12月4日-12月6日，2020云安全聯(lián)盟大中華區(qū)大會(huì)于上海舉行，在今日云上（線上）論壇中 ，聯(lián)軟科技副總裁黃國(guó)忠分享了零信任SDP與數(shù)據(jù)安全的經(jīng)驗(yàn)和見(jiàn)解,以下為論壇主持人提問(wèn)和聯(lián)軟科技回答內(nèi)容：

01

Q:先請(qǐng)大家簡(jiǎn)要介紹下各自的公司情況。

A:聯(lián)軟科技是中國(guó)企業(yè)端點(diǎn)安全市場(chǎng)領(lǐng)域的代表性廠商之一，一直致力于幫客戶(hù)提供端點(diǎn)安全、邊界安全、云安全服務(wù)三大領(lǐng)域。2019年，聯(lián)軟科技與魔方安全合并，獲得了以攻擊者視角對(duì)全網(wǎng)暴露面進(jìn)行主動(dòng)持續(xù)監(jiān)控與管理的能力，正式進(jìn)入網(wǎng)絡(luò)攻防領(lǐng)域，致力于以攻防全局視角，改變現(xiàn)階段攻防力量不平衡的網(wǎng)絡(luò)安全環(huán)境。

02

Q:近年以來(lái)，網(wǎng)絡(luò)安全隨著應(yīng)用技術(shù)、理念的不斷創(chuàng)新發(fā)展，有了很大的改變。包括“傳統(tǒng)”、“新一代”等時(shí)代差的關(guān)鍵詞出現(xiàn)，大家對(duì)這一點(diǎn)怎么看？對(duì)未來(lái)網(wǎng)絡(luò)安全對(duì)發(fā)展有什么看法？

A:1.數(shù)字化轉(zhuǎn)型和云大物智移等為代表的新一代技術(shù)，邊界模糊性、資產(chǎn)海量化、環(huán)境復(fù)雜、業(yè)務(wù)關(guān)鍵、充滿新的不確定風(fēng)險(xiǎn)，傳統(tǒng)網(wǎng)絡(luò)為中心的基于邊界的防護(hù)體系正在瓦解或逐漸失效，外掛式、基于簽名的安全產(chǎn)品和技術(shù)難以為繼。

2.數(shù)字化或新基建也好，會(huì)出現(xiàn)新的資產(chǎn)、新的漏洞和威脅，不可識(shí)別和感知的風(fēng)險(xiǎn)占主流，當(dāng)前防御理論是威脅驅(qū)動(dòng)的，威脅不可見(jiàn)如何抵御高強(qiáng)度攻擊。

3.隨著網(wǎng)絡(luò)安全上升到國(guó)家安全，包括從2016年開(kāi)始的實(shí)戰(zhàn)化攻防演習(xí)，安全建設(shè)的導(dǎo)向從合規(guī)驅(qū)動(dòng)走向?qū)嵭?qū)動(dòng)，安全的本質(zhì)是攻防兩端力量的較量，歸根到底看雙方的成本，而要具備戰(zhàn)時(shí)的防御能力，對(duì)一般單位來(lái)講投入成本太高，需要一種更經(jīng)濟(jì)的方法。

基于以上幾點(diǎn)，我認(rèn)為新一代的網(wǎng)絡(luò)安全架構(gòu)，必須改變攻防不對(duì)稱(chēng)的局面，通過(guò)構(gòu)建低成本防御體系來(lái)指數(shù)級(jí)提高攻擊者成本，安全必須有ROI（投資回報(bào)）、另外安全為業(yè)務(wù)提供支撐作用，需要業(yè)務(wù)深度融合，不能阻礙業(yè)務(wù)的發(fā)展，以零信任為代表的新的安全架構(gòu)或方法以從不信任，始終校驗(yàn)的核心思想，摒棄傳統(tǒng)的靜態(tài)的隱式信任，在網(wǎng)絡(luò)邊界的基礎(chǔ)上構(gòu)建以上下文為中心的邏輯邊界，能極大收斂暴露面、構(gòu)建端到端的以最小權(quán)限為原則的應(yīng)用級(jí)動(dòng)態(tài)訪問(wèn)控制體系，將業(yè)務(wù)與安全深度融合，大大提升攻擊者的成本。未來(lái)零信任體系將和現(xiàn)有防御體系充分結(jié)合和深度融合，暴露面收斂后，內(nèi)外部攻擊的智能大數(shù)據(jù)分析非常重要，這是我的看法。

