压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

自從RSA發(fā)布了零信任以后，國(guó)內(nèi)安全廠家和安全同仁一直在討論零信任：很多安全公司推出了各種各樣的零信任產(chǎn)品，比如SDP、桌面沙箱等等；甲方企業(yè)安全從業(yè)者也在各種場(chǎng)合討論零信任，有人說(shuō)零信任是一種技術(shù)，有人說(shuō)零信任是一種概念，有人說(shuō)零信任是新瓶裝舊酒，還有人說(shuō)零信任在企業(yè)根本無(wú)法落地…。前段時(shí)間，阿肯受騰訊安全之邀，分享了我對(duì)零信任的理解以及在企業(yè)的落地實(shí)踐。

要說(shuō)清楚零信任以及在企業(yè)的落地實(shí)踐，阿肯認(rèn)為可以從以下幾個(gè)問題探討：什么是零信任？為什么這個(gè)時(shí)候行業(yè)關(guān)注零信任？零信任解決企業(yè)什么問題？不同企業(yè)不同場(chǎng)景如何落地零信任？零信任對(duì)安全廠商的影響？

一、如何一句話說(shuō)清楚什么是零信任

1、NIST關(guān)于零信任的描述好幾十頁(yè)，主要的意思簡(jiǎn)單總結(jié)如下：

被訪問的各類資產(chǎn)是在安全區(qū)域，需要重點(diǎn)保障安全，這些資產(chǎn)本身也是安全的，默認(rèn)外部任何人無(wú)權(quán)訪問；

訪問這些資產(chǎn)需要經(jīng)過多重認(rèn)證，且每次訪問連接要經(jīng)過鑒權(quán)認(rèn)證，通信連接是安全的；

誰(shuí)能訪問這個(gè)區(qū)域的什么資源需要經(jīng)過嚴(yán)格的授權(quán)，遵守最小化原則；

需要有用戶/設(shè)備的行為數(shù)據(jù)，動(dòng)態(tài)調(diào)整資源訪問策略；

需要?jiǎng)討B(tài)監(jiān)控分析資產(chǎn)各類安全狀況及使用信息，以便對(duì)不安全行為進(jìn)行快速判斷和響應(yīng)；

零信任主要架構(gòu)，一種是應(yīng)用門戶型，一種是超級(jí)網(wǎng)關(guān)型，還有一種是agent方式，以下是前面兩種的邏輯示意圖，也是阿肯認(rèn)為最有可能在企業(yè)落地的方式：

從以上我們可以看到，零信任不是一種技術(shù)、一個(gè)產(chǎn)品，而是一種安全架構(gòu)，其中涉及到很多技術(shù)產(chǎn)品的組合使用，不同的公司需要根據(jù)自身的情況，選擇不同的一種或多種架構(gòu)去實(shí)施落地，而不同的架構(gòu)中會(huì)涉及到不同的產(chǎn)品和技術(shù)。

2、“一句話安全”說(shuō)清楚零信任架構(gòu)包含哪些內(nèi)容

大家看NIST的零信任介紹會(huì)覺得很繞，就像20年前看27001一樣，阿肯認(rèn)為一句話安全≈零信任，企業(yè)按照“一句話安全”建設(shè)，基本上就可以做好零信任架構(gòu)的落地：安全的員工，使用安全的設(shè)備，經(jīng)過動(dòng)態(tài)的鑒權(quán)，精細(xì)化的授權(quán)，訪問安全的系統(tǒng)。一句話安全是一種安全業(yè)務(wù)架構(gòu)，架構(gòu)安全了，整個(gè)房子就有了基本的安全保障。

“一句話安全”包含哪些東西，如何落地建設(shè)，阿肯在“掌握企業(yè)安全建設(shè)的1+N，你就拿到了通向未來(lái)CISO的鑰匙！”里有詳細(xì)介紹，這里就簡(jiǎn)單羅列一下“一句話安全”架構(gòu)涉及的安全產(chǎn)品：?jiǎn)T工安全產(chǎn)品、終端安全產(chǎn)品（加密、桌管、輕量沙箱、殺毒）、認(rèn)證中心、授權(quán)中心、安全網(wǎng)關(guān)/應(yīng)用門戶、安全ERP（作業(yè)中心、預(yù)警中心、UEBA、風(fēng)險(xiǎn)地圖、報(bào)表中心、稽查中心…）、安全自動(dòng)化平臺(tái)、SOAR。關(guān)于“安全的系統(tǒng)”，企業(yè)之前該怎么做現(xiàn)在還是怎么做。

