2021年10月11日至17日，國家網(wǎng)絡(luò)安全宣傳周重要活動在陜西西安舉行，舉辦網(wǎng)絡(luò)安全宣傳周，提升全民網(wǎng)絡(luò)安全意識和技能，是國家網(wǎng)絡(luò)安全工作的重要內(nèi)容。

（主會場）

在本次網(wǎng)安周，由華為承辦的“零信任安全實踐”主題分論壇，邀請了行業(yè)內(nèi)眾多零信任安全專家與廠商，共同探討零信任與現(xiàn)有安全架構(gòu)、數(shù)字經(jīng)濟發(fā)展等多種話題。聯(lián)軟科技受邀出席零信任安全實踐分論壇，分享了端點安全在零信任體系中的重要性。

作為國內(nèi)端點安全領(lǐng)域的領(lǐng)導(dǎo)者是如何成為國內(nèi)零信任領(lǐng)導(dǎo)廠商之一的？以下是演講主要內(nèi)容：

零信任從提出到走向成熟

隨著新興技術(shù)的發(fā)展，以傳統(tǒng)網(wǎng)絡(luò)為中心的基于邊界的防護體系正在瓦解或逐漸失效，零信任的安全模型正在被逐漸探索、完善、普及和應(yīng)用中，服務(wù)于多個行業(yè)和領(lǐng)域。2010年Forrester的分析師首次提出零信任的概念，在11年的中，零信任的發(fā)展之路充滿了各種理論和實踐。例如，在理論上CSA提出SDP、Forrester提出ZTX、Gartner提出ZTNA、NIST都提出了ZTA的理論框架，而實踐方面最著名的當(dāng)屬Google的BeyondCorp項目，歷經(jīng)6年最終成功落地。

端點安全與零信任的關(guān)系

零信任安全體系的搭建是一個十分龐大的體系，端點安全和零信任又有什么關(guān)系？沒有端點安全的零信任注定是失敗的。在NIST的ZTA零信任架構(gòu)中闡述了從主體到資源的訪問控制過程，如果說Forrester的ZTX模型比較抽象的話，那NIST的模型更像一個網(wǎng)絡(luò)架構(gòu)圖。左邊這個圖是去年三月份發(fā)布的草案，該架構(gòu)分為核心組件和支撐性組件，核心組件主要有PE、PA和PEP三個組件構(gòu)成，而支撐性組件包含身份、有日志、情報、數(shù)據(jù)訪問策略、CDM、SIEM等眾多因素；而右邊的是時隔半年發(fā)布的正式版，相比較舊版，正式版的核心組件依舊保持不變，而支撐性組件則換成了4個功能組件，分別是端點安全、數(shù)據(jù)安全、身份和安全分析。正式版更加清晰，也更加具備落地性。

在Gartner關(guān)于零信任的描述中，左邊是Gartner非常著名終端安全的技術(shù)成熟曲線，UEM、ZTNA等與零信任相關(guān)技術(shù)都屬于端點安全的范疇內(nèi)，2020年起，由于疫情的影響，很多的互聯(lián)網(wǎng)公司已經(jīng)宣布永久性的在家辦公，BYOPC也成為了熱點技術(shù)，這也推動了零信任的發(fā)展。此外，在2020年，Gartner的ZTNA市場指南中提出了ZTNA的建設(shè)指南，其中最重要的四個關(guān)鍵點都與與端點安全相關(guān)的。

在由華為安全聯(lián)盟委托Forrester進(jìn)行的調(diào)研報告中，從208名來自政府、金融行業(yè)、交通物流行業(yè)和醫(yī)療衛(wèi)生行業(yè)的中國大中型企業(yè)及機構(gòu)信息安全決策者的調(diào)研中，我們可以看到終端安全是大多數(shù)受訪者都一致選擇了終端安全作為零信任體系建設(shè)的首要目標(biāo)。

企業(yè)端點安全建設(shè)的三大難點

既然端點安全在整個零信任框架中這么重要，企業(yè)端點安全建設(shè)有哪些難點呢？聯(lián)軟在端點安全領(lǐng)域耕耘已經(jīng)有18年，總結(jié)了三大難點：

●第一：全面性。終端安全的范疇很廣，包括防病毒、準(zhǔn)入控制、桌管、dlp、水印、edr、補丁、EMM、CWPP、移動存儲介質(zhì)管理等等，如果企業(yè)要進(jìn)行零信任安全架構(gòu)，是否要再裝一個Agent，大部分企業(yè)是存疑或者拒絕的，而且大量的Agent也會導(dǎo)致終端資源浪費、管理上異常復(fù)雜，出了問題沒法定位等難點。

