(guò)VPN接入網(wǎng)絡(luò)，安全人員無(wú)法掌握和控制其行動(dòng)軌跡，同樣容易引發(fā)安全風(fēng)險(xiǎn)。

二是定制化交易系統(tǒng)。現(xiàn)在很多私募基金投資機(jī)構(gòu)會(huì)自己開(kāi)發(fā)一套交易系統(tǒng)，放到券商的環(huán)境里面，和券商的交易系統(tǒng)對(duì)接。這套系統(tǒng)對(duì)于券商是不透明的，后者不知道它有多少安全漏洞，也不清楚私募基金投資機(jī)構(gòu)通過(guò)自己的防火墻后進(jìn)行了什么操作。

三是整體架構(gòu)。券商的兩張大網(wǎng)之間雖然做了有效隔離，但還是存在大量數(shù)據(jù)交互：有的是接口調(diào)用，有的是設(shè)備、應(yīng)用之間互相訪問(wèn)，有時(shí)是用戶身份訪問(wèn)設(shè)備或應(yīng)用，這些都有可能導(dǎo)致安全隱患。

三大場(chǎng)景中，現(xiàn)有的網(wǎng)絡(luò)架構(gòu)已經(jīng)無(wú)法應(yīng)對(duì)新時(shí)代所帶來(lái)的安全挑戰(zhàn)，如何通過(guò)零信任來(lái)解決證券行業(yè)目前面臨的網(wǎng)絡(luò)安全問(wèn)題、實(shí)現(xiàn)從現(xiàn)有架構(gòu)向零信任架構(gòu)的過(guò)渡，是業(yè)界共同的訴求。

周智堅(jiān)丨一句話說(shuō)清安全與零信任，產(chǎn)業(yè)互聯(lián)下的安全業(yè)務(wù)架構(gòu)

通過(guò)科技將生產(chǎn)資料、設(shè)備和客戶的快速鏈接將使能企業(yè)，企業(yè)生產(chǎn)、經(jīng)營(yíng)和決策將平臺(tái)化、自動(dòng)化化、數(shù)據(jù)化、甚至智能化，這是產(chǎn)業(yè)互聯(lián)接下來(lái)的大趨勢(shì)，不轉(zhuǎn)型的企業(yè)將逐漸被市場(chǎng)淘汰。

產(chǎn)業(yè)互聯(lián)轉(zhuǎn)型的大趨勢(shì)下，信息安全就是生產(chǎn)安全，安全必須融入業(yè)務(wù)。針對(duì)產(chǎn)業(yè)互聯(lián)下企業(yè)的安全訴求，周智堅(jiān)創(chuàng)造性地提出了一套名為“1＋N”的零信任架構(gòu)落地方案：安全業(yè)務(wù)平臺(tái)化運(yùn)行的安全ERP作為核心的“1”，連接各類安全產(chǎn)品，如員工安全、終端安全、身份識(shí)別、權(quán)限管理、自動(dòng)化工具、數(shù)據(jù)安全等基于零信任的安全能力，從而推動(dòng)企業(yè)從傳統(tǒng)網(wǎng)絡(luò)架構(gòu)向零信任網(wǎng)絡(luò)架構(gòu)轉(zhuǎn)型。

“1＋N”零信任架構(gòu)方案的落地，既需要企業(yè)技術(shù)架構(gòu)作為基礎(chǔ)支持以及產(chǎn)品化和技術(shù)化，也需要安全ERP輔助才能產(chǎn)生更好的安全效果。

曹靜丨零信任能力圖譜解讀與應(yīng)用場(chǎng)景探討

零信任是當(dāng)下安全領(lǐng)域的熱門話題，安全廠商紛紛推出了各自的零信任解決方案。百家爭(zhēng)鳴之下，甲方企業(yè)頗有種亂花漸欲迷人眼的感覺(jué)。零信任到底有哪些能力？甲方該如何選擇適合自己的解決方案？

騰訊安全在5月份發(fā)布的《企業(yè)級(jí)零信任能力圖譜》，對(duì)零信任技術(shù)的能力做了詳細(xì)列舉。零信任的核心理念是“沒(méi)有默認(rèn)的信任，只有默認(rèn)的威脅”，零信任不僅可以替換VPN，實(shí)現(xiàn)無(wú)邊界的辦公和運(yùn)維場(chǎng)景，針對(duì)云上業(yè)務(wù)系統(tǒng)的安全訪問(wèn)，零信任可以隱藏互聯(lián)網(wǎng)暴露面進(jìn)而阻斷黑客攻擊。

具體應(yīng)用場(chǎng)景上，目前零信任被廣泛應(yīng)用于東西向安全訪問(wèn)控制、分支機(jī)構(gòu)訪問(wèn)總部、應(yīng)用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務(wù)集中管控、全球鏈路加速訪問(wèn)、物聯(lián)網(wǎng)業(yè)務(wù)場(chǎng)景中。

企業(yè)只有了解零信任建設(shè)的能力目標(biāo)，根據(jù)能力視圖、業(yè)務(wù)優(yōu)先級(jí)規(guī)劃建設(shè)場(chǎng)景路徑，才能分場(chǎng)景、分階段完成零信任整體能力體系的建設(shè)。

嘉賓演講的間隙，為增加沙龍活動(dòng)的趣味性，讓與會(huì)企業(yè)對(duì)自身零信任實(shí)踐水平有更好的認(rèn)識(shí)，主辦方特地邀請(qǐng)現(xiàn)場(chǎng)嘉賓參與了零信任成熟度模型自測(cè)。

