深信服科技联合 CIO 时代举办的「落地有声 · 第二届零信任用户分享大会」11 月 4 日在杭州如约举办。
深信服科技联合 CIO 时代举办的「落地有声 · 第二届零信任用户分享大会」11 月 4 日在杭州如约举办。
会上, 深信服邀请了数世咨询创始人李少鹏、权威咨询机构 IDC 研究总监王军民、北汽福田集团基础设施及信息安全负责人张志强、中信建投证券信息技术部安全管理组副总裁吴冰、吉利控股集团 IT 中心 CTO/吉利汽车集团数字化中心总监郑金伟、深信服 CIO 张武健、深信服安全业务副总裁/零信任业务负责人周智坚出席大会, 分享零信任落地过程中的思考与心得。
△主持嘉宾:数世咨询创始人 李少鹏
数字世界 信任需要零信任
王军民 IDC 咨询有限公司研究总监
数字化优先时代来临, 规模创新朝着持续化、情境化、实时化发展。面对安全挑战持续升级, 零信任已成为向好发展驱动因素。
据最新报告《IDC MarketScape: 中国零信任网络访问解决方案,2022 年厂商评估》, 中国零信任网络访问解决方案市场进入高速发展期, 百花齐放的背后呈现六大趋势:
1.「产品+服务」组合落地将成为标配。
2. 云原生/服务敏捷/便捷等将推动云化部署节奏。
3. 智能化、自动化将从概念部署向应用部署过渡。
4. 零信任网络访问和零信任边缘将实现方案融合。
5. 场景化、行业化解决方案市场潜力大。
6. 零信任解决方案将向保护数据安全的方向发展。
对此, 如何选择方案提供商, 王军民以权威客观视角, 给到用户详实建议:
1. 关注提供商对方案的体系化、阶段化建设能力。
2. 关注提供商综合能力及技术能力。
3. 关注提供商的数据安全访问体系建设规划能力。
4. 关注提供商的安全服务体系建设。
从零开始, 构建安全远程办公新场景
张志强 北汽福田集团基础设施及信息安全负责人
数字化转型背景下, 北汽福田对 IT 提出了更高要求——「提供高效、安全、稳定、便捷的基础设施」。尤其是传统办公方式已经不适应数字化时代的发展, 面对超 2 万名员工、6000+最高并发、超 200 万次月均攻击, 为保障员工随时随地安全接入, 北汽福田采用零信任满足远程办公常态化的安全需求。
零信任不仅为北汽福田带来了有效安全保障, 还让体验更加简单省心。「以往, 访问采购管理系统, 需要先拨 VPN, 再打开手机 APP, 操作繁琐;现在, 在零信任架构下, 访问控制系统可以与第三方通讯软件原生集成。」
「采用深信服零信任 aTrust 替换 VPN, 只是北汽福田走进零信任的第一步。」千里之行始于足下, 规划好阶段化建设路径, 未来, 北汽福田将持续深入探索远程运维、内网应用通信等场景。
构建数字化转型安全底座:稳步推进零信任落地
吴冰 中信建投证券信息技术部安全管理组副总裁
证券行业数字化转型, 带来办公体验的无边界化。IT 基础设施云化、容器化, 业务上云、微服务化使传统以安全域划分、边界防护的理念受到怀疑。
在保障安全刚需切入点的同时, 要提升用户体验, 进行整体布局, 中信建投证券选择进行零信任改造。
根据整体落地路径规划, 基于身份访问控制、终端安全沙箱和数据分级保护技术, 中信建投证券先行保护高风险场景 (移动端开发安全、外包人员开发测试), 收敛互联网暴露面, 防止数据泄露。
目前, 中信建投证券全面推进取消办公类系统的互联网入口, 实现 13000+员工随时随地安全办公。
「零信任架构搭建完成后, 我们将结合数据资产信息, 提升零信任安全运营能力。」未来, 中信建投证券将实现增强访问行为分析和持续信任评估能力, 基于风险构建自动化处置, 有效阻断潜在威胁。
对话大咖
零信任落地难题, 一场对话来解答
本次大会特别开设「对话大咖」环节, 前期通过线上征集问题, 有 3 位正在落地零信任或有意向落地零信任的用户, 提出了高质量问题, 并到现场与嘉宾们面对面交流, 现场交流氛围热烈。
Q1 针对内部应用的安全, 除了依赖零信任以外, 还需配合哪些产品?
