劉現磊-零信任實踐：從遠程辦公開始（30頁）.pdf

《劉現磊-零信任實踐：從遠程辦公開始（30頁）.pdf》由會員分享，可在線閱讀，更多相關《劉現磊-零信任實踐：從遠程辦公開始（30頁）.pdf（30頁珍藏版）》請在三個皮匠報告上搜索。

1、構建可控的互聯世界如果疫情再爆發，我們可以做的更好構建可控的互聯世界構建可控的互聯世界聯軟與零信任網絡訪問聯軟與零信任網絡訪問2004網絡訪問控制（NAC）架構2004Jericho Forum去網絡邊界化，限制基于網絡的隱式授權2010Forrester提出“Zero Trust”概念2014Google發布“BeyondCorp”2017OReily出版2019NIST SP 800-207 Draft2004中國最早的NAC廠商2012基于終端代理的進程級網絡訪問授權2011基于角色的場景化動態最小授權2013EMM可信接入代理人員、設備、應用分層獨立授權2015無口令戰略PC 移動智能

2、設備聯動2017基于零信任架構的SDP產品2019UEM統一端點管理戰略2020華為、安恒零信任生態SDP+UEM的軟件定義訪問戰略美國國家標準與技術研究院發布SP800-207:Zero Trust Architecture草案第二版本。2020年：年：構建可控的互聯世界構建可控的互聯世界聯軟一直致力于推動零信任的發展聯軟一直致力于推動零信任的發展今年，CSA大中華區率先在國內推出零信任專家認證CZTP，CZTP是零信任領域首個面向個人的安全認證。官方授予聯軟：種子講師種子講師 一名，認證講師認證講師 兩名。入選CCSIP 2020中國網絡安全產業全景圖標準的制定與賦能標準的制定與賦能大量客

3、戶實踐大量客戶實踐構建可控的互聯世界構建可控的互聯世界NIST NCCoE 實現零信任架構實現零信任架構草案版草案版（2020年年3月發布）月發布）NIST NCCoE 實現零信任架構實現零信任架構正式版正式版（2020年年10月發布）月發布）零信任最新變化：從理念走向落地零信任最新變化：從理念走向落地構建可控的互聯世界構建可控的互聯世界零信任主要落地方向與產品零信任主要落地方向與產品構建可控的互聯世界SDP 與與 零信任零信任Gartner：ZTNA=SDPNIST：SDP作為ZTA推薦實現方案CSA：SDP是零信任的最高級實現方案構建可控的互聯世界構建可控的互聯世界技術層面 代理程序支持哪

4、些操作系統 是否支持SPA 是否集成UEM，對設備進行安全狀態評估 是否集成UEM作為數據采集，集成UEBA進行上下文分析，進行持續信任評估以上來自Gartner 2020 ZTNA市場指南ROI層面 是否可以解決已存在的安全現實問題和發現未知的安全威脅？是否可以在未來一定時間范圍為信息化系統的發展持續提供安全保障？是否可以順暢對接現有安全投資，在此基礎上還需要多大的持續安全投入？是否可以滿足上級機構和國家對于信息化系統的安全檢查要求？實施層面整體規劃、分步建設、逐步驗證 以終為始確定愿景 根據業務重要程度及風險影響進行優先級排序 優先在新場景中驗證零信任架構增強 現有的NAC/EPP/AV/

5、EDR/SIEM/威脅情報等安全建設對零信任起到增強的作用 要充分考慮集成和融合以上來自中國信通院企業評估企業評估ZTNA（SDP）從哪些方面來考慮）從哪些方面來考慮構建可控的互聯世界構建可控的互聯世界聯軟聯軟SDP產品架構產品架構加密隧道加密隧道控制平面控制平面數據平面數據平面安全分析引擎安全分析引擎身份管理與身份管理與 訪問控制訪問控制信任評估引擎信任評估引擎UEM可信API代理個人個人/企業設備企業設備業務訪問業務訪問CRMOA郵件業務C業務B業務A私有云私有云公有云公有云數據中心數據中心外部應用外部應用接口調用接口調用個人計算環境多域安全沙箱本地磁盤多域安全沙箱可信接入代理UEBA威脅