分組圓桌研討

主題分享后，沙龍活動(dòng)進(jìn)入備受期待的圓桌討論環(huán)節(jié)。現(xiàn)場(chǎng)參會(huì)的嘉賓來(lái)自各行各業(yè)，每個(gè)行業(yè)都有不同的需求痛點(diǎn)及零信任思路和方法。為了讓與會(huì)嘉賓更好地交流碰撞，從不同視角激蕩出思維的火花，在頭腦風(fēng)暴和開(kāi)放討論中求同存異，圓桌環(huán)節(jié)采用了非常新穎的討論形式——由騰訊安全的兩位安全專家各帶領(lǐng)一組嘉賓分別討論，與會(huì)嘉賓從甲方立項(xiàng)視角和需求視角提出了針對(duì)八大零信任應(yīng)用場(chǎng)景的具體需求。

在傳媒行業(yè)，業(yè)務(wù)場(chǎng)景除了會(huì)涉及多個(gè)業(yè)務(wù)部門外，還包含了混合云的網(wǎng)絡(luò)架構(gòu)。網(wǎng)絡(luò)安全架構(gòu)極為復(fù)雜，其安全建設(shè)的關(guān)鍵痛點(diǎn)之一是：雖然通過(guò)容器化把各類數(shù)據(jù)、資產(chǎn)以及管理配置整合到了一起，但在進(jìn)行單一機(jī)群訪問(wèn)控制時(shí)，會(huì)對(duì)整個(gè)網(wǎng)絡(luò)層的規(guī)劃產(chǎn)生影響。分享嘉賓認(rèn)為，零信任為安全管理工作提供了一個(gè)新的視角和工具，能夠成為未來(lái)網(wǎng)絡(luò)安全管理工作的抓手。

民航領(lǐng)域的安全痛點(diǎn)則是——傳統(tǒng)機(jī)場(chǎng)連接互聯(lián)網(wǎng)的接口很少，可能就有一個(gè)是連接辦公網(wǎng)絡(luò)的。但隨著私營(yíng)機(jī)場(chǎng)的增多，對(duì)接外網(wǎng)的接口也將越來(lái)越多。這意味著暴露接口增多將會(huì)讓機(jī)場(chǎng)更容易受到黑客的攻擊，對(duì)零信任解決方案中的管控對(duì)外端口功能需求旺盛。此外，目前大多數(shù)機(jī)場(chǎng)和空管的外部訪問(wèn)管控，也需要借助零信任來(lái)實(shí)現(xiàn)進(jìn)行南北向、東西向的安全管控。

在垂直行業(yè)之外，對(duì)于企業(yè)普遍存在的安全運(yùn)營(yíng)挑戰(zhàn)，零信任也是一把好手。來(lái)自大型企業(yè)的安全專家認(rèn)為，一直以來(lái)企業(yè)對(duì)于端上的安全管控非常嚴(yán)格，加之使用VPN的情況不多，所以一直以來(lái)所有的VPN都采用白名單制。在今年疫情的影響下，遠(yuǎn)程辦公需求激增，就需要安全運(yùn)營(yíng)團(tuán)隊(duì)手動(dòng)進(jìn)行所有外部訪問(wèn)的權(quán)限控制，導(dǎo)致工作量激增，對(duì)業(yè)務(wù)的時(shí)效性造成了較大影響。如果能夠通過(guò)零信任的動(dòng)態(tài)評(píng)估功能來(lái)進(jìn)行管控的話，不僅能節(jié)約人力成本、提升業(yè)務(wù)效率，還能進(jìn)一步控制安全風(fēng)險(xiǎn)。

分組討論結(jié)束后，兩組各推舉出一位代表對(duì)討論結(jié)果進(jìn)行圓桌成果輸出展示，由裁判組對(duì)兩組嘉賓的分享成果進(jìn)行評(píng)判。

一組成果輸出

零信任的方案落地面臨著三大挑戰(zhàn)：

一是如何說(shuō)服領(lǐng)導(dǎo)，讓他覺(jué)得“零信任”是有好處的。

二是如何讓領(lǐng)導(dǎo)理解零信任和傳統(tǒng)安全的區(qū)別，零信任能解決哪些問(wèn)題。

三是零信任在不同行業(yè)有不同的落地方式，企業(yè)如何找到最適合自己的路徑。

二組成果輸出

零信任的應(yīng)用場(chǎng)景分為三塊——端上的需求、系統(tǒng)側(cè)的需求和鏈路需要。

端上的需求包括Mac地址綁定、賬號(hào)共用、分支機(jī)構(gòu)、個(gè)人設(shè)備綁定BIOD、第三方機(jī)構(gòu)訪問(wèn)、賬號(hào)體系互認(rèn)、網(wǎng)絡(luò)變化、IOT六大塊；系統(tǒng)側(cè)的需求包括東西向、混合云等等。

不難發(fā)現(xiàn)，零信任早已從概念走向各行各業(yè)的安全場(chǎng)景，正在切實(shí)地帶給企業(yè)安全建設(shè)新工具、新理念。這正是騰訊安全舉辦安全管理者俱樂(lè)部沙龍的核心所在，致力于搭建匯聚甲乙雙方視角的技術(shù)交流平臺(tái)，在傳遞安全知識(shí)、實(shí)踐經(jīng)驗(yàn)的同時(shí)，通過(guò)共同交流探討來(lái)探索安全產(chǎn)品在實(shí)際業(yè)務(wù)中的落地場(chǎng)景。

未來(lái)，騰訊安全將持續(xù)釋放自身的技術(shù)、人才與生態(tài)優(yōu)勢(shì)，攜手產(chǎn)業(yè)鏈生態(tài)伙伴共同深入探索零信任在行業(yè)中落地的新場(chǎng)景，持續(xù)完善適用于各行各業(yè)的新型安全機(jī)制，為企業(yè)的數(shù)字化轉(zhuǎn)型進(jìn)程保駕護(hù)航。