03

Q:作為一家終端安全的廠商，聯(lián)軟為何做零信任或SDP？

A:我們做零信任或SDP不是蹭熱點(diǎn)，而是順應(yīng)了IT架構(gòu)和客戶(hù)需求的變化，很自然的平滑升級(jí)：

首先，零信任或SDP并不是沒(méi)有邊界，而是在傳統(tǒng)邊界逐漸失效的情況下構(gòu)建以上下文（如身份）為基礎(chǔ)的圍繞每個(gè)應(yīng)用虛擬邊界，比如在遠(yuǎn)程辦公下邊界從防火墻延伸到個(gè)人電腦或移動(dòng)設(shè)備，各類(lèi)終端的動(dòng)態(tài)安全環(huán)境感知與防護(hù)能力就非常重要，那么聯(lián)軟十多年的終端安全管理經(jīng)驗(yàn)積累和UEM能力就可以幫助我們或伙伴的零信任方案提升價(jià)值。

其次，聯(lián)軟早在2004年就開(kāi)始做網(wǎng)絡(luò)準(zhǔn)入控制，NAC強(qiáng)調(diào)先驗(yàn)證身份，再連接網(wǎng)絡(luò)，設(shè)備安全基線不符可強(qiáng)制下線修復(fù)，這也是動(dòng)態(tài)訪問(wèn)控制的思想，這和零信任的核心思想是一致的，只是到了云+移動(dòng)的時(shí)代傳統(tǒng)網(wǎng)絡(luò)邊界被打破，也就出現(xiàn)了SDP，實(shí)現(xiàn)更靈活和細(xì)粒度的動(dòng)態(tài)訪問(wèn)控制，我們?cè)O(shè)計(jì)EMM產(chǎn)品的架構(gòu)時(shí)就采用了APN網(wǎng)關(guān)，強(qiáng)調(diào)服務(wù)隱身和應(yīng)用層安全隧道，2019年推出SDP產(chǎn)品，今年推出UEM的ZTNA零信任網(wǎng)絡(luò)訪問(wèn)產(chǎn)品和方案。

最后，零信任最終目標(biāo)是保護(hù)數(shù)據(jù)和資源，而聯(lián)軟一直提供領(lǐng)先的數(shù)據(jù)防泄露、數(shù)字水印、多網(wǎng)文件安全傳輸?shù)确桨?，我們的零信任方案很好地將上述技術(shù)融合進(jìn)來(lái)，確保數(shù)據(jù)安全。

04

Q:雖然經(jīng)歷了十年發(fā)展，仍有人說(shuō)零信任是概念，現(xiàn)在還處于市場(chǎng)的探索期，對(duì)這一點(diǎn)怎么看？

A:不同意零信任還處于市場(chǎng)探索期的觀點(diǎn)，零信任是一種理念，是一種新的范式，但零信任架構(gòu)在美國(guó)NIST標(biāo)準(zhǔn)中有明確定義，已經(jīng)有標(biāo)準(zhǔn)和工程化落地，零信任落地的最佳技術(shù)SDP市場(chǎng)國(guó)內(nèi)外都已經(jīng)有很多供應(yīng)商，SDP替換VPN也是正在發(fā)生并且必然的事情，比如今年因?yàn)樾鹿谝咔楹芏嗫蛻?hù)開(kāi)啟遠(yuǎn)程辦公 ，我們就幫助很多客戶(hù)采用SDP產(chǎn)品快速搭建遠(yuǎn)程辦公、遠(yuǎn)程運(yùn)維安全接入系統(tǒng)。我認(rèn)為零信任探索的是場(chǎng)景，要考慮如何和現(xiàn)有系統(tǒng)的融合、集成、在安全性的同時(shí)保持易用性。零信任是個(gè)過(guò)程而不是結(jié)果，需要一種持續(xù)的能力和長(zhǎng)期規(guī)劃。

