炙手可熱的“零信任”技術(shù)到底如何融入企業(yè)安全建設?“零信任”是否又能針對性地解決每一行獨有的安全痛點，以及企業(yè)如何從0到1搭建基于零信任的安全體系?

近日，由騰訊安全主辦的安全管理者俱樂部沙龍在深圳迎來首場活動，匯聚了來自金融、物流、投研、制造業(yè)、傳媒、航空等行業(yè)的安全代表，圍繞“零信任”話題展開談論，本次安全管理者俱樂部沙龍創(chuàng)新地設置了主題分享和分組研討等環(huán)節(jié)，形成了集痛點解析、需求配對、實踐分享、成果沉淀等于一體的沙龍模式，為各行各業(yè)加速部署“零信任”提供的案例實操性的經(jīng)驗和前瞻性思考。

主題分享

李維春丨證券行業(yè)零信任場景探討

券商是一個強監(jiān)管的行業(yè)，要求辦公網(wǎng)和交易網(wǎng)兩張大網(wǎng)有效隔離，每張大網(wǎng)又通過防火墻隔離出不同的分區(qū)。雖然不同券商具體做法不一樣，但整體大同小異。

在券商行業(yè)有三個場景可能需要“零信任”技術(shù)：

一是遠程辦公和外協(xié)人員訪問網(wǎng)絡資源。遠程辦公情況下，員工經(jīng)常需要使用個人電腦通過VPN的形式接入公司網(wǎng)絡。員工使用個人電腦沒有準入控制的基線，容易引入安全風險。此外，個人電腦類型繁多，VPN客戶端體驗也很差;如果是外協(xié)人員通過VPN接入網(wǎng)絡，安全人員無法掌握和控制其行動軌跡，同樣容易引發(fā)安全風險。

二是定制化交易系統(tǒng)?，F(xiàn)在很多私募基金投資機構(gòu)會自己開發(fā)一套交易系統(tǒng)，放到券商的環(huán)境里面，和券商的交易系統(tǒng)對接。這套系統(tǒng)對于券商是不透明的，后者不知道它有多少安全漏洞，也不清楚私募基金投資機構(gòu)通過自己的防火墻后進行了什么操作。

三是整體架構(gòu)。券商的兩張大網(wǎng)之間雖然做了有效隔離，但還是存在大量數(shù)據(jù)交互：有的是接口調(diào)用，有的是設備、應用之間互相訪問，有時是用戶身份訪問設備或應用，這些都有可能導致安全隱患。

三大場景中，現(xiàn)有的網(wǎng)絡架構(gòu)已經(jīng)無法應對新時代所帶來的安全挑戰(zhàn)，如何通過零信任來解決證券行業(yè)目前面臨的網(wǎng)絡安全問題、實現(xiàn)從現(xiàn)有架構(gòu)向零信任架構(gòu)的過渡，是業(yè)界共同的訴求。

周智堅丨一句話說清安全與零信任，產(chǎn)業(yè)互聯(lián)下的安全業(yè)務架構(gòu)

通過科技將生產(chǎn)資料、設備和客戶的快速鏈接將使能企業(yè)，企業(yè)生產(chǎn)、經(jīng)營和決策將平臺化、自動化化、數(shù)據(jù)化、甚至智能化，這是產(chǎn)業(yè)互聯(lián)接下來的大趨勢，不轉(zhuǎn)型的企業(yè)將逐漸被市場淘汰。

產(chǎn)業(yè)互聯(lián)轉(zhuǎn)型的大趨勢下，信息安全就是生產(chǎn)安全，安全必須融入業(yè)務。針對產(chǎn)業(yè)互聯(lián)下企業(yè)的安全訴求，周智堅創(chuàng)造性地提出了一套名為“1+N”的零信任架構(gòu)落地方案：安全業(yè)務平臺化運行的安全ERP作為核心的“1”，連接各類安全產(chǎn)品，如員工安全、終端安全、身份識別、權(quán)限管理、自動化工具、數(shù)據(jù)安全等基于零信任的安全能力，從而推動企業(yè)從傳統(tǒng)網(wǎng)絡架構(gòu)向零信任網(wǎng)絡架構(gòu)轉(zhuǎn)型。

“1+N”零信任架構(gòu)方案的落地，既需要企業(yè)技術(shù)架構(gòu)作為基礎支持以及產(chǎn)品化和技術(shù)化，也需要安全ERP輔助才能產(chǎn)生更好的安全效果。

曹靜丨零信任能力圖譜解讀與應用場景探討

零信任是當下安全領(lǐng)域的熱門話題，安全廠商紛紛推出了各自的零信任解決方案。百家爭鳴之下，甲方企業(yè)頗有種亂花漸欲迷人眼的感覺。零信任到底有哪些能力?甲方該如何選擇適合自己的解決方案?

