数字经济时代,传统网络安全边界消弭,内外部安全威胁持续增加,基于零信任构建企业安全治理体系已成为不少企业、机构的共识。但作为一种安全理念,如何将零信任落地到企业的具体业务场景,构建起企业安全的护城河,业界仍存在不少困惑与分歧。
5月14日,以“以零信任 重建信任”为主题的零信任发展趋势论坛在上海举行。会议的圆桌环节,在北京赛博英杰科技有限公司创始人兼董事长谭晓生的主持下,CSA大中华区研究院副院长贾良玉、天融信科技集团高级副总裁杨斌、腾讯企业IT部企业安全中心高级总监蔡晨、葛兰素史克信息安全总监顾伟、中国移动设计院网信安全产品部咨询研发总监张晨五位行业大咖,围绕零信任的具体落地路径展开了深入的交流与碰撞,为企业依托零信任构建安全治理体系提供了方向与路径指引。
以下是圆桌对话摘要:
谭晓生:今天到场的五位嘉宾所代表的企业都很典型,葛兰素史克的顾总是典型的甲方客户;腾讯从2016年开始作为甲方在内部实施零信任解决方案,现在又把自己的技术和经验转化成乙方的解决方案;贾院长和中国移动曾经在标准制定方面做了比较多的工作,而天融信是典型的厂商代表。今天我们首先将葛兰素史克作为客户来剖析,看看它遇到了哪些痛点,希望通过零信任来解决哪些问题。
顾伟:主要有三个方面:
一是数据安全。随着《网络安全法》等法律法规出台,外资企业在国内面临着越来越大的安全合规压力。全球化业务的发展造成了数据跨境的未知风险,为了让中国的业务独立、健康运营,我们正在思考建立一套既能把数据留在国内,又能让国外用户访问的数据安全管理体系。
二是远程办公。在疫情还没有得到完全控制的情况下,远程办公需求依旧旺盛。
三是第三方协同。葛兰素史克的很多业务需要第三方合作伙伴远程协同,如何在赋予他们权限的同时,做好工作负载的细节化控制和南北向的安全访问控制等也是我们面临的一大挑战。
谭晓生:顾总提到了三种典型场景——数据安全、远程办公和第三方协同。中国移动对葛兰素史克的痛点和需求是怎样分析的,零信任可以怎样帮助它解决问题。
张晨:葛兰素史克的数据安全需求和中国移动正在提的“数据不能离网”有很大相似性。中国移动尝试各种各样的数据安全或者数据共享方案,也是希望关键数据符合国家相关法律要求:一方面发挥数据的价值,一方面不触碰法律红线,侵犯用户隐私。
我们很需要零信任这样一种技术,帮助掌握内部员工使用数据时发生了什么,以及出现违规使用数据的行为时,企业是否按照相应机制进行了阻拦和应急处理。我们希望通过这样一个充分完整的证据链,尽到数据保护的义务。
谭晓生:葛兰素史克所提到的三种场景下的问题,天融信的产品能否解决?
杨斌:我们在设计产品和方案时,针对数据安全主要从三个方面着手:一是强调应用和数据分离;二是在应用和数据中间有一个API网关,专门做数据级的校验和权限控制;三是在终端侧可以对用户行为进行感知,比如在什么时间点访问了哪些数据。一旦检测到异常行为,系统便会自动告警。
谭晓生:针对葛兰素史克遇到的问题,腾讯有哪些比较好的应对办法?
蔡晨:在腾讯看来,零信任是一种理念,是一个能够在未来长期有效解决现有安全问题的通用方法论。沿着这一理念,不同行业和企业根据其特性和管理风格,会有不同的落地路径和产品功能。
通常来说,企业面临的安全问题可以归结成三大类:一是病毒、木马等常规安全问题,比如近两年常见的勒索病毒,它会影响到生产系统,导致生产系统瘫痪;二是APT攻击,有可能导致企业的核心数据、敏感生产资料等被黑客或者恶意境外组织窃取,这是国家层面和高科技企业比较关注的领域;三是公司内部人员导致的生产数据、客户数据等敏感数据泄露。以上三类问题,腾讯和合作伙伴都曾遇到过,腾讯的解决方案也全部都实现了覆盖。
腾讯在解决这些问题时不仅追求安全性,也融合了“以人为本”的互联网企业文化。有些行业,比如监管合规要求比较严格的行业,安全和体验、效率往往无法做到平衡,而腾讯是两手都要抓,既保证安全性,也追求效率和体验。以远程办公为例,普通零信任解决方案中,用户每次变换办公环境都需要进行验证,过程比较繁琐,而腾讯iOA通过一键登录在确保安全性的前提下,大幅改善了用户体验。
谭晓生:零信任的持续验证到底要做到什么频度才够?一分钟或者十分钟验证一次?员工在上班过程中是否每次切换工作场景都要验证?
