“连接创造价值,安全为连接保驾护航。”在零信任十周年峰会上,集团云安全研究院高级安全总监魏小强分享了零信任身份管理和安全连接架构等话题。零信任峰会由云安全联盟大中华区主办,联合国UN2020指导。于6月5日成功举办,360是主要主办单位之一。数字化转型的基础是安全连接。数字化转型推动企业上云数量持续激增。它不仅使企业网络高度异构,而且融合了移动、物联网、公有/混合云和SaaS。更重要的是,传统业务和IT运营模式正在不断被颠覆。企业逐渐将越来越多的关键和生产级应用迁移到云端并使用云服务。大量人工服务趋向自动化技术替代,单一生产趋向协同化。数字化转型将以前未连接的事物连接起来。连接在不断创造价值的同时,也带来了巨大的安全隐患。例如,员工可以携带电脑在咖啡店或机场等公共WiFi环境访问公司的数据中心网络,同时希望访问公有云或SaaS服务。通常,在这种情况下,员工不受公司安全堆栈的保护。黑客很容易进行攻击,窃取用户敏感信息,控制用户设备,控制用户账号,进而入侵公司数据中心。因此,安全连接是数字化转型的基础设施。简单来说,就是需要有一种技术,能够保证用户可以通过任何设备、任何地点、任何网络安全地访问和获取任何服务和资源。基于零信任构建以身份为中心的安全连接魏小强表示,网络旨在将用户与数据中心的应用连接起来,我们在网络周围建立了安全边界,以确保这些用户和应用不受攻击。外面的世界。影响。但随着应用程序迁移到云端以及用户从任何地方连接到云端,边界已经消失。现在是将安全与网络分离并使用安全策略在应用驻留和用户连接的任何地方实施的时候了。魏小强认为,零信任是一种方法论和安全范式,旨在通过建立拒绝违约的初始安全态势,消除企业过度的隐性信任。然而,在某些时候必须建立信任以允许连接,但与以网络为中心的方法不同,这种信任必须是动态的,随着用户、设备、位置和应用程序的上下文变化而变化。零信任策略的目的是消除过度风险。它从默认情况下从不授予信任开始,它要求信任是上下文相关的和自适应的。特权或访问级别取决于已建立的信任,必须不断监控和调整风险。零信任也在不断发展零信任的概念是在10年前提出的。JohnKindervag构想的想法是防止企业团队过于信任访问网络的用户和设备。但由于当时的技术,它只是在以网络为中心的安全背景下产生的。这种安全仍然以网络保护为中心,具有一定的局限性。随着云和移动性的采用,IT专业人员已经意识到以网络为中心的安全策略已经变得无效。网络和用户设备不再归企业所有,超过一半的员工正在远程访问应用程序。通过重新思考云优先时代以网络为中心的安全方法,企业正在为采用真正的零信任打开大门。在万物互联、多云连接、软件定义的时代,连接无处不在。魏小强说,我们所说的身份可以是任何“物”,用户身份、设备身份、应用身份。它们之间的关系就是连接,所以连接可以涵盖SaaS、公有云、私有云、数据中心、用户和物联网等,连接的网络会越来越复杂。魏小强强调,身份正在从单一属性走向多元属性,从认证走向连接。身份管理的本质是连接,连接创造价值也带来风险。安全连接是零信任的基石。我们应该从安全连接的角度重新思考零信任架构,寻找新的解决方案来应对软件定义时代的到来。360基于零信任的连接云实践360基于对零信任的理解,提出了多云环境下基于零信任的连接云平台架构,如下图所示:据魏小强介绍,360Connect云平台基于零信任网络接入技术,也称为软件定义边界(SDP),在360安全大脑的赋能下构建。它围绕企业专有应用程序创建基于身份和上下文的访问边界,并启用应用程序隐藏。360连接云平台由安全分析中心模块、安全运营中心模块、基础云平台、零信任身份管理平台、SDN调度管理平台组成。通过信任代理限制对模块的访问,只授权应该访问的实体集。从本质上讲,基于SDP的技术消除了网络边界,围绕用户、设备和应用创建虚拟边界,取代传统的网络边界,最终实现自适应和安全的私有应用访问。360ConnectCloudPlatform遵循GartnerSASE(SecureAccessServiceEdge)模型理论,基于零信任接入网络技术打造。仅在认证用户与企业私有应用之间进行权限微分割,实现安全连接。这个连接的云平台可以支持复杂的环境,如私有云、多云或混合云。其独特的价值还基于360安全大脑赋能,融合海量威胁情报技术,实现持续的风险监控和评估。360连接云平台的主要应用场景包括:1)基于身份的网络访问控制:如网络微隔离、安全远程访问(可替代传统vpn)等;2)安全第三方用户访问:解决特权用户安全访问问题,实现高价值应用安全访问;3)托管服务器访问安全:如简化网络集成、安全迁移到IaaS云环境等;4)加强身份认证解决方案:简化企业合规管控,防御DDos攻击等。最后,魏小强对基于零信任的安全连接技术提出了自己的思考。他认为,数字化转型使应用程序和业务流程之间实现了更高层次的连接,极大地提高了业务敏捷性,更容易与客户和业务合作伙伴进行连接,但同时也带来了巨大的安全风险和挑战。基于零信任的安全连接技术,将为数字化转型保驾护航。“我们都知道,连接创造价值,安全为连接保驾护航。未来,对身份的隐私要求可能会越来越高,因此点对点连接技术就会出现。某种程度上,这种基于区块链的自我主权一种将在很大程度上改变当前身份管理模型的身份技术。”卫小强说道。