二、為什么這個(gè)時(shí)候行業(yè)內(nèi)如此關(guān)注零信任

在討論零信任在企業(yè)的落地方式前，我們需要簡(jiǎn)單分析一下零信任在這個(gè)階段被人們關(guān)注的原因。

零信任的概念并不新鮮，為什么現(xiàn)在被大家關(guān)注，阿肯認(rèn)為有幾個(gè)方面的原因，一是因?yàn)榧夹g(shù)上，企業(yè)在大規(guī)模上云、IOT/OT場(chǎng)景快速增加、5G在百行千業(yè)的逐步推廣，這些都?讓企業(yè)的辦公網(wǎng)邊界會(huì)越來(lái)越難于管控，企業(yè)會(huì)將重點(diǎn)放到數(shù)據(jù)中心的資產(chǎn)保護(hù)上面；二是因?yàn)閲?guó)內(nèi)企業(yè)正處于產(chǎn)業(yè)互聯(lián)轉(zhuǎn)型和數(shù)字化轉(zhuǎn)型的大趨勢(shì)，數(shù)據(jù)安全需求迫切，遠(yuǎn)程辦公需求也在不斷增加，網(wǎng)絡(luò)安全就是生產(chǎn)安全，也在逐漸成為企業(yè)業(yè)務(wù)的一部分，企業(yè)必須把系統(tǒng)和數(shù)據(jù)資產(chǎn)本身的使用授權(quán)問題放到重中之重考慮；三是，隨著黑灰產(chǎn)對(duì)企業(yè)業(yè)務(wù)和生產(chǎn)安全的威脅不斷增加，國(guó)家及行業(yè)監(jiān)管也不斷收緊，企業(yè)必須有一種更加合適安全業(yè)務(wù)架構(gòu)來(lái)解決面臨的安全問題，符合安全監(jiān)管。

三、零信任解決了企業(yè)什么安全問題

很多甲方安全從業(yè)者都在討論企業(yè)什么場(chǎng)景下的安全問題需要零信任來(lái)解決，安全廠家都在研究什么的產(chǎn)品才能跟零信任扯上關(guān)系。阿肯認(rèn)為，既然零信任是一種安全業(yè)務(wù)架構(gòu)，企業(yè)基于零信任的架構(gòu)逐漸建設(shè)安全能力，就不限于哪幾種場(chǎng)景了。如果按照安全事前防護(hù)、事中監(jiān)控、事后追溯的邏輯來(lái)看，零信任的架構(gòu)可以歸為事前防護(hù)類，一個(gè)企業(yè)一旦按照一句話安全落地了安全架構(gòu)，60-70%以上的安全問題就解決了，因?yàn)閷?duì)外的攻擊面縮小了，從訪問人員、設(shè)備、權(quán)限、系統(tǒng)每步都有控制。但是這些安全產(chǎn)品，以及被重點(diǎn)保護(hù)的資產(chǎn)和數(shù)據(jù)本身還是有安全漏洞，使用過程還會(huì)存在安全風(fēng)險(xiǎn)，這些就要通過事中監(jiān)控、事后追溯去解決，比如UEBA、SOAR、預(yù)警中心等。

四、不同企業(yè)不同場(chǎng)景如何落地零信任

雖然零信任不限安全場(chǎng)景，但是因?yàn)楹芏喙镜臉I(yè)務(wù)和技術(shù)架構(gòu)早就存在，要一次性改造成零信任是不現(xiàn)實(shí)，也是不科學(xué)的。關(guān)于零信任的安全架構(gòu)在企業(yè)的落地，不同的企業(yè)可以選擇不同的方式，同樣的企業(yè)不同的系統(tǒng)也可以選擇不同的零信任方式。阿肯認(rèn)為，大致可以分為以下幾種情況：

1、如果您的企業(yè)需要重新開發(fā)業(yè)務(wù)系統(tǒng)，或者您的公司是初創(chuàng)公司，安全負(fù)責(zé)人可以跟CIO、CEO溝通，在系統(tǒng)設(shè)計(jì)之初就采用資源門戶模式的零信任；

2、如果您企業(yè)的系統(tǒng)早就建設(shè)好了，但是又想通過零信任的方式盡可能減少安全風(fēng)險(xiǎn)，可以選擇網(wǎng)關(guān)模式的零信任；

3、如果您的企業(yè)不想花時(shí)間改造老系統(tǒng)，可以在開發(fā)新的獨(dú)立系統(tǒng)的時(shí)候采用零信任的架構(gòu)，然后逐步改造老系統(tǒng)；

