持安科技孙维伯：实战零信任最佳实践

Gartner预测，到2025年，60%的企业机构将把零信任作为安全工作的起点。

但是，国内许多企业在实施所谓的零信任时，却并没发现零信任有多“香”，这是为什么？

也许你用的零信任，并不是真正的零信任。

在今年ISC零信任论坛，持安科技联合创始人孙维伯，发表了题为《实战零信任最佳实践》的主题演讲，分享了持安科技探索和落地零信任最佳实践的心得和经验。

#1

这是有成功实践经验的零信任

零信任理念自2010年被提出之后，当时在市场上并没有掀起多大的水花，真正使零信任走入大众视野的，是谷歌、微软、亚马逊等大型企业落地零信任后，使业界看到了零信任真正的价值

谷歌

2010年前后，谷歌内部开始了代号为BeyondCorp 的零信任安全项目，Corp 是Corporate Network 的简称，代表企业网络，BeyondCorp的意思，正是打破企业安全在网络隔离方面的局限，不再区分内外网，而是根据员工身份鉴权，员工可以在任一地点安全接入企业资源，用户体验平稳流畅，从此，企业无需牺牲效率做安全。谷歌陆续在2011年至2017年，将该项目的论文公开，被全球各企业广泛认可与学习。

微软

基于微软Azure云的零信任方案，架构上与BeyondCorp类似，身份安全能力主要通过Azure AD产品打通，该方案还可与微软的XDR、Microsoft365数据安全方案集成，使其效果更佳。微软目前已将90%+业务应用迁移上云，在云安全的保障下，数据可以从微软云传输到个人的任何设备上，随时随地进行高效办公和团队协作。微软的零信任成功保障了微软全球30多万员工、64万台设备每时每刻的安全访问。

亚马逊

每天有数百万客户通过Amazon管理控制台或各类公共/私有网络，安全地调用Amazon API，与Amazon服务实现交互。以用户身份为中心，解决了IoT设备的安全问题。每连接一台终端，就要加密一次，认证一次，AWS让零信任理念成为保障各种网络设备安全的基础。

#2

都叫零信任，有啥不一样？

相较于传统安全产品

零信任接入后，可以大幅提升员工网络访问的效率与安全性。无论员工在哪里，用什么终端设备，真正的零信任都可以使用同样的细粒度访问控制策略，验证人员、设备、身份、权限、行为等皆可信后，才可访问办公系统，极大节省了记密码、多系统登录的时间成本。且由于零信任的“先认证，再访问”原则，可以将未授权的用户与企业资源隔离开，在企业业务系统漏洞防护和大型攻防演练中有显著效果。

相较于网络层的零信任产品

真正的零信任最佳实践需要承载业务，所以应该同时具备网络层和应用层的能力，尤其是应用层。通过与业务深度关联，感知业务应用的特征与权限，做最小化授权的访问控制，且在零信任持续运营过程中，基于用户行为数据，不断优化零信任与企业业务场景的贴合度。

其次，应用零信任可以通过BS应用转发，速度比网络层转发有显著提升，可以分布式部署的同时，做分布式访问，用户访问不绕圈，体验不卡顿，无延迟。

此外，网络层零信任产品难以有效防护应用风险，应用层零信任可以防护未知漏洞，同时对已知漏洞进行虚拟热补丁修复。

最后，平台化的零信任产品，可以与企业原有的安全产品超融合，拥有联防联控的一体化安全能力。

#3

持安零信任是国内零信任理念的最佳实践

办公便利、承载业务、安全一体化！

2021年4月，持安科技成立，希望为企业提供高效、无感知的办公安全方式。

团队成员基于自身20年甲方安全建设实践经验，2015年开始的零信任研究、落地、运营经验，10余年的数据安全与攻防实战经验，同时参考 Google BeyondCorp 项目框架，最终发布重磅零信任平台级产品——持安零信任平台。

持安科技零信任最佳实践落地目标

新一代零信任安全框架，应将安全融入企业办公基础设施，以提供办公便利为主线，安全为隐藏线。

安全产品从接入到使用，对业务不改造，无感知，安全不仅助力业务运行，更需要参与、帮助业务建设。

建立以身份为中心的一体化安全防护能力，使企业所有安全产品的能力得到融合打通，联防联控，打造从预测、防御、监测、响应的全链路零信任安全能力。

#4

持安零信任平台架构优秀是关键

 持安零信任平台，是持安科技团队自主研发、采取微服务架构设计的企业办公安全基础平台。以组件可插拔方式，满足企业混合办公、安全防护、合规审计等多类使用场景，实现了从网络、应用、资源、数据层面的全链路零信任安全能力。

持安零信任应用网关

网关可以根据业务的实际位置分布式部署，解决企业在国内外，SaaS、公有云、私有云、IDC等不同访问途径的零信任安全问题。

同时网关还拥有网络层、应用层、数据层全链路零信任能力，比SDP等网络层网关接入效率更高、使用体验及安全性更好。

持安零信任终端

终端嵌入甲方各类办公套件，实现用户一次登录，全天安全。

此外，员工使用过程中，终端时刻开启安全感知能力，对员工身份、设备、行为进行动态安全检测，一旦发现问题，及时警告、反馈与修复，以达到业务数据防泄漏、防止过度授权的目标。

持安零信任控制中心

是用户每一个访问请求与动作的决策中心，可视化的管理平台，降低安全运维管理成本，确保用户行为合理、合法、合规。

决策中心也是持安零信任安全一体化的落脚点，与甲方各类安全产品融合后，抚平碎片化的、复杂的企业网络，提升企业整体的安全能力，使企业安全工作价值最大化。

作为国内第一个真正以甲方身份创业的零信任厂商，持安科技积累了较为完备的零信任规划、实施、运营落地方法论，这些经验，非长期实践积累不可得。

#5

持安零信任平台让安全和业务统一战线

持安零信任产品与服务方案，目前在多个行业标杆客户中落地。

某头部消费品公司

团队规模数千人，所有业务、所有员工全部上零信任，员工办公不区分内外网，实现零信任权限最小化、动态鉴权以及去静态密码化。

某头部地产集团

近百万存量用户，10万+日活用户，在大并发办公环境下零信任平稳流畅，持续校验、实时访问控制，始终保护着企业的办公安全。

某大型互联网公司

万人规模，已完成零信任连续7年的落地使用，通过零信任平台打通安全其他系统，实现安全一体化，以及持续安全运营。