拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上

自从RSA发布了零信任以后,国内安全厂家和安全同仁一直在讨论零信任:很多安全公司推出了各种各样的零信任产品,比如SDP、桌面沙箱等等;甲方企业安全从业者也在各种场合讨论零信任,有人说零信任是一种技术,有人说零信任是一种概念,有人说零信任是新瓶装旧酒,还有人说零信任在企业根本无法落地…。前段时间,阿肯受腾讯安全之邀,分享了我对零信任的理解以及在企业的落地实践。

要说清楚零信任以及在企业的落地实践,阿肯认为可以从以下几个问题探讨:什么是零信任?为什么这个时候行业关注零信任?零信任解决企业什么问题?不同企业不同场景如何落地零信任?零信任对安全厂商的影响?

作者:阿肯 本文来源:阿肯的不惑之年

一、如何一句话说清楚什么是零信任

1、NIST关于零信任的描述好几十页,主要的意思简单总结如下:

被访问的各类资产是在安全区域,需要重点保障安全,这些资产本身也是安全的,默认外部任何人无权访问;

访问这些资产需要经过多重认证,且每次访问连接要经过鉴权认证,通信连接是安全的;

谁能访问这个区域的什么资源需要经过严格的授权,遵守最小化原则;

需要有用户/设备的行为数据,动态调整资源访问策略;

需要动态监控分析资产各类安全状况及使用信息,以便对不安全行为进行快速判断和响应;

零信任主要架构,一种是应用门户型,一种是超级网关型,还有一种是agent方式,以下是前面两种的逻辑示意图,也是阿肯认为最有可能在企业落地的方式:

拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上

从以上我们可以看到,零信任不是一种技术、一个产品,而是一种安全架构,其中涉及到很多技术产品的组合使用,不同的公司需要根据自身的情况,选择不同的一种或多种架构去实施落地,而不同的架构中会涉及到不同的产品和技术。

2、“一句话安全”说清楚零信任架构包含哪些内容

大家看NIST的零信任介绍会觉得很绕,就像20年前看27001一样,阿肯认为一句话安全≈零信任,企业按照“一句话安全”建设,基本上就可以做好零信任架构的落地安全的员工,使用安全的设备,经过动态的鉴权,精细化的授权,访问安全的系统。一句话安全是一种安全业务架构,架构安全了,整个房子就有了基本的安全保障。

拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上

“一句话安全”包含哪些东西,如何落地建设,阿肯在“掌握企业安全建设的1+N,你就拿到了通向未来CISO的钥匙!”里有详细介绍,这里就简单罗列一下“一句话安全”架构涉及的安全产品:员工安全产品、终端安全产品(加密、桌管、轻量沙箱、杀毒)、认证中心、授权中心、安全网关/应用门户、安全ERP(作业中心、预警中心、UEBA、风险地图、报表中心、稽查中心…)、安全自动化平台、SOAR。关于“安全的系统”,企业之前该怎么做现在还是怎么做。

二、为什么这个时候行业内如此关注零信任

在讨论零信任在企业的落地方式前,我们需要简单分析一下零信任在这个阶段被人们关注的原因。

零信任的概念并不新鲜,为什么现在被大家关注,阿肯认为有几个方面的原因,一是因为技术上,企业在大规模上云、IOT/OT场景快速增加、5G在百行千业的逐步推广,这些都 让企业的办公网边界会越来越难于管控,企业会将重点放到数据中心的资产保护上面;二是因为国内企业正处于产业互联转型和数字化转型的大趋势,数据安全需求迫切,远程办公需求也在不断增加,网络安全就是生产安全,也在逐渐成为企业业务的一部分,企业必须把系统和数据资产本身的使用授权问题放到重中之重考虑;三是,随着黑灰产对企业业务和生产安全的威胁不断增加,国家及行业监管也不断收紧,企业必须有一种更加合适安全业务架构来解决面临的安全问题,符合安全监管。

三、零信任解决了企业什么安全问题

很多甲方安全从业者都在讨论企业什么场景下的安全问题需要零信任来解决,安全厂家都在研究什么的产品才能跟零信任扯上关系。阿肯认为,既然零信任是一种安全业务架构,企业基于零信任的架构逐渐建设安全能力,就不限于哪几种场景了。如果按照安全事前防护、事中监控、事后追溯的逻辑来看,零信任的架构可以归为事前防护类,一个企业一旦按照一句话安全落地了安全架构,60-70%以上的安全问题就解决了,因为对外的攻击面缩小了,从访问人员、设备、权限、系统每步都有控制。但是这些安全产品,以及被重点保护的资产和数据本身还是有安全漏洞,使用过程还会存在安全风险,这些就要通过事中监控、事后追溯去解决,比如UEBA、SOAR、预警中心等。

