近日,零信任辦公安全領域標桿企業,持安科技2023年度產品發布會在北京成功舉辦,持安科技創始人兼CEO何藝,向現場300多名來賓及線上近8000余名觀眾,詳細介紹了持安科技8年來,在甲乙雙方探索零信任落地實踐的一系列成果。
大會由安全419創始人張毅主持,賽博英杰創始人譚曉生擔任大會致辭嘉賓及圓桌論壇主持人,某度假區信息安全總監陳綱、新東方教育科技集團信息安全負責人楊寧、智聯招聘信息安全負責人李歡、方廣資本投資副總裁王博分別從甲方企業信息安全部門及投資人的專業角度,對零信任在中國地區的落地之路進行了闡述和分析。
01 到底什么是零信任?
零信任2020年左右開始變為國內安全圈熱點話題,持安科技2021年成立,從甲方轉變為乙方,但剛創業時我們面對市場有些茫然,仿佛市面上“萬物皆可零信任”,那真正的零信任到底是什么?
零信任=幫助企業做遠程辦公?
零信任=下一代VPN?
零信任=多產品集成方案?
零信任=持續驗證,永不信任?那么準入算不算零信任?
持安科技作為一家懷揣夢想,以甲方身份創業的零信任企業,希望零信任為甲方的企業安全做些什么?
我們想帶著這些問題,在后面的內容中與大家一起探索以上問題的答案。
02 甲方視角:一切從解決問題的角度出發
零信任之所以出現,是因為已經延續了20、30年的傳統安全,已經不能保證企業的安全了。
1. 邊界防御失效
傳統安全以邊界防御思想為主流,但是隨著遠程辦公、移動辦公等工作模式的出現,使邊界越來越模糊。且在邊界防御模型中的“內網”也不是絕對安全的,存在隱形信任,社工、滲透等攻擊一旦突破了邊界防御,在內網中會很容易橫向移動。
2. IT基礎架構變化
以前的系統是單一服務化的,但是現在微服務、云原生等新技術的出現,也增加了企業IT架構的復雜度,而此時再以傳統糖葫蘆串的方式來部署安全產品,會導致每增加一個安全產品,業務的復雜度就會上升,安全產品一旦出了問題,就很可能會導致業務系統中斷,安全系統與業務串的越多,系統的復雜性和風險就越高,所以業務不愿意把讓安全與業務串聯,迫使安全產品只能做旁路分析。
3. 特征對抗防御失效
安全的本質是攻防兩側的對抗,但以前大多數的對抗是基于特征,無法發現所有的漏洞,無法檢測出所有的攻擊手段,安全部門只有被動防守,無法做主動防御。
基于以上三點,網絡安全領域需要一場理念上的變革。
持安對零信任的理解
我們認為,零信任在很多方面改變了傳統安全的邏輯:
1. 安全模式
以往業務人員在訪問業務系統時,會先接觸到業務系統,然后再驗證身份,也就是說任何人都可以接觸到業務系統。攻擊者隨時可以對系統展開攻擊,防守方只能被動挨打。即使系統一時沒有漏洞,也不能保證系統永遠沒有0day\1day漏洞出現。
零信任將傳統的“先訪問,再驗證”模式,變為“先驗證,再訪問”,所有的請求都必須先經過可信代理,可信代理把訪問請求轉給決策引擎,決策引擎判斷數據包可信后,再將訪問請求轉到訪問目標上。
2. 對抗方式
改變過去基于特征的對抗方式,真正的零信任是基于可信驗證,根據訪問者的業務身份構建信任鏈,只有經過驗證滿足多種元素可信標準的請求,才可以進入到業務系統。此時,業務系統內即使存在漏洞,到達業務系統的數據也是可信的,因此可以有效抵御未知人員發起的未知攻擊。
Google 當年遭遇了嚴重的APT攻擊,攻擊者通過多種0day漏洞組合,拿到了權限,而做BeyondCorp 后,顯著提高了業務系統的防護能力。
3. 信任關系
零信任可消除隱形信任,隱形信任是指一次驗證后,后續的訪問動作不再做驗證。而零信任會將訪問者每一個對業務的訪問請求做可信驗證,以保證在信任關系發生變化時及時阻斷。
