持安科技孙维伯：零信任 业务与安全的最优解

10月29日，由安在主办的2022超级CSO高峰论坛，暨数字安全最佳实践研讨会，在深圳圆满举行。

围绕《零信任：业务与安全的最优解》主题，持安科技联合创始人孙维伯讲述了零信任如何兼顾企业的安全与效率，并通过持安科技7年来的甲方零信任落地实践经验，列举了零信任能够解决目前存在的哪些问题、零信任比传统安全方案的优势有哪些、能给企业带来的哪些价值。

 

01

安全与效率的现状

回顾几年来安全行业的发展，我们发现，IT技术迭代越来越快，企业用新技术来提高业务的效率，但是在技术发展的另一面，网络安全危机也在不断涌现。

多少企业能在安全事件发生时，对其进行有效的干预与阻止？

多少甲方在部署安全产品后，因为使用复杂，卡顿等问题，导致安全产品“推不下去”？

安全与业务之间，能否实现“零摩擦”？

 

持安创始团队在创业前做了20年甲方企业安全建设的工作，但是尤其在近两年，我们发现企业安全建设，亟需应对三大变化：

IT技术发生变化

业务上云、大数据、分布式数据中心、容器等技术的出现与使用，让IT基础设施环境复杂度显著提高。

业务场景发生变化

混合办公、移动办公、异地办公、分/子公司，线下门店等复杂业务场景，传统安全解决方案无法对这类场景进行全面的风险监控。

安全威胁发生变化

办公安全成为企业安全建设中最大的短板，内部人员舞弊、商业间谍、网络钓鱼、内部数据泄露、供应链威胁、APT攻击等众多攻击手段，在被企业忽视的办公网络中屡屡得手。

 持安科技联合创始人孙维伯讲到，传统冰糖葫芦串式的安全产品，存在运转效率低、安全接入成本过高、安全管理过于复杂、防护效果不佳等问题，已经不能满足企业如今的安全需求。

基于以上内部+外部环境的变化，甲方企业安全部门需要转换思维，采取更为有效的安全架构来应对种种变化，让安全工作的价值得以体现，ROI得以提升。

02

为什么是零信任？

零信任在2010年被提出，SDP能力在2013年已经标准化，可是为什么直到最近两年，零信任才开始得到重视？

 

因为零信任是一套策略，一个架构，一种理念，在没有成功落地的案例出现之前，大家普遍持观望和质疑的态度。

直到Google 在2014年在《login》杂志上发表了6篇BeyondCorp相关论文，并最终在2019年实现真正落地，加之2020年全球疫情爆发，混合办公模式成为企业刚需的催化，零信任的威力和价值才真正得到体现。

Google BeyondCorp 可以说是全球网络安全领域最知名的安全架构之一，也是全球范围内最早落地零信任理念的项目。BeyondCorp架构最值得借鉴的优势主要有下面几点。

 

保障业务效率

Google BeyondCorp项目在设计之初，优先考虑企业内部的业务模式，保障后续业务在全球化、移动化、异地化、IT复杂化的背景下，可以流畅的使用。

基础设施化

从完善办公基础设施的角度，来建设企业的安全架构，让安全承载业务，业务无需关心安全，安全在背后发挥作用。

支撑业务

与企业各类业务场景深度融合，根据具体的业务模式，设置特定的安全策略，使安全支撑业务，而非拖累业务。

安全能力一体化

安全产品不应是单个系统，而应该是一个整体，产品之间联防联控，使其价值最大化。

高维对抗

只有身份、设备、行为皆可信的数据包，才可通过信任链的验证，而非传统的基于特征的对抗。

03

持安零信任最佳实践怎么落地？

参考Google BeyondCorp项目，持安科技创始团队在2015年开始在甲方实施、落地零信任理念，持安认为，零信任的最佳实践，应该具备以下特性。

不影响用户体验

同样安全，更少操作。

不改变业务

不动代码，无感接入。

安全不救火

变被动应急响应为主动防御，业务不加班。

 

持安科技旗舰产品持安远望办公安全平台®让每位用户都可以在不借助VPN的情况下平稳流畅地接入办公网络，从此企业办公不再区分内外网，访问只依赖于设备、用户身份凭证和网络环境安全，而与用户所处的位置无关，兼顾企业的网络安全与效率。

在应对网络层、应用层的挑战时，持安零信任解决方案具有明显优势：

网络层挑战

传统的安全产品中，网络层为集中转发模式，无法解决传输效率和延时问题，难以在内网中使用。

持安分布式访问模式可以让业务就近访问，智能对BS、CS应用流量进行分流，解决传输效率和响应时延的问题，在内网使用，解决性能瓶颈问题。

应用层挑战

持安应用层零信任可以采集到业务与应用的数据，通过统一身份认证，将分散的身份源集中管理，实现身份、网络、应用、业务的集中认证，实现访问控制精准授权，有效防护应用和业务风险，防护应用0day漏洞，彻底防护未知人员发起的未知攻击。

同时，只要用户的访问行为不停止，零信任动态决策引擎就不停止，持续监控，持续评估，发现异常，及时阻断。

04

持安零信任的主要价值

对于普通用户

企业员工远程办公或移动办公时，不再区分内外网，员工可以在任意地点、任意时间，采用与办公室同样的操作方式，平稳流畅地使用企业的办公系统。

对于业务部门

接入即安全，业务人员日常不需要关注企业IT网络的变化，不需要为了安全系统的接入与更新维护做二次开发与对接，不影响业务发布。

 

对于安全部门

对企业每位员工的行为完整的可视化展现，自动记录某位员工在什么时间、使用过哪些设备、访问了哪些资源，如发现异常行为可以及时响应和阻断。

防止未知人员攻击，将已知人员攻击收敛到可见场景。

强大的事件分析能力与数据支撑，帮助安全部门做出更加及时、准确的决策。缓解容器、物联网设备管理、云计算架构更新等新兴技术的发展给企业安全部门带来的巨大压力。

总之，使安全成为业务的一部分，共生共荣。