2021年10月11日至17日,国家网络安全宣传周重要活动在陕西西安举行,举办网络安全宣传周,提升全民网络安全意识和技能,是国家网络安全工作的重要内容。
(主会场)
在本次网安周,由华为承办的“零信任安全实践”主题分论坛,邀请了行业内众多零信任安全专家与厂商,共同探讨零信任与现有安全架构、数字经济发展等多种话题。联软科技受邀出席零信任安全实践分论坛,分享了端点安全在零信任体系中的重要性。
作为国内端点安全领域的领导者是如何成为国内零信任领导厂商之一的?以下是演讲主要内容:
零信任从提出到走向成熟
随着新兴技术的发展,以传统网络为中心的基于边界的防护体系正在瓦解或逐渐失效,零信任的安全模型正在被逐渐探索、完善、普及和应用中,服务于多个行业和领域。2010年Forrester的分析师首次提出零信任的概念,在11年的中,零信任的发展之路充满了各种理论和实践。例如,在理论上CSA提出SDP、Forrester提出ZTX、Gartner提出ZTNA、NIST都提出了ZTA的理论框架,而实践方面最著名的当属Google的BeyondCorp项目,历经6年最终成功落地。
端点安全与零信任的关系
零信任安全体系的搭建是一个十分庞大的体系,端点安全和零信任又有什么关系?没有端点安全的零信任注定是失败的。在NIST的ZTA零信任架构中阐述了从主体到资源的访问控制过程,如果说Forrester的ZTX模型比较抽象的话,那NIST的模型更像一个网络架构图。左边这个图是去年三月份发布的草案,该架构分为核心组件和支撑性组件,核心组件主要有PE、PA和PEP三个组件构成,而支撑性组件包含身份、有日志、情报、数据访问策略、CDM、SIEM等众多因素;而右边的是时隔半年发布的正式版,相比较旧版,正式版的核心组件依旧保持不变,而支撑性组件则换成了4个功能组件,分别是端点安全、数据安全、身份和安全分析。正式版更加清晰,也更加具备落地性。
在Gartner关于零信任的描述中,左边是Gartner非常著名终端安全的技术成熟曲线,UEM、ZTNA等与零信任相关技术都属于端点安全的范畴内,2020年起,由于疫情的影响,很多的互联网公司已经宣布永久性的在家办公,BYOPC也成为了热点技术,这也推动了零信任的发展。此外,在2020年,Gartner的ZTNA市场指南中提出了ZTNA的建设指南,其中最重要的四个关键点都与与端点安全相关的。
在由华为安全联盟委托Forrester进行的调研报告中,从208名来自政府、金融行业、交通物流行业和医疗卫生行业的中国大中型企业及机构信息安全决策者的调研中,我们可以看到终端安全是大多数受访者都一致选择了终端安全作为零信任体系建设的首要目标。
企业端点安全建设的三大难点
既然端点安全在整个零信任框架中这么重要,企业端点安全建设有哪些难点呢?联软在端点安全领域耕耘已经有18年,总结了三大难点:
●第一:全面性。终端安全的范畴很广,包括防病毒、准入控制、桌管、dlp、水印、edr、补丁、EMM、CWPP、移动存储介质管理等等,如果企业要进行零信任安全架构,是否要再装一个Agent,大部分企业是存疑或者拒绝的,而且大量的Agent也会导致终端资源浪费、管理上异常复杂,出了问题没法定位等难点。
●第二:兼容性。随着技术业务的发展,终端类型越来越多,PC、手机、平板、物联网终端等,加上鸿蒙等国产操作系统等,端点安全的搭建要求安全厂商的技术储备较高,必须对操作系统的底层原理要有深刻的理解和多年实践,具备底层核心内核级别开发的能力,最大程度的保障产品的兼容性和稳定性等。这些都是靠厂商长期积累的能力,也是端点安全厂商最大的技术壁垒,从联软的经验来说,一家做端点安全的厂商,产品要成熟至少需要5~8年的时间。
●第三,可视化。终端类型的多样化,导致了需要对全网的资产及变更做快速定位非常的难,出现问题能够第一时间感知,第一时间监控、告警、处置,并通过可视化来实现快速响应。
联软与华为零信任为客户提供一体化的端点安全
2020年8月,联软由于在端点安全领域的超强能力,有幸加入了华为安全商业联盟,在合作中共同促进产业发展,提供全网协同的立体防御体系。
联软提供的是终端安全一体化的能力,通过终端安全管理模块,保障终端可管;通过网络准入控制,保障身份可信,通过终端EDR,保障入侵可防;通过终端DLP,保证数据可控。从体检、到入网、到检查响应,最终围绕着数据的保护,构成了端点安全的平台。该平台有三大特性:第一是功能全面,一个后台,一个Agent,解决所有的端点安全的问题;第二是极简运维,单台服务器可以管控15万+的设备;第三,与华为VPN、交换机产品无缝的集成,未来华为的VPN Client由联软提供,与华为的园区网NCE Campus完美对接,实现网络准入控制。
