深信服科技联合CIO时代举办的「落地有声 · 第二届零信任用户分享大会」11月4日在杭州如约举办。
会上,深信服邀请了数世咨询创始人李少鹏、权威咨询机构IDC研究总监王军民、北汽福田集团基础设施及信息安全负责人张志强、中信建投证券信息技术部安全管理组副总裁吴冰、吉利控股集团IT中心CTO/吉利汽车集团数字化中心总监郑金伟、深信服CIO张武健、深信服安全业务副总裁/零信任业务负责人周智坚出席大会,分享零信任落地过程中的思考与心得。
△主持嘉宾:数世咨询创始人 李少鹏
数字世界 信任需要零信任
王军民 IDC咨询有限公司研究总监
数字化优先时代来临,规模创新朝着持续化、情境化、实时化发展。面对安全挑战持续升级,零信任已成为向好发展驱动因素。
据最新报告《IDC MarketScape: 中国零信任网络访问解决方案,2022年厂商评估》,中国零信任网络访问解决方案市场进入高速发展期,百花齐放的背后呈现六大趋势:
1.“产品+服务”组合落地将成为标配。
2.云原生/服务敏捷/便捷等将推动云化部署节奏。
3.智能化、自动化将从概念部署向应用部署过渡。
4.零信任网络访问和零信任边缘将实现方案融合。
5.场景化、行业化解决方案市场潜力大。
6.零信任解决方案将向保护数据安全的方向发展。
对此,如何选择方案提供商,王军民以权威客观视角,给到用户详实建议:
1.关注提供商对方案的体系化、阶段化建设能力。
2.关注提供商综合能力及技术能力。
3.关注提供商的数据安全访问体系建设规划能力。
4.关注提供商的安全服务体系建设。
从零开始,构建安全远程办公新场景
张志强 北汽福田集团基础设施及信息安全负责人
数字化转型背景下,北汽福田对IT提出了更高要求——“提供高效、安全、稳定、便捷的基础设施”。尤其是传统办公方式已经不适应数字化时代的发展,面对超2万名员工、6000+最高并发、超200万次月均攻击,为保障员工随时随地安全接入,北汽福田采用零信任满足远程办公常态化的安全需求。
零信任不仅为北汽福田带来了有效安全保障,还让体验更加简单省心。“以往,访问采购管理系统,需要先拨VPN,再打开手机APP,操作繁琐;现在,在零信任架构下,访问控制系统可以与第三方通讯软件原生集成。”
“采用深信服零信任aTrust替换VPN,只是北汽福田走进零信任的第一步。”千里之行始于足下,规划好阶段化建设路径,未来,北汽福田将持续深入探索远程运维、内网应用通信等场景。
构建数字化转型安全底座:稳步推进零信任落地
吴冰 中信建投证券信息技术部安全管理组副总裁
证券行业数字化转型,带来办公体验的无边界化。IT基础设施云化、容器化,业务上云、微服务化使传统以安全域划分、边界防护的理念受到怀疑。
在保障安全刚需切入点的同时,要提升用户体验,进行整体布局,中信建投证券选择进行零信任改造。
根据整体落地路径规划,基于身份访问控制、终端安全沙箱和数据分级保护技术,中信建投证券先行保护高风险场景(移动端开发安全、外包人员开发测试),收敛互联网暴露面,防止数据泄露。
目前,中信建投证券全面推进取消办公类系统的互联网入口,实现13000+员工随时随地安全办公。
“零信任架构搭建完成后,我们将结合数据资产信息,提升零信任安全运营能力。”未来,中信建投证券将实现增强访问行为分析和持续信任评估能力,基于风险构建自动化处置,有效阻断潜在威胁。
对话大咖
零信任落地难题,一场对话来解答
本次大会特别开设「对话大咖」环节,前期通过线上征集问题,有3位正在落地零信任或有意向落地零信任的用户,提出了高质量问题,并到现场与嘉宾们面对面交流,现场交流氛围热烈。
Q1针对内部应用的安全,除了依赖零信任以外,还需配合哪些产品?