6、情報威脅情報SIEMIAM態勢感知態勢感知 資產管理資產管理安全應用安全應用個人應用個人應用可信接入代理SPA1計算環境物理環境威脅環 境 感 知環 境 感 知全面身份化全面身份化基線行為持續信任評估持續信任評估基線應用設備人員234 數據安全組件 端點安全組件 安全分析組件 身份與訪問管理組件構建可控的互聯世界SPA SPA合法報文1非法終端非法終端SPA驗證通過控制器開放TCP端口控制器不做回應安全分析引擎安全分析引擎身份管理與身份管理與訪問控制訪問控制信任評估引擎信任評估引擎UEM個人計算環境安全計算環境本地磁盤安全計算環境默認不相信任何連接，對核心資產進行隱藏：滿足最小授權緩解對核心資

7、產的掃描探測緩解DDos攻擊緩解漏洞利用緩解非法爬取價值價值安全應用安全應用個人應用個人應用構建可控的互聯世界全面身份化全面身份化SPA身份人員身份人員身份賬號密碼多因素生物特征員工狀態驗證正確掃碼登錄指紋在職設備歸屬設備os設備標識軟件標識BYODWindows硬件ID助手ID證書校驗安全版本通過通過設備身份設備身份應用身份應用身份控制平面控制平面數據平面數據平面臨時、動態身份標識安全分析引擎安全分析引擎身份管理與身份管理與訪問控制訪問控制信任評估引擎信任評估引擎UEM構建可控的互聯世界環境感知環境感知SPA物理位置曾經登陸登陸時間上海是正常普通環境生產安全環境辦公安全環境否是否身份殺毒軟件

8、補丁檢查AD檢查系統鏡像未安裝未通過否（BYOD不減分）否訪問惡意域名是SA ABC信任等級信任等級SAB BC信任等級信任等級物理環境物理環境安全環境安全環境安全基線安全基線安全事件安全事件控制平面控制平面數據平面數據平面安全評分6565環境安全分析引擎安全分析引擎身份管理與身份管理與訪問控制訪問控制信任評估引擎信任評估引擎UEM一鍵修復-5-5-5-5-1010立即修復-5-5立即修復-1010構建可控的互聯世界動態授權動態授權控制平面控制平面個人計算環境本地磁盤研發沙箱辦公沙箱數據平面數據平面數據中心數據中心CRMOA郵件業務C業務B業務A加密隧道加密隧道私有云私有云公有云公有云加密隧道

9、加密隧道可信接入代理可信接入代理業務A業務B業務CCRM郵件B級S級A級A級C級B級授權列表授權列表授權安全分析引擎安全分析引擎身份管理與身份管理與訪問控制訪問控制信任評估引擎信任評估引擎UEMB信任等級信任等級銷銷售售身份屬性身份屬性安全應用安全應用個人應用個人應用SPA身份環境評估構建可控的互聯世界持續信任評估持續信任評估SPA設備身份評估環境身份管理身份管理與訪問控制與訪問控制信任評估引擎信任評估引擎安全基線類威脅檢查類行為分析類終端環境檢查終端安全檢查用戶密碼爆破端口掃描檢測.網絡認證異常賬號異常威脅分析檢測數據采集環境感知持續檢測控制平面控制平面數據中心數據中心CRMOA郵件業務C業

10、務B業務A加密隧道加密隧道私有云私有云公有云公有云數據平面數據平面加密隧道加密隧道安全分析引擎安全分析引擎個人計算環境研發沙箱本地磁盤辦公沙箱可信接入代理業務A業務B業務CCRM郵件B級S級A級A級C級B級授權列表授權列表B信任等級信任等級銷銷售售身份屬性身份屬性C信任等級信任等級銷銷售售身份屬性身份屬性S級A級A級C級授權列表授權列表業務A業務B業務CCRM郵件B級B級可信接入代理構建可控的互聯世界數據安全：安全融于業務，閉環管理數據安全：安全融于業務，閉環管理安全應用安全應用個人應用個人應用個人計算環境研發沙箱本地磁盤辦公沙箱加密隧道加密隧道可信接入代理CRMOA郵件業務C業務B業務A數據

