炙手可热的“零信任”技术如何融入企业安全建设?“零信任”能否针对性解决各行业特有的安全痛点,企业如何从0到1构建基于零信任的安全体系?近日,由腾讯安全主办的安全经理人俱乐部沙龙迎来了首场深圳活动,汇集了来自金融、物流、投研、制造、媒体、航空等行业的安全代表,围绕“零信任”的话题进行研讨,本次安全经理人俱乐部沙龙创新设置了以下话题:分享和分组讨论,形成集痛点分析、需求匹配、实践分享、成果积累于一体的沙龙模式,加速各行各业“零信任”布局。》案例提供的实践经验和前瞻性思考。专题分享李伟春丨浅谈证券行业零信任场景券商是一个高度监管的行业,需要办公网和办公网两大网络的有效隔离交易网络,每个大网络都被防火墙隔离成不同的分区,虽然不同券商的具体做法不同,但总体情况类似,在券商行业,可能需要“零信任”技术的场景有3种:一是远程办公、外包人员访问网络资源,在远程办公的情况下,员工经常需要使用个人电脑通过表单访问公司网络,员工使用个人电脑没有访问控制的底线,很容易引入安全隐患。另外,个人电脑种类繁多,客户体验也很穷;如果外部人员接入网络,安全人员无法掌握和控制其行动轨迹,也容易造成安全隐患。二是定制化的交易系统。现在很多私募基金投资机构都会开发自己的交易系统,放在券商的环境中,与券商的交易系统对接。这个系统对经纪人来说是不透明的,他们不知道它有多少安全漏洞,也不知道私募股权投资机构通过自己的防火墙做了什么。三是整体结构。券商的两大网络虽然已经被有效隔离,但仍然存在大量的数据交互:有的是接口调用,有的是设备和应用之间的相互访问,有时用户访问设备或应用,这些都可能导致安全隐患。在三大场景中,现有的网络架构已经无法应对新时代带来的安全挑战。如何通过零信任解决当前证券行业面临的网络安全问题,实现现有架构向零信任架构的过渡是一个关键问题。行业的共同需求。周志坚丨一句话,把安全和零信任说的清清楚楚。工业互联网下的安防业务架构,将使企业通过技术快速链接生产资料、设备和客户,企业的生产经营和决策将实现平台化、自动化和数据化,甚至智能化,这是工业互联网的下一个大趋势,不转型的企业将逐渐被市场淘汰。在工业互联网转型的大趋势下,信息安全就是生产安全,安全必须融入业务。针对工业互联网下企业的安全诉求,周志坚创造性地提出了名为“1+N”的零信任架构实施方案:运行在安全业务平台上的安全ERP是核心“1”,连接各类安全产品,如员工安全、终端安全、身份识别、权限管理、自动化工具、数据安全等基于零信任的安全能力,从而推动企业从传统网络架构向零信任网络架构转型。“1+N”零信任架构解决方案的实施,不仅需要企业技术架构作为基础支撑、产品化和技术,更需要安全ERP的辅助,才能产生更好的安全效果。曹静丨零信任能力图谱解读及应用场景讨论零信任是当前安全领域的热门话题,安全厂商纷纷推出了自己的零信任解决方案。百家争鸣下,甲方公司有一种乱花渐艳的感觉。零信任有哪些能力?甲方应该如何选择适合自己的解决方案?腾讯安全5月发布《企业级零信任能力图谱》,详细罗列了零信任技术的能力。零信任的核心理念是“没有默认的信任,只有默认的威胁”。零信任不仅可以替代,还可以实现无边界办公和运维场景。对于云上业务系统的安全访问,零信任可以隐藏互联网的暴露面,从而阻断黑客攻击。从具体应用场景来看,目前零信任广泛应用于东西向安全访问控制、分支机构访问总部、应用数据安全调用、统一身份和业务集中管控、全球链路加速访问、物联网业务场景。企业只有明确零信任建设的能力目标,并根据能力视图和业务优先级规划建设场景路径,才能分阶段、分场景完成零信任整体能力体系建设。在嘉宾演讲间隙,为增加沙龙的趣味性,让参会企业对自身零信任实践水平有更深入的了解,主办方特别邀请嘉宾参与零信任成熟度模型自测。在分组圆桌讨论的主题分享之后,沙龙活动进入万众瞩目的圆桌讨论环节。参会嘉宾来自各行各业,每个行业都有不同的需求和痛点以及零信任的思路和方法。为了让与会嘉宾更好地交流与碰撞,从不同角度激发思维火花,求同存异,集思广益,畅所欲言,圆桌环节采用了非常新颖的讨论形式——由来自中国的两位安全专家领衔。腾讯安全。嘉宾群分别进行了讨论,嘉宾分别从甲方立项和需求角度对8个零信任应用场景提出了具体要求。在传媒行业,业务场景不仅涉及多个业务部门,还包括混合云网络架构。网络安全架构极其复杂,其安全建设的一大痛点在于,虽然通过容器化整合了各种数据、资产和管理配置,但当网络的访问控制无法控制时,会影响整个网络层的规划。执行单个集群。影响。分享嘉宾认为,零信任为安全管理提供了新的视角和工具,可以成为未来网络安全管理的起点。民航领域的安全痛点是,传统机场接入互联网的接口很少,其中一个可能接入办公网络。但是,随着私人机场的增多,连接外网的接口也会越来越多。这意味着更多暴露的接口将使机场更容易受到黑客攻击,并且对零信任解决方案中控制外部端口的功能有强烈的需求。此外,目前大部分机场和空管的外部访问控制也需要使用零信任来实现南北向和东西向的安全控制。除了垂直行业,零信任也是应对企业常见安全运营挑战的利器。大企业的安全专家认为,企业一直以来对终端的安全管控都非常严格,使用的也不多,所以一直都在使用白名单系统。今年疫情影响下,远程办公需求激增,需要安全运营团队手动控制所有外部访问权限,导致工作量激增,对业务时效性影响较大。如果能够通过零信任的动态评估功能进行管控,不仅可以节省人力成本,提高业务效率,还可以进一步控制安全风险。小组讨论结束后,每组提名一名代表输出并展示讨论结果,裁判组对两组嘉宾分享的结果进行评判。一套结果输出的零信任解决方案的实施面临三大挑战:第一,如何让领导者相信“零信任”是有益的。二是如何让领导明白零信任和传统安全的区别,零信任能解决什么问题。三是零信任在不同行业有不同的实施方式,企业如何找到最适合自己的路径。第二组结果输出的零信任应用场景分为三部分——端端需求、系统端需求、链路端需求。端需求包括Mac地址绑定、账号共享、分支机构、个人设备绑定BIOD、第三方机构接入、账号系统互认、网络变更、IOT;系统侧的需求包括东西向、混合云等。不难发现,零信任已经从一个概念走向了各行各业的安全场景,它实际上正在为各行各业带来新的工具、新的概念。企业安全建设。这是腾讯安全安全经理人俱乐部沙龙的核心。致力于搭建汇集双方观点的技术交流平台。在传授安全知识和实践经验的同时,通过共同交流研讨,探索安全产品在实际业务中的作用。着陆场景。未来,腾讯安全将继续发挥自身在技术、人才、生态等方面的优势,携手产业链生态合作伙伴,共同探索行业零信任落地新场景,不断完善适用于所有人的新型安全机制各行各业,为企业提供数字化解决方案。为转型进程保驾护航。