联软的产品在华为的整个零信任方案中主要有两大组件,一个是终端环境感知,一个是SDP的控制器。终端环境感知能力主要就是端点上的身份验证和风险评估,以及端点上的数据采集和分析、数据安全等能力,SDP控制器,主要是集成了SPA等单包授权,以及网络访问授权和策略控制的能力。
终端的环境感知能力:首先是进行终端的安全评分,包括物理环境、安全环境、安全基线及安全事件等四个维度,对终端的安全进行评分;然后是全面身份化的身份识别,这里又包含了人员、设备和应用三个维度的身份标识;通过安全评估和身份标识,就可以计算出该访问的信任等级,从而实现对资源的动态授权。
持续的信任评估:零信任架构中的有别于传统访问控制架构的一个特性。当一台设备完成了安全和身份的双重评估后,终端上会对他的环境和身份进行持续的监测,一旦发现环境或身份发生变化的时候,例如从不同的物理位置接入、或更换了不同的浏览器等,这种变更就会触发授权的变更,需要降低信任等级,甚至是有些时候需要触发增强认证流程,比如通过短信验证,或者手机扫码验证等方式再次确认身份。
通过上述零信任架构如何实现数据安全?终端设备需要存储和处理超过80%的企业数据,如何保护好终端上的数据,也是零信任安全最难于解决的难题。联软的第二个非常重要的能力就是终端的DLP。无论是移动设备还是在PC上都实现了数据的隔离,对落到终端上的数据进行加密的存储,通过加密隧道对传输中的数据进行保护,从而实现数据的不落地。对需要外发的数据进行DLP的管控,通过水印对文档进行追踪。通过以上的技术手段实现了端到端的数据安全保护。
最后一个能力是联软的EDR与华为的Hisec Insight联动。联软的EDR可以在终端上采集18大类,336小类的信息,这就给Hisec的安全大脑提供强大的数据支撑,可以对攻击行为进行取证和还原;EDR还可以和华为的沙箱进行联动,对终端上的一些可疑文件进行分析,从而有效的识别APT的攻击行为;此外,EDR还可以成为Hisec的手和脚,对终端上的异常行为进行精准的处置。通过与EDR的联动可以实现对零信任的安全分析。
在华为的零信任能够实现的四大场景增加了联软的端点能力后,整个零信任就能覆盖更多的场景。
●第一,可以联动华为的交换机,对企业内网设备进行网络准入控制和持续的安全评估和身份验证;
●第二,远程办公的场景,BYOD和企业配发的设备都可以实现零信任的远程接入;
●第三,BYOD设备在企业内网的接入场景;
●第四,跨网访问的场景,政府及许多企业有大量的“单网通”的需求,就是希望通过一个终端能够访问不同的安全域,这个场景过去最大的难点在于数据安全问题,目前联软可以通过多域安全沙箱的方式来完美的解决;
●第五,多云、多数据中心的访问场景,简单的说,就是Any to Any,这个场景是零信任整套方案最大的优势,软件定义访问,按需访问,是零信任安全实施的终极解决方案。
目前这些场景,联软已经在金融、证券等很多客户落实实施,去年疫情期间,联软帮助网联清算实现了安全的远程办公,联软团队仅花费2天时间就在客户现场快速的部署上线系统,及时满足客户远程安全办公需求,同时联软在某大型券商使用的零信任远程办公平台也获得客户的积极评价和认可。
关于联软
联软科技成立于2003年成立,专注于企业级网络安全市场,主营业务是为政企客户提供网络安全产品和服务。围绕端点安全、边界安全和云安全等打造多种产品的综合安全解决方案。在零信任探索和实践中,早在2011年,联软就推出了基于角色的场景化动态最小授权的RBAC产品;2013年联软的EMM产品已经是基于可信接入代理的方式来实现的;2017年推出了基于零信任架构的SDP产品,2019年,联软将移动端和PC端的零信任访问进行了整合,推出了UEM的统一端点管理产品;2020年与华为、竹云等公司形成了零信任的安全生态,并推出了SDA的产品战略。
同时,联软也成为了多项国内零信任标准的制定者,我们拥有CSA的种子级和认证的讲师,有Forrester认证的零信任战略专家。此外,这几年我们在零信任领域也积累了大量的企事业客户案例。所以我们的方案也成功入围了IDC2020年的Innovator,全产品线也入围了CCSIP的全景图。联软一直致力于推动国内零信任的发展。