四、不同企业不同场景如何落地零信任

虽然零信任不限安全场景,但是因为很多公司的业务和技术架构早就存在,要一次性改造成零信任是不现实,也是不科学的。关于零信任的安全架构在企业的落地,不同的企业可以选择不同的方式,同样的企业不同的系统也可以选择不同的零信任方式。阿肯认为,大致可以分为以下几种情况:

1、如果您的企业需要重新开发业务系统,或者您的公司是初创公司,安全负责人可以跟CIO、CEO沟通,在系统设计之初就采用资源门户模式的零信任;

2、如果您企业的系统早就建设好了,但是又想通过零信任的方式尽可能减少安全风险,可以选择网关模式的零信任;

3、如果您的企业不想花时间改造老系统,可以在开发新的独立系统的时候采用零信任的架构,然后逐步改造老系统;

4、如果安全负责人说服不了公司在业务系统上做任何改造,可以退而求其次,把IT后台管理/研发系统做成零信任模式,这样的改造影响的范围仅限于IT科技人员,对业务影响不大。比如,可以把VPN等远程办公改造成网关模式的零信任;可以通过零信任模式解决随时随地远程研发/运维/联调的业务安全需求。其实大部分企业的安全人员可能的选择是这种方式切入零信任架构。

以上任何一种情况,企业要落地零信任的安全业务架构,安全负责人一定要记住几点:首先,业务在企业永远是第一位的,安全要服务于业务,安全负责人一定要与公司领导沟通达成一致;其次,不管采用应用门户,还是网关模式的零信任,企业都需要有相应的安全产品,比如提升员工安全素养的产品、终端安全产品、认证系统、UEBA、安全告警中心等。

六、零信任架构下对安全厂家的要求

现在很多老的安全厂家在思考如何追赶零信任的热潮,让公司成功转型,还有很多初创公司也借助零信任的概念,推出新的安全产品。其实零信任的安全架构不但适合现在产业互联和数字化转型的企业,OT/IOT的场景更加需要零信任架构,留给安全厂家的时间还是很充足的。所以,阿肯认为,安全厂家只要想清楚以下两点,在安全领域就会有一片自己的天空。

第一,员工安全、主机安全、网络安全、容器安全、应用安全、数据安全、攻防渗透、应急响应等传统领域的安全还是企业安全建设的基础,但是未来企业会要求这些领域的安全产品更加灵活、专业和自动化。以高效低成本保护好这些核心资产,就是保护业务和企业的稳定,这是老板们的核心诉求。比如,应用安全产品应该尽量做到少用人工干预(人贵、难招、更不好留);数据安全应该做到敏感数据的细粒度管理、事前控制和过程干预。

第二,零信任架构下,有些安全产品将会成为甲方企业的硬需求,比如终端安全(轻量级的电脑沙箱)、安全网关、UEBA(含用户行为、资产行为)、SOAR、安全ERP等。因为企业在产业互联及数字化转型趋势下,安全成为了业务的一部分,这就需要企业安全建设像对生产系统全链条监控和快速排障一样,保持对用户/员工、账号、设备、权限、系统、数据和业务等全链条安全的实时监控、告警和快速响应。

大家认为人是慢慢变老的,其实人是一瞬间变老的。很多人认为行业转型是慢慢发生的,其实当我们感觉到变化的时候,变化已经发生了。零信任是企业需要的一种安全架构,拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上。

拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上


精彩推荐





拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上

拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上

拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上

拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上

拥抱零信任你就站在安全行业的风口,理解和落地零信任你就走在成功的道路上

上一篇:3D打印定制假肢、矫形器等收入到2030年将达10亿美元
下一篇:海通证券在SD-WAN广域网络建设的探索与实践

相关推荐

史上最高赎金:勒索软件攻击威胁着全球企业

史上最高赎金:勒索软件攻击威胁着全球企业

1543 E安全

前情提要近日REvil入侵了IT系统管理公司Kaseya,通过使用该公司的VSA产品来感染用户,然后再通过勒索软件来攻击这些用户。受害者中有瑞典杂货连锁店Coop,这是Kaseya客户之一,该事件目前已经导致Coop的500家商店店面关闭。据不完全统计,全球多达1,500家公司可能因软件公司Kaseya的勒索软件攻击而受到损害。具体内容勒索软件攻击,即黑客破

阿里腾讯苏宁等企业违反反垄断法各被罚50万;新东方虚假宣传被中消协点名;我爱我家两经纪人被刑拘

阿里腾讯苏宁等企业违反反垄断法各被罚50万;新东方虚假宣传被中消协点名;我爱我家两经纪人被刑拘

0 市界

-热点聚焦-1.【国常会:适时运用降准等货币政策工具】会议决定,针对大宗商品价格上涨对企业生产经营的影响,要在坚持不搞大水漫灌的基础上,保持货币政策稳定性、增强有效性,适时运用降准等货币政策工具,进一步加强金融对实体经济特别是中小微企业的支持,促进综合融资成本稳中有降。(央视)解读今年来首次提降准,对市场有积极作用,但目前的政策环境最多是对小微企业定向降准,