吉利控股集团IT中心CTO/吉利汽车集团数字化中心总监 郑金伟:对于终端管控来说,吉利在这方面的实践分三种情况,一是针对企业自有终端,可以结合零信任SDP、直连网关DGW的产品,二是BYOD设备,可以通过桌面云VDI、沙箱等,保证数据不落地;三是考虑对设备的管控,把包括网络准入、杀毒几个终端整合,形成一个终端All In One的产品。
深信服CIO 张武健:怎么把安全进行体系化建设?我们去年提出“平台+组件+服务”的战略方针,其中ZTA平台解决以身份为中心的细粒度访问控制。随着深信服数字化转型发展,应用和终端数量迎来双爆发,安全漏洞不可避免,我们认为“终端是不可信的” ,风险很难控制,因此不仅要收缩业务暴露面,还要收缩内网接入终端细粒度管控。我们除了实现全办公网零信任改造外,还在研发内网结合SDP+VDI+DGW+UEM沙箱等,形成了一整套零信任解决方案。
Q2 集团工厂设备多、点位多,如何通过零信任,做好精细化、细粒度的访问控制?
北汽福田集团基础设施及信息安全负责人 张志强:在工业4.0与数字化转型驱动下,我们的互联网和工业网打通,机器人等相关设备几乎是国外的,工程师需要远程接入内网进行参数校验。以前用VPN打通隧道,一是看不到人员进入内网的行为,也无法追踪;二是人员获得权限较大大,无法细粒度管控。2021年我们引入零信任之后,管理员通过可视化平台,做资源和身份的匹配。另外,我们还建立工控DMZ区,在物理范围内管控人员权限。这背后更多还是在运营,把工控信息安全运营纳入信息安全运营体系,对信息安全做整体判断和处理。
深信服安全业务副总裁/零信任业务负责人 周智坚:零信任提供两种能力:一是事前隔离控制,不管是工业网、办公网、互联网,资产和数据有很多历史遗留问题,没办法通过改造架构来解决,因此需要零信任做隔离控制和细粒度控制,补齐短板;二是可视化和联动,能够看到整个资产访问活动过程中的风险,帮助安全团队进行管理和分析,以及异常的联动处置。同时,落地零信任需要分阶段、分场景,从远程办公到内外网混合办公等,如果缺乏整体规划,隔离控制、风险管理就很割裂,因此要选好一个生态开放兼容的平台,往数字化安全方向走。
Q3为何大部分企业选择从SDP替代VPN的方式切入去做零信任建设?我们应当如何选择零信任落地技术路径?
北汽福田集团基础设施及信息安全负责人 张志强:我们选择从SDP切入做零信任,是因为对业务的挑战更小,除了满足远程安全接入的需求,能实现细粒度访问控制,还能满足研发远程接入的性能要求。从耗费资源和时间的角度,我们选择用最容易的手段,让决策层直观感受到零信任所带来的的好处。因此我们用深信服零信任aTrust替换VPN是一个很轻松的过程,只花费2个月就完成替换。
深信服 CIO 张武健:作为第一个吃螃蟹的人,深信服全网落地零信任,看起来很轻松,但过程很曲折。我们做零信任改造分三个阶段,一是PC到Server,二是从VDI到Server,三是从Server到Server。其中第一阶段最为重要,以收敛身份为前提的访问控制,也控制住大部分风险。基于过去SSL VPN产品积累的技术优势,深信服选择SDP这条技术路径,不管从安全还是运维收益来说,都是最简单有效和容易成功的。
在产业数字化升级和业务上云的趋势下,传统基于边界的安全防护理念难以应对企业面临的各类安全风险,以“持续验证,永不信任”为核心的零信任作为解决云网边界消弭、重塑企业安全体系的新方式,逐渐成为企业数字化转型的必选项。
如今,零信任已从概念走向落地,并且在国内涌现出一批优秀实践单位。与此同时,不少企业则仍处在探索阶段,希望学习业内先进落地经验,以加快自身零信任落地的速度、少走弯路。
在此背景下,深信服科技联合CIO时代举办的「落地有声 · 第二届零信任用户分享大会」,为广大用户打造一年一度的零信任优秀经验分享平台,传递零信任成功落地秘诀。
零信任落地道阻且长,深信服科技以一场干货满满的用户分享大会,诠释“致力于让所有用户「安全领先一步」”。