11、平面數據平面可信接入代理研發網研發網辦公網辦公網可信接入代理加密隧道加密隧道加密隧道加密隧道構建可控的互聯世界零信任增強零信任增強全面賦能全面賦能 生態擴展生態擴展CRMOA郵件業務C業務B業務A加密隧道加密隧道私有云私有云公有云公有云控制平面控制平面數據平面數據平面安全分析引擎安全分析引擎身份管理與身份管理與 訪問控制訪問控制信任評估引擎信任評估引擎UEM外部應用外部應用接口調用接口調用可信API代理個人個人/企業設備企業設備業務訪問業務訪問數據中心數據中心個人計算環境多域安全沙箱本地磁盤多域安全沙箱可信接入代理UEBA威脅情報威脅情報SIEMIAM態勢感知態勢感知 資產管理資產管理NACA

12、VEPPDLPEDREMM安全應用安全應用個人應用個人應用可信接入代理構建可控的互聯世界疫情尚未結束歐洲多國封城，中國多地依然有疫情上報。遠程辦公常態化Facebook、Twitter、富士通宣傳永久居家辦公。成本下降、效率提升、工作時間更長、工作生活平衡企業上云趨勢明顯構建可控的互聯世界零信任實踐：從遠程辦公開始零信任實踐：從遠程辦公開始構建可控的互聯世界安全問題更加凸顯1、VPN自身安全問題2、無法解決數據安全安全3、多云訪問不適合4、2023年60%VPN被SDP替代疫情尚未結束遠程辦公常態化企業上云趨勢明顯構建可控的互聯世界零信任實踐：從遠程辦公開始零信任實踐：從遠程辦公開始構建可控的

13、互聯世界零信任實踐：從遠程辦公開始零信任實踐：從遠程辦公開始遠程辦公遠程辦公VPN漏洞VPN端口暴露VPN權限管理粗獷VPN認證架構：先連接后驗證01遠程運維遠程運維多數據中心安全訪問特權賬號權限管理操作安全管理02多云訪問多云訪問需要頻繁切換VPN登錄云安全訪問相關問題03構建可控的互聯世界構建可控的互聯世界個人計算環境安全計算環境本地磁盤安全計算環境遠程辦公遠程辦公控制平面控制平面數據平面數據平面A應用流量B應用流量個人計算環境安全計算環境本地磁盤安全計算環境可信接入代理可信接入代理安全分析引擎安全分析引擎身份管理與身份管理與 訪問控制訪問控制信任評估引擎信任評估引擎UEMUEBA威脅情報

14、威脅情報SIEMIAM態勢感知態勢感知資產管理資產管理BYODCOPEOACRM郵件業務A業務B 業務C企業現有安全建設 最小授權 安全傳輸 數據安全安全應用安全應用個人應用個人應用安全應用安全應用個人應用個人應用 業務隱藏企業現有安全建設NACAVEPPDLPEDREMM構建可控的互聯世界遠程辦公（遠程辦公（SDP+VDI）控制平面控制平面數據平面數據平面VDI桌面桌面VDI桌面桌面VDI桌面桌面可信接入代理可信接入代理可信接入代理可信接入代理家中咖啡店機場用戶：張三用戶：張三用戶：張三用戶：張三用戶：張三用戶：張三用戶：張三用戶：張三用戶：張三UEBA威脅情報威脅情報SIEMIAM態勢感知

15、態勢感知資產管理資產管理安全分析引擎安全分析引擎身份管理與身份管理與 訪問控制訪問控制信任評估引擎信任評估引擎UEM 水印 錄像 DLP 行為審計 數據擺渡可信接入代理可信接入代理企業現有安全建設VDI數據安全企業現有安全建設NACAVEPPDLPEDREMM可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理構建可控的互聯世界成功案例成功案例構建可控的互聯世界成功案例成功案例構建可控的互聯世界遠程運維遠程運維控制平面控制平面數據平面數據平面數據中心數據中心運維A運維B運維C安全分析引擎安全分析引擎身份管理與身份管理與 訪問控制訪問控制信任評估引擎信任評估引擎UEM*可信接