4. 防護對象
基于網絡邊界隔離做防護很容易被攻破,而零信任將防護邊界轉移到業務前面,真正的防護對象是業務,不再根據內外網來判定訪問者是否安全,而是基于業務身份、行為、可信狀態等。
零信任帶來的改變是什么
1. 攻防態勢的轉移
傳統的防守方在和攻擊者做對抗時,攻擊者處于優勢地位,攻擊者可以隨時偽造、構建數據包展開攻擊,攻擊成本很低。零信任將攻防態勢變為主動防御,所有請求先到零信任網關做身份、設備等元素的可信驗證,攻擊者的攻擊成本會非常高,所以會使攻擊者處于劣勢地位,而防御方處于優勢地位。
2. 運營能力變化
傳統安全更多地是在做事中、事后分析,而零信任是主動防御的系統,對所有的請求默認拒絕,可以利用這種能力做主動對抗。
3. 業務價值體現
傳統安全離業務很遠,很難證明自身的業務價值,但是零信任是基于業務來構建,可以幫助業務解決問題,使安全價值最大化。
03 持安堅持做應用層零信任
持安科技創始人兼CEO何藝
何藝在創業之前,是大型互聯網企業完美世界集團的信息安全負責人,所以持安的產品從一開始就自帶甲方企業落地的基因和視角,最重要的目標就是給企業的安全部門帶來實實在在的價值。
持安科技想做什么
持安零信任產品的整體思路,是在傳統的IT基礎設施之上建立零信任體系,以業務身份為中心,在網絡-主機-應用-數據層全部貫徹零信任能力,承載業務,基于分層防護思想,覆蓋甲方全場景、全行業的辦公場景。
基于應用層零信任能力的產品:持安遠望辦公安全平臺4.0
在持安零信任產品的設計之初,就充分考慮到了以下三個原則:
1. 平臺化
零信任作為企業安全基礎設施,需要承載業務,本身的可靠性、性能、持續動態擴容的能力十分重要。因此,持安以平臺化的方式構建零信任架構,所有組件微服務化,可動態拔插,組件分布式部署,組件調用十分高效,可以做彈性擴容,而傳統的產品組裝的方式,無法實現零信任的最佳實踐。
2. 效率優先
零信任能夠在甲方快速落地,就需要效率至上,用戶無感知、0學習成本,業務不需要改代碼、接入成本低,可一體化管理,提高效率。
3. 貼合業務
不單單做網絡層,我們站在業務的角度,幫助業務解決問題。
持安遠望辦公安全平臺V4.0架構
在持安遠望辦公安全平臺4.0架構中,包含多個功能組件。
在網關層面,平臺包含網絡、主機、應用層等多種類型網關,來解決分層訪問的問題,用戶的訪問請求會先到達決策引擎,決策引擎會通過訪問者的身份、設備、數據、行為等多種維度,判定該次訪問是否可信。
在端點側,持安提供有端、無端兩種方案,或與企業已有的終端打通,滿足甲方不同場景下的訪問需求。
此外,產品可以與企業原有的安全能力做融合,聯防聯控,實現真正的安全一體化。
持安零信任產品在網絡層、主機層、應用層、數據層,分別做了不同的能力,以應用層能力為主,每個層級都做動態訪問管控。
持安在做產品設計與落地時,最開始考慮的問題就是如何在企業全網落地零信任,而不是在某一個接入場景,比如遠程辦公場景,零信任天然適用于遠程辦公,但不以遠程辦公場景為主來設計產品,這兩者有很大區別。
比如基于VPN開發的SDP,底層傳輸還是建立隧道,多個網關或POP節點,但同一時間同一個客戶,只能鏈接到同一個接入點,所有請求都通過這個接入點進行轉發,這種形態在大型企業內網中,會導致網絡延遲、風險過于集中、單點等問題。
持安在每一個層級都施行分布式訪問,每一個接入點都部署在業務前面,用戶在任一地方訪問,零信任會做任務調度,走最近的路線,一個端點可以同時訪問多個地方,這個特性看似和安全沒關系,實際上會影響零信任最終的落地效果。
持安為什么要做應用層零信任?
