圓桌論道 | 拆大牆建小牆，零信任安全怎麼作？

數字經濟時代，傳統網絡安全邊界消弭，內外部安全威脅持續增長，基於零信任構建企業安全治理體系已成爲很多企業、機構的共識。但做爲一種安全理念，如何將零信任落地到企業的具體業務場景，構建起企業安全的護城河，業界仍存在很多困惑與分歧。
5月14日，以「以零信任 重建信任」爲主題的零信任發展趨勢論壇在上海舉行。會議的圓桌環節，在北京賽博英傑科技有限公司創始人兼董事長譚曉生的主持下，CSA大中華區研究院副院長賈良玉、天融信科技集團高級副總裁楊斌、騰訊企業IT部企業安全中心高級總監蔡晨、葛蘭素史克信息安全總監顧偉、中國移動設計院網信安全產品部諮詢研發總監張晨五位行業大咖，圍繞零信任的具體落地路徑展開了深刻的交流與碰撞，爲企業依託零信任構建安全治理體系提供了方向與路徑指引。

如下是圓桌對話摘要：
譚曉生：今天到場的五位嘉賓所表明的企業都很典型，葛蘭素史克的顧老是典型的甲方客戶；騰訊從2016年開始做爲甲方在內部實施零信任解決方案，如今又把本身的技術和經驗轉化成乙方的解決方案；賈院長和中國移動曾經在標準制定方面作了比較多的工做，而天融信是典型的廠商表明。今天咱們首先將葛蘭素史克做爲客戶來剖析，看看它遇到了哪些痛點，但願經過零信任來解決哪些問題。
顧偉：主要有三個方面：
一是數據安全。隨着《網絡安全法》等法律法規出臺，外資企業在國內面臨着愈來愈大的安全合規壓力。全球化業務的發展形成了數據跨境的未知風險，爲了讓中國的業務獨立、健康運營，咱們正在思考創建一套既能把數據留在國內，又能讓國外用戶訪問的數據安全管理體系。
二是遠程辦公。在疫情尚未獲得徹底控制的狀況下，遠程辦公需求依舊旺盛。
三是第三方協同。葛蘭素史克的不少業務須要第三方合做夥伴遠程協同，如何在賦予他們權限的同時，作好工做負載的細節化控制和南北向的安全訪問控制等也是咱們面臨的一大挑戰。
譚曉生：顧總提到了三種典型場景——數據安全、遠程辦公和第三方協同。中國移動對葛蘭素史克的痛點和需求是怎樣分析的，零信任能夠怎樣幫助它解決問題。
張晨：葛蘭素史克的數據安全需求和中國移動正在提的「數據不能離網」有很大類似性。中國移動嘗試各類各樣的數據安全或者數據共享方案，也是但願關鍵數據符合國家相關法律要求：一方面發揮數據的價值，一方面不觸碰法律紅線，侵犯用戶隱私。
咱們很須要零信任這樣一種技術，幫助掌握內部員工使用數據時發生了什麼，以及出現違規使用數據的行爲時，企業是否按照相應機制進行了阻攔和應急處理。咱們但願經過這樣一個充分完整的證據鏈，盡到數據保護的義務。
譚曉生：葛蘭素史克所提到的三種場景下的問題，天融信的產品可否解決？
楊斌：咱們在設計產品和方案時，針對數據安全主要從三個方面着手：一是強調應用和數據分離；二是在應用和數據中間有一個API網關，專門作數據級的校驗和權限控制；三是在終端側能夠對用戶行爲進行感知，好比在什麼時間點訪問了哪些數據。一旦檢測到異常行爲，系統便會自動告警。
譚曉生：針對葛蘭素史克遇到的問題，騰訊有哪些比較好的應對辦法？
蔡晨：在騰訊看來，零信任是一種理念，是一個可以在將來長期有效解決現有安全問題的通用方法論。沿着這一理念，不一樣行業和企業根據其特性和管理風格，會有不一樣的落地路徑和產品功能。
一般來講，企業面臨的安全問題能夠歸結成三大類：一是病毒、木馬等常規安全問題，好比近兩年常見的勒索病毒，它會影響到生產系統，致使生產系統癱瘓；二是APT攻擊，有可能致使企業的核心數據、敏感生產資料等被黑客或者惡意境外組織竊取，這是國家層面和高科技企業比較關注的領域；三是公司內部人員致使的生產數據、客戶數據等敏感數據泄露。以上三類問題，騰訊和合做夥伴都曾遇到過，騰訊的解決方案也所有都實現了覆蓋。
騰訊在解決這些問題時不只追求安全性，也融合了「以人爲本」的互聯網企業文化。有些行業，好比監管合規要求比較嚴格的行業，安全和體驗、效率每每沒法作到平衡，而騰訊是兩手都要抓，既保證安全性，也追求效率和體驗。以遠程辦公爲例，普通零信任解決方案中，用戶每次變換辦公環境都須要進行驗證，過程比較繁瑣，而騰訊iOA經過一鍵登陸在確保安全性的前提下，大幅改善了用戶體驗。