16、入代理可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理*堡壘機堡壘機堡壘機堡壘機堡壘機堡壘機數據中心數據中心數據中心數據中心業務A業務B業務C業務D業務E業務F 特權賬號管理 多數據中心訪問UEBA威脅情報威脅情報SIEMIAM態勢感知態勢感知資產管理資產管理企業現有安全建設統一門戶企業現有安全建設NACAVEPPDLPEDREMM構建可控的互聯世界成功案例成功案例構建可控的互聯世界多云多云/數據中心訪問數據中心訪問控制平面控制平面數據平面數據平面A應用流量B應用流量企業企業非企業網非企業網互聯網僅互聯網C應用流量個人計算環境安全計算環境本地磁盤安全計算環境個人計算環境安全計算環境

17、本地磁盤安全計算環境企業設備企業設備移動辦公移動辦公辦公區 普通員工權限移動辦公移動辦公可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理可信接入代理安全分析引擎安全分析引擎身份管理與身份管理與 訪問控制訪問控制信任評估引擎信任評估引擎UEMUEBA威脅情報威脅情報SIEMIAM態勢感知態勢感知資產管理資產管理騰訊云阿里云OACRM 業務D業務E構建可控的互聯世界BYOD軟件定義訪問（二期）軟件定義訪問（二期）控制平面控制平面數據平面數據平面A應用流量B應用流量企業網企業網非企業網非企業網互聯網辦公區 普通員工權限僅互聯網僅互聯網安全應用安全應用個人應用個人應用個人計算環境安全計算環

18、境本地磁盤安全計算環境可信接入代理可信接入代理可信接入代理可信接入代理安全分析引擎安全分析引擎身份管理與身份管理與 訪問控制訪問控制信任評估引擎信任評估引擎UEMUEBA威脅情報威脅情報SIEMIAM態勢感知態勢感知資產管理資產管理NACNACNAC構建可控的互聯世界軟件定義訪問（未來全景）軟件定義訪問（未來全景）數據中心數據中心1互聯網互聯網IoT設備設備華為云華為云PC筆記本筆記本APNBYOD訪客設備訪客設備企業網絡企業網絡非非企業企業網絡網絡IoT服務器服務器智能設備智能設備僅互聯網僅互聯網BYOD筆記本筆記本智能設備智能設備設備移動設備移動APN阿里云阿里云APN企業企業配發配發BY

19、OD企業設備企業設備BYOD訪客訪客企業配發企業配發APN數據中心數據中心2遠程辦公安全運維多云訪問APNNACNACNACNAC構建可控的互聯世界2004年成立于深圳南山粵海中國首家網絡準入控制NAC廠商產品累計管理端點達2,300+萬深耕端點安全深耕端點安全16年年從準入控制領導者，到SDP領域的領航者與魔方安全合并，進入互聯網安全和攻防領域提供覆蓋云、邊界、端多場景的平臺級網絡安全解決方案云云/邊界安全邊界安全敬天愛人，誠實正直，不懈努力企業文化企業文化構建可控的互聯世界公司公司愿景愿景中國企業級端點安全市場的領導者中國企業級端點安全市場的領導者構建可控的互聯世界三大三大運營商全面覆蓋深

20、入合作12 年+服務于中國最頂尖的六大交易所80%證劵期貨行業占比超過服務于50+家世界500強，90+家中國500強市場地位市場地位30家家+50,000+點以上點以上大型客戶案例超過大型客戶案例超過企業級安全開放市場領域內第一領域內第一安全管控終端數量超過15,000,000+金融、電信、制造金融、電信、制造行業EPP市場份額占比國內最高21家全國性銀行13家選擇聯軟構建可控的互聯世界構建可控的互聯世界定位定位產品產品價值價值企業級市場：企業級市場：中國企業級端點安全市場領導者典型客戶：典型客戶：金融、運營商、制造、政府，及重視網絡安全的政企用戶端點安全：端點安全：終端檢測與響應、防泄密、桌面管理、防病毒、企業移動安全、IoT安全等邊界安全：邊界安全：網絡準入控制、軟件定義邊界、數據安全擺渡等云云 安安 全：全：云主機安全管理、互聯網資產探測、漏洞管理、安全SaaS服務防泄密：防泄密：防范內部人員、外包人員、訪客、外部黑客等場景數據泄密防入侵：防入侵：改變攻防不平衡的現狀，防范內部越權或外部入侵網絡合規與效率：合規與效率：解決安全與效率的平衡，幫助客戶滿足合規要求等聯軟核心業務聯軟核心業務構建可控的互聯世界