蔡晨:“永不信任、持续验证”是一种理念,具体到技术和产品实现,首先要考虑的是如何做到可信。我们针对每一个请求都做了校验,校验过程不一定需要用户参与,而是可以在程序和后台层面动态化地跟踪和变更。这就要求后台要有持续的动态校验和评估能力,而且客户端也需要有动态的跟踪能力。
谭晓生:如果腾讯iOA要满足葛兰素史克的要求,你会建议他怎么部署?
蔡晨:如果是没有历史包袱的企业,我会建议在搭建每一个业务系统的过程中,就原生包含持续验证的理念。但如果是像腾讯一样有历史年代的企业,则需要基于现有的系统将传统架构升级为零信任架构。这种情况要遵循“拆大墙建小墙”的原则。
传统的边界防御模型,核心是用防火墙把企业网络根据不同业务隔离成不同保护等级的区域。现在我们要做的第一件事就是把这些墙拆掉。建小墙是什么意思呢?随着企业基础设施上云,员工的主要风险来源就是端,因此我们需要在端和应用之间建一堵小墙——即iOA网关,保证从端过来的每一个请求都经过校验。
谭晓生:从CSA的研究视角来看,如何评价腾讯这套解决方案?
贾良玉:零信任是一种安全理念和战略,有些企业把简单的安全产品包装成零信任,这是远远不够的。特别是对甲方企业来说,确定零信任理念后,还需要根据自身实际情况来实施。现在很多企业不提具体的安全策略,把原来的产品换个名字就打着零信任的概念推出去了。零信任是双向的,不仅要校验进来的请求,还要校验出去的请求,现在大多数企业都不校验出来的请求,这并不符合零信任的要求。
腾讯的“拆大墙建小墙”,很好地利用了零信任当中的微隔离技术。以前的“墙”叫做边界,内网和外网的边界是固定的,但后来划分的颗粒度越来越细,就演变出了微隔离、SDP这些新技术。零信任的关键支撑技术就是SIM SDP 微隔离,这块还有很多工作要做。
谭晓生:中国移动如何看待刚才腾讯所提到的“拆大墙建小墙”的说法?
张晨:蔡总把零信任的价值分成三个层面,我个人非常认可。零信任在防御APT方面的效果立竿见影,在保护员工远程办公时不被恶意利用方面也非常有效。但如何平衡内部人员的操作合规性和工作效率,我认为这方面还有很多工作要做。理解运维人员的行为比理解研发人员等的行为难多了。这种情况下如何将误告警率控制在合理范围内,不让原本一个晚上就能做完的事情变成三四天的工作量,这是很有挑战的。
至于“拆大墙建小墙”,我们会在不同地方设置不同的检查节点防止数据泄露。经过多年的安全实践我发现,过去粗放式的安全解决方案中,安全节点的数量和路由器、交换机等相比几乎可以忽略不计,而当我们把安全工作做得越来越好时,安全节点的数量也开始显著增加,变得十分庞大。这究竟是安全生产范式的转变,还是未来随着安全技术发展成熟,安全节点的数量仍能控制在合理范围内?这是我比较困惑的点。
谭晓生:腾讯过去对于网络的安全域划分是通过防火墙或者网络设备的ACL来解决的,现在腾讯的解决方案是否已经用SDP技术全面取代了防火墙?“拆大墙建小墙”,微隔离需要划分到多细的颗粒度?