吉利控股集团 IT 中心 CTO/吉利汽车集团数字化中心总监 郑金伟:对于终端管控来说, 吉利在这方面的实践分三种情况, 一是针对企业自有终端, 可以结合零信任 SDP、直连网关 DGW 的产品, 二是 BYOD 设备, 可以通过桌面云 VDI、沙箱等, 保证数据不落地;三是考虑对设备的管控, 把包括网络准入、杀毒几个终端整合, 形成一个终端 All In One 的产品。
深信服 CIO 张武健:怎么把安全进行体系化建设? 我们去年提出「平台+组件+服务」的战略方针, 其中 ZTA 平台解决以身份为中心的细粒度访问控制。随着深信服数字化转型发展, 应用和终端数量迎来双爆发, 安全漏洞不可避免, 我们认为「终端是不可信的」, 风险很难控制, 因此不仅要收缩业务暴露面, 还要收缩内网接入终端细粒度管控。我们除了实现全办公网零信任改造外, 还在研发内网结合 SDP+VDI+DGW+UEM 沙箱等, 形成了一整套零信任解决方案。
Q2 集团工厂设备多、点位多, 如何通过零信任, 做好精细化、细粒度的访问控制?
北汽福田集团基础设施及信息安全负责人 张志强:在工业 4.0 与数字化转型驱动下, 我们的互联网和工业网打通, 机器人等相关设备几乎是国外的, 工程师需要远程接入内网进行参数校验。以前用 VPN 打通隧道, 一是看不到人员进入内网的行为, 也无法追踪;二是人员获得权限较大大, 无法细粒度管控。2021 年我们引入零信任之后, 管理员通过可视化平台, 做资源和身份的匹配。另外, 我们还建立工控 DMZ 区, 在物理范围内管控人员权限。这背后更多还是在运营, 把工控信息安全运营纳入信息安全运营体系, 对信息安全做整体判断和处理。
深信服安全业务副总裁/零信任业务负责人 周智坚:零信任提供两种能力:一是事前隔离控制, 不管是工业网、办公网、互联网, 资产和数据有很多历史遗留问题, 没办法通过改造架构来解决, 因此需要零信任做隔离控制和细粒度控制, 补齐短板;二是可视化和联动, 能够看到整个资产访问活动过程中的风险, 帮助安全团队进行管理和分析, 以及异常的联动处置。同时, 落地零信任需要分阶段、分场景, 从远程办公到内外网混合办公等, 如果缺乏整体规划, 隔离控制、风险管理就很割裂, 因此要选好一个生态开放兼容的平台, 往数字化安全方向走。
Q3 为何大部分企业选择从 SDP 替代 VPN 的方式切入去做零信任建设? 我们应当如何选择零信任落地技术路径?
北汽福田集团基础设施及信息安全负责人 张志强:我们选择从 SDP 切入做零信任, 是因为对业务的挑战更小, 除了满足远程安全接入的需求, 能实现细粒度访问控制, 还能满足研发远程接入的性能要求。从耗费资源和时间的角度, 我们选择用最容易的手段, 让决策层直观感受到零信任所带来的的好处。因此我们用深信服零信任 aTrust 替换 VPN 是一个很轻松的过程, 只花费 2 个月就完成替换。
深信服 CIO 张武健:作为第一个吃螃蟹的人, 深信服全网落地零信任, 看起来很轻松, 但过程很曲折。我们做零信任改造分三个阶段, 一是 PC 到 Server, 二是从 VDI 到 Server, 三是从 Server 到 Server。其中第一阶段最为重要, 以收敛身份为前提的访问控制, 也控制住大部分风险。基于过去 SSL VPN 产品积累的技术优势, 深信服选择 SDP 这条技术路径, 不管从安全还是运维收益来说, 都是最简单有效和容易成功的。
在产业数字化升级和业务上云的趋势下, 传统基于边界的安全防护理念难以应对企业面临的各类安全风险, 以「持续验证, 永不信任」为核心的零信任作为解决云网边界消弭、重塑企业安全体系的新方式, 逐渐成为企业数字化转型的必选项。
如今, 零信任已从概念走向落地, 并且在国内涌现出一批优秀实践单位。与此同时, 不少企业则仍处在探索阶段, 希望学习业内先进落地经验, 以加快自身零信任落地的速度、少走弯路。
在此背景下, 深信服科技联合 CIO 时代举办的「落地有声 · 第二届零信任用户分享大会」, 为广大用户打造一年一度的零信任优秀经验分享平台, 传递零信任成功落地秘诀。
零信任落地道阻且长, 深信服科技以一场干货满满的用户分享大会, 诠释「致力于让所有用户「安全领先一步」」。
来源:互联网
