许多80、90后的玩家一定听说过红色警戒这款游戏,不同玩家需要操纵苏军、盟军在同一块地图进行厮杀,利用各自的兵种进行作战。作为即时战略游戏RTS(Real-Time Strategy Game)的典范,许多玩家对红色警戒依然保有热情,并积极地参与相关讨论。对于这款游戏,不少玩家表达出了同一个观点,那就是盟军相比苏军,操作起来更加复杂。这是因为盟军军种较为丰富,海、陆、空三军的协作非常重要。
在现代化企业中,数字化转型带来的多异构终端为企业安全带来了巨大的挑战,一方面,终端数量的增加和类型的多样化增加了企业的管理难度;另一方面,移动办公场景的增加使企业难以准确把控管理员工设备,身份验证的缺失为企业带来数据泄露等方面的隐患。这些异构的终端如同游戏内的各个兵种,如何进行统一的管控是伫立在企业数字化转型过程的一道难关。
对此,业界一直在探索终端管理办法,从早期简单的PC端桌面管理和移动端设备管理(MDM),到PC端的终端保护平台(EPP)和企业移动管理(EMM),再到今天的统一终端管理(UEM),终端管理的发展之路已经跨越了几十年。目前,UEM的市场已经越来越大,IDC企业移动研究副总裁Phil Hochmuth曾指出,到2024年,将近3/4的企业将全部或者大部分都在UEM平台上。现在的UEM能够为企业带来哪些帮助?UEM的落地性如何?具备哪些能力才能称得上优秀的UEM解决方案?
UEM是一种通过简单可视的单个控制台保护和控制远端台式计算机、笔记本电脑、智能手机、平板电脑、移动电话、浏览器、存储设备等的方法。
此前,整个终端管理市场经历了数次比较大的变化。第一次是20世纪80-90年代,互联网在全球范围内蓬勃兴起,此时终端管理的核心是防病毒软件;第二次是2000年左右,企业终端管理需求日益增加,除传统的防病毒软件外,加密、数据丢失防护、补丁管理以及访问控制等功能也开始出现在企业终端管理中;第三次是2010年后,面对日新月异的攻击手法,端点检测和响应(EDR)等概念被提出,包含多种检测和保护工具EPP也应运而生,旨在对端点和系统应用进行更有效的保护;第四次则是在2015年后,随着BYOD(携带自己的设备办公 Bring Your Own Device)、可穿戴设备和IoT在企业中快速发展,企业迫切需要在固定设备、移动设备、可穿戴设备等不同种类的终端上,部署统一的终端管理系统。在这样的背景下,UEM的概念被提出。
UEM是企业移动管理(EMM)、移动设备管理(MDM)、客户端软件管理(CMT)以及个人计算机管理(PLM)这四种终端安全管理模式的融合,UEM可以对以上四种模式所对应的非传统与传统终端进行基于身份的精细化访问控制与管理,防止数据泄露,保护终端安全。
根据Gartner的定义,端点安全产业分为两大块,统一终端管理UEM和统一终端安全UES,UEM重点聚焦于终端管控方面的需求。而在中国的安全厂商中,有一家企业始终在Gartner定义的UEM领域内发展,它就是联软科技。
为了探求国内UEM市场的发展现状,安在特别采访了联软科技联合创始人张建耀。据张建耀介绍,联软发展至今已有18年,从2004年公司成立,联软就开始关注网络准入控制方面的技术和产品,联软也是全国最早进入网络准入控制赛道的厂商之一。从2004年到2010年,联软在网络准入领域实现了技术性的突破,其技术能力和方案解决能力领先大部分同类厂商。在2015年左右,联软将其多年沉淀的网络准入控制能力和终端安全相结合,纳入到联软的整体解决方案中。与此同时,联软还不断加入一些新的产品和技术,例如防泄密等等。
联软科技联合创始人张建耀
随着互联网的崛起,移动设备的数量和种类开始丰富,联软抓住了这一趋势,进入移动安全领域,并采用了零信任的理念和架构。2017年前后,联软将PC端的零信任架构和移动端零信任架构进行整合,形成了整体的企业级零信任方案,这也是联软目前最为重要的一个方案。至此,联软拥有了终端一体化的基础,通过数据防泄露、零信任以及后续纳入的魔方安全(专注攻击面管理厂商),联软最终形成了统一的互联网资产安全管理解决方案。
以Gartner的定义来看,联软的发展路径始终遵循着UEM规定的范畴,包括准入终端管控、桌面管理等等。但是,随着零信任的逐渐兴起,行业内出现了另一种声音,那就是将UEM简单地定义为零信任的相关方案。对此,张建耀表示,UEM应该是多种终端管理模式的融合,而非单一解决零信任场景下的终端管控问题,所有涉及到终端管控的方案都属于UEM领域。
UEM的技术架构
那么,联软的UEM又具备哪些优势?张建耀表示,联软的UEM解决方案共分为6个子系统,其中包括准入控制NAC、终端安全管理EPP、数据防泄露DLP、终端检测与响应EDR、企业移动管理EMM以及零信任安全接入SDP。联软将这6个子系统组成了统一的UEM平台,用户可以用一个客户端解决以上所有问题。
通过联软UEM平台,用户可以应对不同的场景,例如在企业内网,可以使用UEM平台启动内网的网络准入控制以及终端安全系统,同时还可以使用DLP对数据进行保护;在外部环境里,用户可以利用联软UEM平台中的SDP能力去检测设备的接入状态,同时将远端访问的数据保存在沙箱中,保障外网接入时的数据安全。联软UEM通过这6个子系统可以适配全网多种场景,最大程度保障用户的使用体验和安全性。