05

Q:聯(lián)軟SDP產(chǎn)品如何保護(hù)數(shù)據(jù)資產(chǎn)安全？

A:聯(lián)軟SDP產(chǎn)品基于CSA的客戶(hù)端、控制器和網(wǎng)關(guān)三組件的標(biāo)準(zhǔn)化方式實(shí)現(xiàn)，控制平面和數(shù)據(jù)平面分離，遵循SDP 服務(wù)隱身、預(yù)授權(quán)和預(yù)認(rèn)證、應(yīng)用級(jí)的準(zhǔn)入控制、持續(xù)風(fēng)險(xiǎn)評(píng)估和動(dòng)態(tài)訪問(wèn)控制等核心原則，通過(guò)可信終端（符合安全策略、如配置和軟件）、可信身份（多因素、掃碼等去密碼化方式）、可信應(yīng)用（發(fā)布審核與訪問(wèn)審計(jì)、應(yīng)用白名單、最小權(quán)限）、可信接入（SPA、加密、國(guó)密、應(yīng)用隧道）四個(gè)方面來(lái)確保接入內(nèi)網(wǎng)的安全，客戶(hù)端用沙箱實(shí)現(xiàn)工作域相互隔離、存儲(chǔ)加密、數(shù)字水印、防截屏等方式、應(yīng)用黑白名單、訪問(wèn)審計(jì)等確保數(shù)據(jù)的安全。

06

Q:在座的各位都是零信任SDP領(lǐng)域的代表企業(yè)，未來(lái)大家的發(fā)展規(guī)劃是什么樣的？

A:作為聯(lián)軟科技來(lái)講，我們是在終端安全管理與網(wǎng)絡(luò)準(zhǔn)入控制、數(shù)據(jù)安全領(lǐng)域深耕多年，具有端點(diǎn)側(cè)領(lǐng)先優(yōu)勢(shì)，零信任或SDP最終目標(biāo)是圍繞數(shù)據(jù)安全，我們的SDP除了充分利用端點(diǎn)動(dòng)態(tài)環(huán)境感知和安全管控、數(shù)據(jù)安全（沙箱、防泄密、水印等防護(hù)能力）外，我們的SDP規(guī)劃重點(diǎn)考慮開(kāi)放性、標(biāo)準(zhǔn)化，我們一直強(qiáng)調(diào)生態(tài)和合作，也在參與國(guó)內(nèi)一些零信任聯(lián)盟，和IAM、態(tài)勢(shì)感知等廠商實(shí)現(xiàn)對(duì)接，也在積極參與國(guó)內(nèi)零信任標(biāo)準(zhǔn)的編寫(xiě)。標(biāo)準(zhǔn)化、零件化、生態(tài)化合作一直是我們倡導(dǎo)的。

未來(lái)，聯(lián)軟也將發(fā)揮自身在零信任領(lǐng)域的優(yōu)勢(shì)作用，持續(xù)創(chuàng)新，為零信任發(fā)展貢獻(xiàn)自己的力量，為企業(yè)打造更專(zhuān)業(yè)、高效的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)。

在本次大會(huì)的CSA GCR頒獎(jiǎng)典禮和晚宴上，聯(lián)軟UniSDP安界軟件定義邊界系統(tǒng)獲得了CSA 2020安全創(chuàng)新獎(jiǎng)；聯(lián)軟在云上論壇的分享人由于在網(wǎng)絡(luò)安全領(lǐng)域的突出貢獻(xiàn)，被云安全聯(lián)盟授予研究貢獻(xiàn)獎(jiǎng)。