●第二：兼容性。隨著技術(shù)業(yè)務(wù)的發(fā)展，終端類型越來越多，PC、手機、平板、物聯(lián)網(wǎng)終端等，加上鴻蒙等國產(chǎn)操作系統(tǒng)等，端點安全的搭建要求安全廠商的技術(shù)儲備較高，必須對操作系統(tǒng)的底層原理要有深刻的理解和多年實踐，具備底層核心內(nèi)核級別開發(fā)的能力，最大程度的保障產(chǎn)品的兼容性和穩(wěn)定性等。這些都是靠廠商長期積累的能力，也是端點安全廠商最大的技術(shù)壁壘，從聯(lián)軟的經(jīng)驗來說，一家做端點安全的廠商，產(chǎn)品要成熟至少需要5~8年的時間。

●第三，可視化。終端類型的多樣化，導(dǎo)致了需要對全網(wǎng)的資產(chǎn)及變更做快速定位非常的難，出現(xiàn)問題能夠第一時間感知，第一時間監(jiān)控、告警、處置，并通過可視化來實現(xiàn)快速響應(yīng)。

聯(lián)軟與華為零信任為客戶提供一體化的端點安全

2020年8月，聯(lián)軟由于在端點安全領(lǐng)域的超強能力，有幸加入了華為安全商業(yè)聯(lián)盟，在合作中共同促進(jìn)產(chǎn)業(yè)發(fā)展，提供全網(wǎng)協(xié)同的立體防御體系。

聯(lián)軟提供的是終端安全一體化的能力，通過終端安全管理模塊，保障終端可管；通過網(wǎng)絡(luò)準(zhǔn)入控制，保障身份可信，通過終端EDR，保障入侵可防；通過終端DLP，保證數(shù)據(jù)可控。從體檢、到入網(wǎng)、到檢查響應(yīng)，最終圍繞著數(shù)據(jù)的保護，構(gòu)成了端點安全的平臺。該平臺有三大特性：第一是功能全面，一個后臺，一個Agent，解決所有的端點安全的問題；第二是極簡運維，單臺服務(wù)器可以管控15萬+的設(shè)備；第三，與華為VPN、交換機產(chǎn)品無縫的集成，未來華為的VPN Client由聯(lián)軟提供，與華為的園區(qū)網(wǎng)NCE Campus完美對接，實現(xiàn)網(wǎng)絡(luò)準(zhǔn)入控制。

聯(lián)軟的產(chǎn)品在華為的整個零信任方案中主要有兩大組件，一個是終端環(huán)境感知，一個是SDP的控制器。終端環(huán)境感知能力主要就是端點上的身份驗證和風(fēng)險評估，以及端點上的數(shù)據(jù)采集和分析、數(shù)據(jù)安全等能力，SDP控制器，主要是集成了SPA等單包授權(quán)，以及網(wǎng)絡(luò)訪問授權(quán)和策略控制的能力。

終端的環(huán)境感知能力：首先是進(jìn)行終端的安全評分，包括物理環(huán)境、安全環(huán)境、安全基線及安全事件等四個維度，對終端的安全進(jìn)行評分；然后是全面身份化的身份識別，這里又包含了人員、設(shè)備和應(yīng)用三個維度的身份標(biāo)識；通過安全評估和身份標(biāo)識，就可以計算出該訪問的信任等級，從而實現(xiàn)對資源的動態(tài)授權(quán)。

持續(xù)的信任評估：零信任架構(gòu)中的有別于傳統(tǒng)訪問控制架構(gòu)的一個特性。當(dāng)一臺設(shè)備完成了安全和身份的雙重評估后，終端上會對他的環(huán)境和身份進(jìn)行持續(xù)的監(jiān)測，一旦發(fā)現(xiàn)環(huán)境或身份發(fā)生變化的時候，例如從不同的物理位置接入、或更換了不同的瀏覽器等，這種變更就會觸發(fā)授權(quán)的變更，需要降低信任等級，甚至是有些時候需要觸發(fā)增強認(rèn)證流程，比如通過短信驗證，或者手機掃碼驗證等方式再次確認(rèn)身份。