一款优质的安全产品,其落地性也需要足够出色,联软UEM的落地性又如何呢?对此,张建耀表示,联软的UEM产品已经将零信任理念全部涵盖其中,并在这十余年时间里,拥有了大量成功落地的案例。
目前,基于零信任架构的UEM解决方案在落地环节有几个难点。第一是打破边界,软件定义边界与传统的堡垒式防御的网络架构是相悖的,对此,许多企业一方面还认为物理安全是最好的防御手段,另一方面,采用新的边界防御体系会带来很大的成本压力。
第二是终端多样性,目前,企业常用的终端包括PC端的windows、MAC、Linux以及国产信创的设备,移动端包括Andriod、IOS、鸿蒙等等,种类复杂、数量庞大的终端想要一一适配的难度是很大的。
第三是数据安全。在零信任架构中,所有终端都是通过相应的规则访问不同的业务系统,业务系统的数据需要在终端上进行处理、加工、流转。所以,如何保障这方面的数据安全是最大的难题。
对此,张建耀表示,联软的UEM方案能够有效解决以上问题。零信任的安全访问ZTNA和传统的网络准入控制NAC是一脉相承的,它是在云化和移动化的趋势下的网络访问控制框架。作为国内最早进入准入控制赛道的厂商之一,联软将此前的准入控制经验移植到新型的、移动化的网络架构,能够很好的解决无边界、终端多样性和数据安全等核心的问题。
那么,联软UEM方案又能为企业带来哪些助力呢?张建耀表示,联软UEM能够帮助企业数字化转型。企业数字化转型的原因是受到了物联网、5G、云计算等能力的加持,解放了算力的同时,其运转效率和集中能力也变得更强。这也是移动办公和远程办公场景能够出现的基础。联软UEM可以保障企业在远程办公场景时的安全性和适配性,极大程度地提升企业数字化转型的效率。
另一方面,联软UEM还可以帮助企业收敛暴露面。此前,企业业务往往需要对外提供非常多的服务端口,这些端口链接于外网,大大增加了企业遭受攻击的可能,也让企业承担了很重的安全运营压力。采用UEM解决方案后,企业的业务端口隐藏在零信任网关的背后,如果同时启动SPA单包授权功能,其对外的端口也可以全部隐藏,这极大地降低了企业遭受DDoS或暴力破解等网络攻击的风险。
第三,联软UEM可以完全取代VPN。VPN作为过去远程办公场景中的重要组件,它天然易受攻击,并且无法对用户身份及用户行为进行检测。使用联软UEM后,企业可以淘汰传统的VPN体系,解决因使用VPN带来的安全风险,与此同时,还可以利用零信任架构对远程办公权限和身份进行验证,并实时监测终端环境,极大程度保障企业安全。
最后,联软UEM可以保障数据安全,在移动办公场景下,许多设备是BYOD,这些设备在访问企业数据过程中增加了数据泄露的可能。使用联软UEM后,远端访问的数据会存储在沙箱中,在保障数据防泄露的同时还能留痕,最大程度提高运维效率。
目前,联软UEM普遍应用于金融行业、运营商行业、政府机关等。在金融行业中,联软通过将传统的EPP升级为UEM就可以解决金融行业下的终端管理及准入等问题。在运营商中,联软UEM不仅覆盖了其总部,还有其分支机构及线下营业厅,将其进行统一的接入安全管控。政府机关方面,国家信息中心发布了由联软主导编写的全国电子政务外网“一机两用”标准,主要解决了在新场景下,政务外网终端业务系统的应用保护。目前,联软UEM的行业覆盖率及业务量非常庞大,并积累了很多成功实践案例。
关于联软未来的布局情况,张建耀表示,根据Gartner推出的零信任市场成熟曲线图可以看到,我国的零信任市场将会进入过热阶段,然后热度会慢慢下降。目前,中国零信任赛道较为拥挤,其中聚集着三类厂商,首先是传统边界安全厂商,其通过增加模块获得SDP能力;第二是端点准入安全厂商,其在网关侧有大量经验,并结合零信任理念推出相关产品。最后是4A身份安全厂商,其以身份为核心进军零信任赛道。
基于零信任架构的统一终端管理
张建耀认为,最终的幸存者将是这三类厂商中的头部企业,而联软作为端点准入安全领域的佼佼者,其竞争力毋庸置疑。另外,零信任架构下的UEM和传统架构的区别并不大,例如EPP等能力可以直接替换升级。同时,访问控制、端点安全、数据安全等领域是落实零信任的重点和难点,联软此前就已经在这几方面进行了充分地实践,拥有一定的核心优势。最后,联软在生态方面非常开放,目前与华为、安恒、阿里等十多家业内主流安全厂商建立了生态合作关系,并持续输出零信任的能力。
未来,联软将继续布局数据安全能力。在企业安全无边界已然成为必然趋势的情况下,企业数据安全所面临的风险和挑战也越来越大,联软将直面这些挑战,最大程度保障企业数据安全。同时,联软还会持续关注当前最为火热的勒索攻击,并积极探索防备勒索攻击的解决方案。最后,联软会向原生安全发展,将其多年积累的原生安全能力赋能到产品和用户中,帮助用户将应用向移动化迁移,切实推动企业的数字化转型进程。
尾声
经过对联软科技张建耀的采访,笔者对UEM所涵盖的领域以及UEM产品应该具备的能力已经有了初步的认知。在企业数字化转型过程中,能否有一种更简单、便捷的方式来管理好日益增加的终端,这个问题已经由联软给出了答案。11月30日,沙利文联合联软于线上发布《中国UEM统一终端管理市场研究报告》,看到联软于终端管理方面的进一步布局,也期待联软能够为行业提供更丰富、更安全的产品。
——本文转载自“安在”