騰訊安全在5月份發(fā)布的《企業(yè)級零信任能力圖譜》，對零信任技術(shù)的能力做了詳細列舉。零信任的核心理念是“沒有默認的信任，只有默認的威脅”，零信任不僅可以替換VPN，實現(xiàn)無邊界的辦公和運維場景，針對云上業(yè)務系統(tǒng)的安全訪問，零信任可以隱藏互聯(lián)網(wǎng)暴露面進而阻斷黑客攻擊。

具體應用場景上，目前零信任被廣泛應用于東西向安全訪問控制、分支機構(gòu)訪問總部、應用數(shù)據(jù)安全調(diào)用、統(tǒng)一身份與業(yè)務集中管控、全球鏈路加速訪問、物聯(lián)網(wǎng)業(yè)務場景中。

企業(yè)只有了解零信任建設的能力目標，根據(jù)能力視圖、業(yè)務優(yōu)先級規(guī)劃建設場景路徑，才能分場景、分階段完成零信任整體能力體系的建設。

嘉賓演講的間隙，為增加沙龍活動的趣味性，讓與會企業(yè)對自身零信任實踐水平有更好的認識，主辦方特地邀請現(xiàn)場嘉賓參與了零信任成熟度模型自測。

分組圓桌研討

主題分享后，沙龍活動進入備受期待的圓桌討論環(huán)節(jié)。現(xiàn)場參會的嘉賓來自各行各業(yè)，每個行業(yè)都有不同的需求痛點及零信任思路和方法。為了讓與會嘉賓更好地交流碰撞，從不同視角激蕩出思維的火花，在頭腦風暴和開放討論中求同存異，圓桌環(huán)節(jié)采用了非常新穎的討論形式——由騰訊安全的兩位安全專家各帶領(lǐng)一組嘉賓分別討論，與會嘉賓從甲方立項視角和需求視角提出了針對八大零信任應用場景的具體需求。

在傳媒行業(yè)，業(yè)務場景除了會涉及多個業(yè)務部門外，還包含了混合云的網(wǎng)絡架構(gòu)。網(wǎng)絡安全架構(gòu)極為復雜，其安全建設的關(guān)鍵痛點之一是：雖然通過容器化把各類數(shù)據(jù)、資產(chǎn)以及管理配置整合到了一起，但在進行單一機群訪問控制時，會對整個網(wǎng)絡層的規(guī)劃產(chǎn)生影響。分享嘉賓認為，零信任為安全管理工作提供了一個新的視角和工具，能夠成為未來網(wǎng)絡安全管理工作的抓手。

民航領(lǐng)域的安全痛點則是——傳統(tǒng)機場連接互聯(lián)網(wǎng)的接口很少，可能就有一個是連接辦公網(wǎng)絡的。但隨著私營機場的增多，對接外網(wǎng)的接口也將越來越多。這意味著暴露接口增多將會讓機場更容易受到黑客的攻擊，對零信任解決方案中的管控對外端口功能需求旺盛。此外，目前大多數(shù)機場和空管的外部訪問管控，也需要借助零信任來實現(xiàn)進行南北向、東西向的安全管控。

在垂直行業(yè)之外，對于企業(yè)普遍存在的安全運營挑戰(zhàn)，零信任也是一把好手。來自大型企業(yè)的安全專家認為，一直以來企業(yè)對于端上的安全管控非常嚴格，加之使用VPN的情況不多，所以一直以來所有的VPN都采用白名單制。在今年疫情的影響下，遠程辦公需求激增，就需要安全運營團隊手動進行所有外部訪問的權(quán)限控制，導致工作量激增，對業(yè)務的時效性造成了較大影響。如果能夠通過零信任的動態(tài)評估功能來進行管控的話，不僅能節(jié)約人力成本、提升業(yè)務效率，還能進一步控制安全風險。

分組討論結(jié)束后，兩組各推舉出一位代表對討論結(jié)果進行圓桌成果輸出展示，由裁判組對兩組嘉賓的分享成果進行評判。

一組成果輸出

零信任的方案落地面臨著三大挑戰(zhàn)：

一是如何說服領(lǐng)導，讓他覺得“零信任”是有好處的。

二是如何讓領(lǐng)導理解零信任和傳統(tǒng)安全的區(qū)別，零信任能解決哪些問題。

三是零信任在不同行業(yè)有不同的落地方式，企業(yè)如何找到最適合自己的路徑。

二組成果輸出

零信任的應用場景分為三塊——端上的需求、系統(tǒng)側(cè)的需求和鏈路需要。

端上的需求包括Mac地址綁定、賬號共用、分支機構(gòu)、個人設備綁定BIOD、第三方機構(gòu)訪問、賬號體系互認、網(wǎng)絡變化、IOT六大塊;系統(tǒng)側(cè)的需求包括東西向、混合云等等。

不難發(fā)現(xiàn)，零信任早已從概念走向各行各業(yè)的安全場景，正在切實地帶給企業(yè)安全建設新工具、新理念。這正是騰訊安全舉辦安全管理者俱樂部沙龍的核心所在，致力于搭建匯聚甲乙雙方視角的技術(shù)交流平臺，在傳遞安全知識、實踐經(jīng)驗的同時，通過共同交流探討來探索安全產(chǎn)品在實際業(yè)務中的落地場景。

未來，騰訊安全將持續(xù)釋放自身的技術(shù)、人才與生態(tài)優(yōu)勢，攜手產(chǎn)業(yè)鏈生態(tài)伙伴共同深入探索零信任在行業(yè)中落地的新場景，持續(xù)完善適用于各行各業(yè)的新型安全機制，為企業(yè)的數(shù)字化轉(zhuǎn)型進程保駕護航。

（免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關(guān)資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責任。
任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）