蔡晨:腾讯内部是一个混合云结构,虽然都遵循零信任理念,但每个业务的安全运营策略仍旧有所差异。以数据安全为例,它主要解决的是“内鬼”的问题。在腾讯内部,非敏感重要岗位接触不到很敏感的数据,针对这部分员工,微隔离细化到设备就足够了。如果是敏感团队,而且本身有合规、监管方面的要求,那么它的颗粒度就需要更细。要给数据打上相应的标签,跟踪其流转情况,包括从服务器到堡垒机甚至到PC、U盘的整个链路。
谭晓生:运维人员日常要访问的东西较多,零信任策略会不会存在误阻拦,导致工作效率降低?
蔡晨:判断某项操作是否安全合规,光靠零信任终端产品是不够的,还需借助UEBA甚至AI等新技术。腾讯内部会利用机器学习算法,实时分析运维人员的操作与常规操作是否一致,以及是否存在额外风险。过去安全系统是割裂的,发现问题后需要运维和安全人员手动操作。而腾讯安全大脑可以与各个安全系统高效联动,发现安全问题自动调度各个系统进行处理,大幅提高了对抗能力。
谭晓生:相信很多其他企业在发展的过程中,都会遇到类似的问题,腾讯和中国移动分属于不同的领域,中国移动如何看待此类问题?
张晨:中国移动也在做类似的尝试,但电信运营商的网络复杂度和互联网公司相比有很大区别,机器学习的成本也高得多,目前实践效果不够理想。比如运维正在进行一项关键操作,UEBA把它拦下了,中间出现了一段悬空状态,这对互联网公司可能没什么影响,但对通讯网络的影响不好估量。
谭晓生:从甲方客户的视角来看,刚才几位专家的讨论对葛兰素史克的下一步安全建设是否有所启发?
顾伟:零信任是一个很好的理念,但是不是所有企业都能用的很好,需要根据其自身情况来定。
首先是成本。要做到持续验证,必须把基石铺得很好,由此带来的终端成本是否合理?
其次是人力。就葛兰素史克而言,它在全球有非常丰富的安全资源,但中国是相对独立的业务,没有很好的安全能力,主要依赖第三方。我们内部没有很多安全运维人员,只有安全标准和框架,需要第三方来具体实施。
第三是历史包袱。拿数据层面的标签验证来说,它的前置条件是做好数据分类分级,缺少这个条件就无法实现。
谭晓生:葛兰素史克遇到的问题是没人、没钱和系统改造难度大,针对这类客户腾讯可以提供怎样的解决方案?
蔡晨:我这两年做得比较多的一件事情,是和腾讯安全团队一起,用腾讯零信任相关的最佳实践和产品赋能产业互联网。我们服务了很多家世界500强企业,发现每个行业的安全建设成熟度是不一致的,行业的文化、特性也有所差异。但我有信心和腾讯安全一起,找到更加符合每个行业特性的解决方案。
零信任是一种理念,不能依靠单个产品解决所有问题,但只要能解决你当下最迫切的问题,它的价值和收益就是非常大的。腾讯经过这两年的产业互联网实践,不仅对互联网行业非常熟悉,也对物流、教育、地产等行业有了更加深入的理解,可以通过产品迭代,真正满足他们的一些安全诉求。
谭晓生:最后几分钟,我们来讨论一下零信任之后会有什么。想问问腾讯和CSA如何看待零信任与SASE的关系。
蔡晨:我个人理解,SASE概念比零信任更大,它是一个云安全边界的概念,还包括SDN、SD-WAN等云上安全能力。它实际是组合了身份认证、边界访问、微隔离等安全技术,共同来解决云上访问的安全问题。腾讯云作为专业的云服务厂商,在相关技术和组件上已经拥有多年的积累,目前正在将概念和产品进行整合。
贾良玉:SASE主要针对边缘访问,它不仅仅是安全,还包括了很多其他功能。SASE是从SD-WAN发展出来的,它可以结合零信任理念,把其中的一些技术——比如SDP、微隔离加入其中。
而从安全角度来说,除了边缘访问安全还有终端安全等等,这是SASE覆盖不了的,但可以用零信任来补充。简单来说,从安全角度出发,零信任比SASE的范围更大,SASE只是在边缘上零信任的一种具体实现。