傳統安全vsSDP零信任vs持安零信任
在傳統安全產品中,VPN在網絡與傳輸層上面,能夠控制IP與端口的維度。
SDP也是在控制網絡,在控制域名時會翻譯成IP與端口,但是網絡層無法看到上層的數據,所以SDP對接收到的數據包沒有控制能力,如果數據包內包含對業務攻擊的數據,也無法攔截。
基于Google BeyondCorp 模式下的應用層做零信任,即便網絡層建立了通道,在應用層會基于訪問請求,基于業務身份的信任鏈做可信驗證,將不可信的數據包拒之門外,可天然防護業務應用。
應用層零信任在國外已經獲得諸多認可,美國聯邦零信任戰略里提到“零信任要基于應用層去構建”,零信任之父 John Kindervag 也在2022年CSA的采訪中提到,零信任要基于7層(即應用層)來構建。
場景演示
① 遠程辦公場景下的入侵演示
潛在風險:被動防御設備容易被繞過,無法隔離風險,業務存在風險。
攻擊路徑:釣魚感染遠程終端->控制員工家庭終端->復用SDP通道->攻擊內網業務。
傳統防護缺點:網絡層控制無法防護,而以端上特征檢測的方式來對抗,雖然有一定價值,但成本很高。
②零信任攔截遠程接入風險
防守思路:在業務前加入應用層零信任能力,攻擊者的請求無法通過零信任可信驗證,不能接近業務系統,從根源攔截攻擊者的非法請求。
安全價值:對于內網攻擊、釣魚等場景,零信任可通過收斂攻擊面,基于可信驗證,阻斷一切未知人員的訪問請求,攔截未知風險。
③零信任動態防御的效果
防守思路:基于“人”請求行為過程,以業務的身份建立信任鏈,來進行持續可信驗證,動態感知終端風險變化,對非可信終端訪問,終端的異常變化,異常網絡等情況主動攔截。
安全價值:持續驗證,發現請求者的環境異常變化,信任鏈條中斷后,訪問過程無法繼續。
目前,持安可提供一體化辦公安全解決方案,同時也可在應用安全防護、遠程辦公安全、數據安全管控、移動辦公安全、實網攻防、業務暴露面收斂等多個具體場景提供安全解決方案,具有應用未知漏洞防護、快速應急響應、兼顧安全與效率、可在全網落地等特色。
04 持安8年甲方零信任落地之路
作為一家擁有20年甲方企業安全建設經驗,8年甲方企業零信任落地經驗,并最終以甲方身份創業的零信任公司來說,持安希望成為中國最懂甲方的零信任安全專家。
2015年
何藝作為完美世界集團安全負責人,在完美內部開啟了零信任實踐與落地工作,深度研究了Google BeyondCorp 應用層架構,歷經四年使該架構在完美世界全面落地。零信任架構在完美世界對抗APT攻擊、防御勒索攻擊的過程中發揮了極大地安全價值。
2020年疫情爆發,何藝主導部署的零信任架構,讓完美世界在遠程辦公、混合辦公期間發揮了重要作用,保障了企業復工復產的有序開展。
2021年
何藝與孫維伯、張廣迪共同成立持安科技,從一開始,就堅定了基于業務做應用層零信任的產品方向。
持安科技深刻地理解到,一旦安全與業務深度融合,就意味著我們的責任非常重大,我們希望通過持續做“難而正確的事”,讓甲方企業安全部門的工作價值能夠被看見和認可。
2022年
獲得IDC資本、方廣資本、金沙江創投、完美世界兩輪融資過億元融資,解決方案已在互聯網、金融、能源、科技、地產、高端制造、新零售等眾多領域落地,累計接入業務系統超5000+,用戶數量50萬+,單體客戶用戶規模10萬+。
獲得中國信通院、數說安全、安全牛、FreeBuf、嘶吼、安全喵喵站等多個專業機構的認可,累計獲得獎項50+,完美適配國產化系統。
團隊積極參與零信任領域的觀點輸出及標準研制,先后參與零信任產業標準工作組《T/CESA1165-2021零信任系統技術規范》《零信任接口應用白皮書》《零信任實戰白皮書》、中國信通院《零信任發展與評估洞察報告》等多個零信任相關標準與報告撰寫。
2023年
持安科技發布中國零信任領域的平臺級重磅產品:持安遠望辦公安全平臺V4.0,。面對未來,擁抱變化,我們做好了準備。
最后,再次感謝大家對持安科技的支持和認可!