通過上述零信任架構(gòu)如何實現(xiàn)數(shù)據(jù)安全？終端設(shè)備需要存儲和處理超過80%的企業(yè)數(shù)據(jù)，如何保護好終端上的數(shù)據(jù)，也是零信任安全最難于解決的難題。聯(lián)軟的第二個非常重要的能力就是終端的DLP。無論是移動設(shè)備還是在PC上都實現(xiàn)了數(shù)據(jù)的隔離，對落到終端上的數(shù)據(jù)進(jìn)行加密的存儲，通過加密隧道對傳輸中的數(shù)據(jù)進(jìn)行保護，從而實現(xiàn)數(shù)據(jù)的不落地。對需要外發(fā)的數(shù)據(jù)進(jìn)行DLP的管控，通過水印對文檔進(jìn)行追蹤。通過以上的技術(shù)手段實現(xiàn)了端到端的數(shù)據(jù)安全保護。

最后一個能力是聯(lián)軟的EDR與華為的Hisec Insight聯(lián)動。聯(lián)軟的EDR可以在終端上采集18大類，336小類的信息，這就給Hisec的安全大腦提供強大的數(shù)據(jù)支撐，可以對攻擊行為進(jìn)行取證和還原；EDR還可以和華為的沙箱進(jìn)行聯(lián)動，對終端上的一些可疑文件進(jìn)行分析，從而有效的識別APT的攻擊行為；此外，EDR還可以成為Hisec的手和腳，對終端上的異常行為進(jìn)行精準(zhǔn)的處置。通過與EDR的聯(lián)動可以實現(xiàn)對零信任的安全分析。

在華為的零信任能夠?qū)崿F(xiàn)的四大場景增加了聯(lián)軟的端點能力后，整個零信任就能覆蓋更多的場景。

●第一，可以聯(lián)動華為的交換機，對企業(yè)內(nèi)網(wǎng)設(shè)備進(jìn)行網(wǎng)絡(luò)準(zhǔn)入控制和持續(xù)的安全評估和身份驗證；

●第二，遠(yuǎn)程辦公的場景，BYOD和企業(yè)配發(fā)的設(shè)備都可以實現(xiàn)零信任的遠(yuǎn)程接入；

●第三，BYOD設(shè)備在企業(yè)內(nèi)網(wǎng)的接入場景；

●第四，跨網(wǎng)訪問的場景，政府及許多企業(yè)有大量的“單網(wǎng)通”的需求，就是希望通過一個終端能夠訪問不同的安全域，這個場景過去最大的難點在于數(shù)據(jù)安全問題，目前聯(lián)軟可以通過多域安全沙箱的方式來完美的解決；

●第五，多云、多數(shù)據(jù)中心的訪問場景，簡單的說，就是Any to Any，這個場景是零信任整套方案最大的優(yōu)勢，軟件定義訪問，按需訪問，是零信任安全實施的終極解決方案。

目前這些場景，聯(lián)軟已經(jīng)在金融、證券等很多客戶落實實施，去年疫情期間，聯(lián)軟幫助網(wǎng)聯(lián)清算實現(xiàn)了安全的遠(yuǎn)程辦公，聯(lián)軟團隊僅花費2天時間就在客戶現(xiàn)場快速的部署上線系統(tǒng)，及時滿足客戶遠(yuǎn)程安全辦公需求，同時聯(lián)軟在某大型券商使用的零信任遠(yuǎn)程辦公平臺也獲得客戶的積極評價和認(rèn)可。

關(guān)于聯(lián)軟

聯(lián)軟科技成立于2003年成立，專注于企業(yè)級網(wǎng)絡(luò)安全市場，主營業(yè)務(wù)是為政企客戶提供網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。圍繞端點安全、邊界安全和云安全等打造多種產(chǎn)品的綜合安全解決方案。在零信任探索和實踐中，早在2011年，聯(lián)軟就推出了基于角色的場景化動態(tài)最小授權(quán)的RBAC產(chǎn)品；2013年聯(lián)軟的EMM產(chǎn)品已經(jīng)是基于可信接入代理的方式來實現(xiàn)的；2017年推出了基于零信任架構(gòu)的SDP產(chǎn)品，2019年，聯(lián)軟將移動端和PC端的零信任訪問進(jìn)行了整合，推出了UEM的統(tǒng)一端點管理產(chǎn)品；2020年與華為、竹云等公司形成了零信任的安全生態(tài)，并推出了SDA的產(chǎn)品戰(zhàn)略。

同時，聯(lián)軟也成為了多項國內(nèi)零信任標(biāo)準(zhǔn)的制定者，我們擁有CSA的種子級和認(rèn)證的講師，有Forrester認(rèn)證的零信任戰(zhàn)略專家。此外，這幾年我們在零信任領(lǐng)域也積累了大量的企事業(yè)客戶案例。所以我們的方案也成功入圍了IDC2020年的Innovator，全產(chǎn)品線也入圍了CCSIP的全景圖。聯(lián)軟一直致力于推動國內(nèi)零信任的發(fā)展。