4、如果安全負(fù)責(zé)人說(shuō)服不了公司在業(yè)務(wù)系統(tǒng)上做任何改造，可以退而求其次，把IT后臺(tái)管理/研發(fā)系統(tǒng)做成零信任模式，這樣的改造影響的范圍僅限于IT科技人員，對(duì)業(yè)務(wù)影響不大。比如，可以把VPN等遠(yuǎn)程辦公改造成網(wǎng)關(guān)模式的零信任；可以通過零信任模式解決隨時(shí)隨地遠(yuǎn)程研發(fā)/運(yùn)維/聯(lián)調(diào)的業(yè)務(wù)安全需求。其實(shí)大部分企業(yè)的安全人員可能的選擇是這種方式切入零信任架構(gòu)。

以上任何一種情況，企業(yè)要落地零信任的安全業(yè)務(wù)架構(gòu)，安全負(fù)責(zé)人一定要記住幾點(diǎn)：首先，業(yè)務(wù)在企業(yè)永遠(yuǎn)是第一位的，安全要服務(wù)于業(yè)務(wù)，安全負(fù)責(zé)人一定要與公司領(lǐng)導(dǎo)溝通達(dá)成一致；其次，不管采用應(yīng)用門戶，還是網(wǎng)關(guān)模式的零信任，企業(yè)都需要有相應(yīng)的安全產(chǎn)品，比如提升員工安全素養(yǎng)的產(chǎn)品、終端安全產(chǎn)品、認(rèn)證系統(tǒng)、UEBA、安全告警中心等。

六、零信任架構(gòu)下對(duì)安全廠家的要求

現(xiàn)在很多老的安全廠家在思考如何追趕零信任的熱潮，讓公司成功轉(zhuǎn)型，還有很多初創(chuàng)公司也借助零信任的概念，推出新的安全產(chǎn)品。其實(shí)零信任的安全架構(gòu)不但適合現(xiàn)在產(chǎn)業(yè)互聯(lián)和數(shù)字化轉(zhuǎn)型的企業(yè)，OT/IOT的場(chǎng)景更加需要零信任架構(gòu)，留給安全廠家的時(shí)間還是很充足的。所以，阿肯認(rèn)為，安全廠家只要想清楚以下兩點(diǎn)，在安全領(lǐng)域就會(huì)有一片自己的天空。

第一，員工安全、主機(jī)安全、網(wǎng)絡(luò)安全、容器安全、應(yīng)用安全、數(shù)據(jù)安全、攻防滲透、應(yīng)急響應(yīng)等傳統(tǒng)領(lǐng)域的安全還是企業(yè)安全建設(shè)的基礎(chǔ)，但是未來(lái)企業(yè)會(huì)要求這些領(lǐng)域的安全產(chǎn)品更加靈活、專業(yè)和自動(dòng)化。以高效低成本保護(hù)好這些核心資產(chǎn)，就是保護(hù)業(yè)務(wù)和企業(yè)的穩(wěn)定，這是老板們的核心訴求。比如，應(yīng)用安全產(chǎn)品應(yīng)該盡量做到少用人工干預(yù)（人貴、難招、更不好留）；數(shù)據(jù)安全應(yīng)該做到敏感數(shù)據(jù)的細(xì)粒度管理、事前控制和過程干預(yù)。

第二，零信任架構(gòu)下，有些安全產(chǎn)品將會(huì)成為甲方企業(yè)的硬需求，比如終端安全（輕量級(jí)的電腦沙箱）、安全網(wǎng)關(guān)、UEBA（含用戶行為、資產(chǎn)行為）、SOAR、安全ERP等。因?yàn)槠髽I(yè)在產(chǎn)業(yè)互聯(lián)及數(shù)字化轉(zhuǎn)型趨勢(shì)下，安全成為了業(yè)務(wù)的一部分，這就需要企業(yè)安全建設(shè)像對(duì)生產(chǎn)系統(tǒng)全鏈條監(jiān)控和快速排障一樣，保持對(duì)用戶/員工、賬號(hào)、設(shè)備、權(quán)限、系統(tǒng)、數(shù)據(jù)和業(yè)務(wù)等全鏈條安全的實(shí)時(shí)監(jiān)控、告警和快速響應(yīng)。

大家認(rèn)為人是慢慢變老的，其實(shí)人是一瞬間變老的。很多人認(rèn)為行業(yè)轉(zhuǎn)型是慢慢發(fā)生的，其實(shí)當(dāng)我們感覺到變化的時(shí)候，變化已經(jīng)發(fā)生了。零信任是企業(yè)需要的一種安全架構(gòu)，擁抱零信任你就站在安全行業(yè)的風(fēng)口，理解和落地零信任你就走在成功的道路上。

來(lái)源：阿肯的不惑之年