22宗大案、顶格处罚!市场监管总局出手,剑指互联网反垄断,涉多家知名企业

22宗大案、顶格处罚!市场监管总局出手,剑指互联网反垄断,涉多家知名企业

298 证券时报

7月7日,市场监管总局对互联网领域22起违法实施经营者集中案开罚单。记者注意到,这些案件中,涉及滴滴旗下全资子公司违法实施经营者集中案8起。此外,涉及阿里巴巴6起,腾讯5起,苏宁2起,美团1起。国家市场监管总局反垄断局局长吴振国近期在接受美国律师协会反垄断在线期刊专访时表示,2018年中国组建了国家市场监督管理总局,三年审结垄断案299起,罚没总额超200亿

全球光传输市场向龙头企业靠拢,我国实力可观!

全球光传输市场向龙头企业靠拢,我国实力可观!

264 通信世界

自2013年开始,全球网络流量呈现高速增长态势,提升光传输能力成为通信行业急需解决的问题之一。在今年年初市场研究公司Dell'OroGroup发布的光传输市场五年期(2021-2025)预测报告中显示,2021—2025年光传输市场的累计收入将接近850亿美元。目前,光传输设备企业约200家(规模以上的约120家),其中华为、烽火、中兴分别以24.6%、13

“滴滴出行”“BOSS直聘”等多家互联网企业接受网络安全审查,数据安全关乎国家安全

“滴滴出行”“BOSS直聘”等多家互联网企业接受网络安全审查,数据安全关乎国家安全

1394 中央纪委国家监委网站

  中央纪委国家监委网站李云舒报道近日,国家网信办连续发布了对“滴滴出行”“运满满”“货车帮”“BOSS直聘”实施网络安全审查的公告。审查期间,以上APP均已停止新用户注册。  多家互联网企业接受网络安全审查,一时间,数据安全再次成为关注焦点。接受网络安全审查的几家企业都掌握大量用户隐私数据,并且业务与关键信息基础设施有关  7月4日,国家互联网信息办公室发

“电竞专业”迎来首届毕业生 “打游戏赚钱”企业增速惊人

“电竞专业”迎来首届毕业生 “打游戏赚钱”企业增速惊人

17 游戏新动态

自2016年9月教育部发文要求高校应在体育类项目中增加“电子竞技运动与管理”专业的通知后,目前全国开设电竞专业的大学已经有二三十所,其中不乏中国传媒大学、上海戏剧学院这样的名校。今年,国内迎来了首批电竞专业毕业生。作为新兴热门行业第一批“吃螃蟹”的人,2017级电竞毕业生流向社会,也引发了广泛的热议,那么他们憧憬着的电竞行业又如何呢?企查查数据显示,目前我国

什么样的数据架构,让初创企业也能做到全球领先?

什么样的数据架构,让初创企业也能做到全球领先?

851 趣味科技v

凭借灵活扩展、专门构建、数据融合、深度智能、开源开放等特点,亚马逊云科技“智能湖仓”架构能够帮助企业快速挖掘数据价值,成为数据驱动型组织,就算是初创企业也不例外。一家令人刮目相看的初创企业一家初出茅庐的创业公司,是否能够在短短几年成为全球领先的人工智能平台企业?回答是肯定的。作为一家创建于2017年8月的初创企业,启元世界(北京)信息技术服务有限公司(以下简

25家企业精选层材料获受理:发行底价PE平均13倍 申万建投安信为保荐大户

25家企业精选层材料获受理:发行底价PE平均13倍 申万建投安信为保荐大户

1295 挖贝网

文|挖贝网张窦近期不论是A股还是精选层,都迎来一波申报高潮。6月28日至30日,全国股转公司集中受理了25家企业的精选层挂牌申请。从质地看,这25家公司盈利性与成长性兼具,18家去年利润在3000万元以上,21家去年营收、净利齐增长。发行估值,也是投资者关心的一项指标。挖贝新三板研究院资料显示,这25家新增受理企业的发行底价市盈率平均值在13倍左右,力保发行

私房话

“他最近抑郁了?原来只是出轨了。”|恋爱里的小丑竟是我自己。

324 曲玮玮

我发现了一个规律,女生总是喜欢在爱情里自我感动。为什么很多女孩明明被渣却不自知,还沉浸于自己编造的甜蜜爱情里?就是因为她们的脑补能力太强,有着莫名其妙的同情心,和异常强大的同理心。男朋友犯了某个错误,正在想道歉理由时,女生已非常懂事的为他找好了借口。然后自我感动到:“唉,我真是太善解人意了,他一定会更爱我的吧?”女生啊,有时候一个人就可以完成一场恋爱,她们就

