持安零信任入选数说安全《零信任安全产品研究报告》

持安科技

于 2022-08-01 10:05:49 发布

阅读量1k

点赞数

文章标签：安全

本文链接：https://blog.csdn.net/chiansec_/article/details/126095255

版权

近日，网络安全产业研究机构“数说安全”，对业内最受关注和认可的零信任安全厂商发起调研，发布《零信任安全产品研究报告》。

持安科技作为国内最早落地零信任的安全厂商，深度参与了此次报告的调研与发布。

报告研究发现：

零信任理念在国内正处于高速发展阶段，且未来将与企业IT架构、业务模式更加深度融合，最终成为企业信息化建设的基础设施；
访问接入、联防联控、数据安全精细化运营、漏洞防护仍是企业目前面临的主要问题，零信任理念将首先从这些场景逐步落地。

接下来是对报告内容的解读，分为6个Part：

一、零信任理念-从开始到落地

二、企业安全建设工作的挑战与冲突愈演愈烈

三、零信任五大核心技术与能力的对比

四、零信任平台级产品，超融合能力必须有

五、分布式部署 ≠ 分布式访问

六、如果什么都要通过零信任，那零信任产品自身的安全性怎么保证

零信任理念-从开始到落地

“零信任”作为近两年来网络安全市场热度最高的词汇，一千家安全厂商就有一千个零信任定义。

但数说安全认为，零信任是一种思想，认为人可能被收买，人的身份信息可能被窃取，设备也可能被攻破，因此没有任何一个人，设备或系统应该被无条件地、长久地信任。所以应当收集尽可能多的信息，对人、设备、系统、被访问资源进行动态评估，从而给予用户或设备对资源访问的实时、动态访问授权。

数说安全《零信任安全产品研究报告》图一：零信任系统架构图

谷歌 BeyondCorp 项目，被认为是零信任理念在全球企业办公安全领域最早落地的案例。

BeyondCorp 零信任安全框架将访问控制从网络隔离转移到企业员工身份鉴权，员工办公不再区分内外网，可在全球任一位置安全工作。

Google BeyondCorp 项目的落地，验证了零信任最佳实践在大型企业落地的价值。

在国内，业务涉足游戏、娱乐、教育的完美世界集团，面临的内部安全挑战愈加明显，传统的安全产品已经无法提供有效防范，尤其是随着公司业务的飞速扩张和增长，安全部门与业务部门的冲突也愈加凸显。

时任完美世界安全负责人的何艺，通过深入了解研究 Google BeyondCorp 项目，于2015年正式启动完美世界零信任安全项目，并在2019年实现全集团的全面落地。

从此完美世界集团内部所有业务场景、分支机构、子公司，全部接入零信任系统，在2020年新冠疫情期间，零信任保障了完美世界全员远程办公的安全和效率。

2021年，在感受到了零信任在国内落地的价值和威力之后，何艺决定创业，成立持安科技，坚定不移地将零信任理念在更多行业、企业、场景落地。

何艺希望能结合自身将近20年的甲方安全建设经验、7年不间断的甲方企业零信任落地经验，为更多企业提供高质量的零信任产品和解决方案。

企业安全建设工作挑战与冲突愈演愈烈

何艺从多年甲方安全建设工作中感受到，企业安全工作存在诸多挑战与冲突，并且有愈演愈烈的趋势：

1、办公场景愈来愈复杂

几十上百个信息化系统，员工来自子公司、外包人员、第三方合作机构，上下供应链等，混合办公安全风险与管理难度加大。

2、传统防御方式失效

传统围栏式的边界防护、基于特征对抗的方式，难以持续保护企业办公安全。

3、攻击事件不断增加

科技发展使攻击成本越来越低，而攻击成功后的收益只增不减，在利益驱使下，企业内部舞弊、数据泄露、商业间谍事件层出不穷，祸起萧墙，甲方安全部门防不胜防。

4、安全与业务的效率冲突

当安全部门的工作无法保障和承诺效果，安全部门在企业内部的价值和话语权也受到业务部门的大量质疑，例如：安全产品的部署会拖沓业务上线效率，过多碎片化的安全产品给普通员工的日常工作增加负担等等。

持安科技综合以上甲方企业安全建设工作的现状考虑，结合团队对零信任理念在国内的研究与落地经验，自主研发了业内顶尖的零信任平台级产品——持安零信任平台。

持安零信任平台架构

//“零信任应该成为企业办公安全的基础设施，承载业务，兼顾安全与效率，让安全部门的工作为全公司赋能。” ——这是持安零信任产品的核心宗旨。

零信任五大核心技术与能力对比

第一、身份识别与管理技术

零信任成为办公安全基础设施的关键一步，是构建以身份为中心的基础网络，身份识别与管理是零信任的核心能力之一。

解决多个身份管理系统的协同问题，也是现阶段零信任身份安全面临的主要挑战之一。

持安零信任平台身份安全能力包含：

1、统一的身份安全中心；

2、多因素认证能力、多种SSO协议接入能力；

3、复杂身份源数据混合认证与同步能力；

4、与第三方认证源打通的能力；

5、标准化身份集成接口，可以与企业内部任意自建或采购的身份系统集成。

数说安全《零信任安全产品研究报告》零信任产品与身份管理系统对接表

持安零信任平台与其他零信任产品，在身份能力上不同的是：

身份验证、SSO等比传统IAM对外暴露面更小，更灵活，可以与任意第三方IAM系统、开源CAS等系统做无缝对接，接入时无需二次开发，无成本接入。

第二、授权管理与动态访问控制

零信任在访问控制粒度的追求，可谓是没有最细只有更细。
针对用户身份信息进行鉴权，控制用户访问业务的范围，能够实现人——终端——服务器——业务应用——资源——数据的全链路访问控制。

每一个行为都带有身份信息而非传统的IP信息。在用户访问时进行重复身份校验，务必保障“此刻的你”与“刚才的你”是同一个你。

第三、网络访问控制技术

数说安全报告内提出，网络访问控制技术包含两种关键技术：

1）SPA单包授权认证

零信任通过SPA实现业务隐身能力， SPA会根据内置算法生成一个单数据包，在经过加密分组等等手段发送到网关，只有这个数据包通过了零信任的可信验证，才会与后面的系统建立连结。

数说安全《零信任安全产品研究报告》SPA采用的通信协议

2）流量劫持

本质上，流量劫持面临的是域名和 IP 的问题，零信任采用的是网络层虚拟网卡，按需引流，应用层通过域名解析方式引流。

数说安全报告提到，在实践中，因为用户互联网接入链路的质量问题，SDP 的在用户使用体验方面存在很有挑战。比如因为互联网接入商出口 IP 发生变化，造成通信五元组的变化，会造成要求用户进行再次身份验证的问题。
持安零信任解决方案 在应用层通信中就可以带入身份、终端、IP、访问对象以及凭证等信息，可以根据策略灵活开启或关闭。如果开启，信任链校验失败就会被要求验证，用户体验较SDP有显著提升。

第四、终端安全评估与终端安全防护技术

终端安全是零信任的重要能力之一。技术难度大，在产品的系统兼容性、稳定性、系统开销、多样性等方面，存在诸多挑战。

持安科技使用高性能、轻量级的终端，可使用私有化、独立式、多平台整合等方式部署。