私房话

真的,谈恋爱哪有杀老公好看

1019 八卦电影

大雨,深夜,一个男人跌跌撞撞走在街头。他不断摔倒在地上,身上带着血,满身都是泥污。他喃喃自语,见人就说——帮帮我,帮我杀了我妻子吧!不管你要多少钱,我都愿意!旁边的人觉得这就是个疯子,都不予以理会。看到没人理会,这个男人疯狂地大声喊,“救救我!怎么才能杀了我妻子.....”什么样的深仇大恨,让他做出这么变态的选择?《出轨的话就死定了》2020年开头出现的这个

私房话

我的2020年终总结,全在这些表情包里了

1511 每日豆瓣

我的工作我的思绪我的想法收到工资前的我收到工资后的我从前面对傻缺甲方的我现在面对傻缺甲方的我我的副业我的生活我的学习我的考试我的年度计划完成情况我的周末我的运动我的身材我的脸皮我的头发我的运气我的性格我的友情我的爱情我的技能我的心态我的假期从前和别人吵架的我现在和别人吵架的我我的饭量网购前的我网购后的我从前爸妈叫我相亲现在爸妈叫我相亲我向往的生活我真实的生活

私房话

不管夫妻还是情人,关系再好,也不要伸手要这三样东西!

1811 商界管理圈子

阅读本文前,请您先点击本文标题下面的蓝色字体“商界管理圈子”再点击“关注”,这样你就可以继续免费收到文章了,每天早上7:00准时分享,请放心关注.............................................在感情的世界里,伸手要和主动给,完全是两回事。如果一个人真的爱你,无需你开口,对方就会主动给你。倘若你开口提了,伸手要了,意义

私房话

人到中年,遇上灵魂伴侣,是劫不是缘

1451 阅世悦人

来源|精彩女人(ID:jcnv365)文|十七朵呀草在结他的种子,风在摇他的叶子,我们站着,不说话,就很美好。我们来这世上走一遭,如果能遇到一个心意相通,相知相爱的伴侣相守一生,是一件非常幸福的事。关于灵魂伴侣,每个人在单身的时候都曾有过美好的幻想。然而,有太多人误解了灵魂伴侣的真正含义。多少人得陇望蜀,缘木求鱼,到最后也没有好好珍惜已经得到的,却一辈子都对

私房话

“不结婚就死给你看!”30岁女子遭母亲逼婚,生完孩子后她母亲后悔了……丨天亮说早安

1733 湖北经视

朱军今年37岁,妻子刘艳30岁两人在今年年初奉子成婚刘艳怀胎十月剖腹产生下了女儿女儿现在已经三个多月了然而两人从相识到现在一年多的时间真正在一起生活的日子不过两个多月更不正常的是有了婚礼,有了孩子妻子却不愿领证不愿回两人的家妻子刘艳说举行婚礼前恰逢他的生日正好可以领取结婚证成为结婚纪念日可是朱军却提出日子要有父母决定拒绝了刘艳的提议之后又因诸多巧合一直拖到了

私房话

爸,你早就不爱我妈了吧?

1785 青年文摘

点击上方蓝字“青年文摘”右上角“...”点选“设为星标”添加★标不再错过推送每天8点12点20点不见不散~作者:关山月来源:凯叔讲故事ID:kaishujianggushi我一直相信一句话:教育永远是从生活中习得的。最好的教育,是父母相爱;最好的家庭,是不断成长。爸,你早就不爱我妈了吧?如果孩子问你,你怎么回答?当然爱啊,要不然怎么会有你。小孩子懂什么,一边

私房话

够了,别再劝我“降低标准”了。

287 一个人Alone

很多事情凑合一下就行了你都三十岁了要求别那么高学会降低标准才是聪明人的做法......可是降低标准不就等于否定过去的自己吗?够了别再劝我降低标准了我发现,新世纪的“离谱”就是,亲戚给你介绍的对象,别说你不喜欢了,你甚至会产生世纪迷思——“在他们眼里,我真的就只配这样了吗?”比如说,我月薪好几万的朋友,被介绍了一个工作稳定薪资稳定的月入三千的男人,还被说你是打

私房话

晚安 | 感情的最高境界就是守候彼此的孤独

1263 深夜谈吃

晚安|第一千七百六十八夜来自佚名▲长按图片,保存你的晚安音乐选歌:Sake推荐理由:听听歌,早点睡。睡前谈心「感情的最高境界就是守候彼此的孤独」▼这一年就快要过去了这两天在规划着跨年的事情时想起有一年我去迷笛的音乐节一边对深夜的稿子一边摇头晃脑一晃眼时代变得面目全非,我也成长了好多能跟我分享一下你们2020年的感受么最深刻的感悟或者最难忘的记忆都可以说多长都