譚曉生：零信任的持續驗證到底要作到什麼頻度纔夠？一分鐘或者十分鐘驗證一次？員工在上班過程當中是否每次切換工做場景都要驗證？
蔡晨：「永不信任、持續驗證」是一種理念，具體到技術和產品實現，首先要考慮的是如何作到可信。咱們針對每個請求都作了校驗，校驗過程不必定須要用戶參與，而是能夠在程序和後臺層面動態化地跟蹤和變動。這就要求後臺要有持續的動態校驗和評估能力，並且客戶端也須要有動態的跟蹤能力。
譚曉生：若是騰訊iOA要知足葛蘭素史克的要求，你會建議他怎麼部署？
蔡晨：若是是沒有歷史包袱的企業，我會建議在搭建每個業務系統的過程當中，就原生包含持續驗證的理念。但若是是像騰訊同樣有歷史年代的企業，則須要基於現有的系統將傳統架構升級爲零信任架構。這種狀況要遵循「拆大牆建小牆」的原則。
傳統的邊界防護模型，核心是用防火牆把企業網絡根據不一樣業務隔離成不一樣保護等級的區域。如今咱們要作的第一件事就是把這些牆拆掉。建小牆是什麼意思呢？隨着企業基礎設施上雲，員工的主要風險來源就是端，所以咱們須要在端和應用之間建一堵小牆——即iOA網關，保證從端過來的每個請求都通過校驗。
譚曉生：從CSA的研究視角來看，如何評價騰訊這套解決方案？
賈良玉：零信任是一種安全理念和戰略，有些企業把簡單的安全產品包裝成零信任，這是遠遠不夠的。特別是對甲方企業來講，肯定零信任理念後，還須要根據自身實際狀況來實施。如今不少企業不提具體的安全策略，把原來的產品換個名字就打着零信任的概念推出去了。零信任是雙向的，不只要校驗進來的請求，還要校驗出去的請求，如今大多數企業都不校驗出來的請求，這並不符合零信任的要求。
騰訊的「拆大牆建小牆」，很好地利用了零信任當中的微隔離技術。之前的「牆」叫作邊界，內網和外網的邊界是固定的，但後來劃分的顆粒度愈來愈細，就演變出了微隔離、SDP這些新技術。零信任的關鍵支撐技術就是SIM+SDP+微隔離，這塊還有不少工做要作。
譚曉生：中國移動如何看待剛纔騰訊所提到的「拆大牆建小牆」的說法？
張晨：蔡總把零信任的價值分紅三個層面，我我的很是承認。零信任在防護APT方面的效果立竿見影，在保護員工遠程辦公時不被惡意利用方面也很是有效。但如何平衡內部人員的操做合規性和工做效率，我認爲這方面還有不少工做要作。理解運維人員的行爲比理解研發人員等的行爲難多了。這種狀況下如何將誤告警率控制在合理範圍內，不讓本來一個晚上就能作完的事情變成三四天的工做量，這是頗有挑戰的。
至於「拆大牆建小牆」，咱們會在不一樣地方設置不一樣的檢查節點防止數據泄露。通過多年的安全實踐我發現，過去粗放式的安全解決方案中，安全節點的數量和路由器、交換機等相比幾乎能夠忽略不計，而當咱們把安全工做作得愈來愈好時，安全節點的數量也開始顯著增長，變得十分龐大。這到底是安全生產範式的轉變，仍是將來隨着安全技術發展成熟，安全節點的數量仍能控制在合理範圍內？這是我比較困惑的點。
譚曉生：騰訊過去對於網絡的安全域劃分是經過防火牆或者網絡設備的ACL來解決的，如今騰訊的解決方案是否已經用SDP技術全面取代了防火牆？「拆大牆建小牆」，微隔離須要劃分到多細的顆粒度？
蔡晨：騰訊內部是一個混合雲結構，雖然都遵循零信任理念，但每一個業務的安全運營策略仍舊有所差別。以數據安全爲例，它主要解決的是「內鬼」的問題。在騰訊內部，非敏感重要崗位接觸不到很敏感的數據，針對這部分員工，微隔離細化到設備就足夠了。若是是敏感團隊，並且自己有合規、監管方面的要求，那麼它的顆粒度就須要更細。要給數據打上相應的標籤，跟蹤其流轉狀況，包括從服務器到堡壘機甚至到PC、U盤的整個鏈路。
譚曉生：運維人員平常要訪問的東西較多，零信任策略會不會存在誤阻攔，致使工做效率下降？
蔡晨：判斷某項操做是否安全合規，光靠零信任終端產品是不夠的，還需藉助UEBA甚至AI等新技術。騰訊內部會利用機器學習算法，實時分析運維人員的操做與常規操做是否一致，以及是否存在額外風險。過去安全系統是割裂的，發現問題後須要運維和安全人員手動操做。而騰訊安全大腦能夠與各個安全系統高效聯動，發現安全問題自動調度各個系統進行處理，大幅提升了對抗能力。
譚曉生：相信不少其餘企業在發展的過程當中，都會遇到相似的問題，騰訊和中國移動分屬於不一樣的領域，中國移動如何看待此類問題？
張晨：中國移動也在作相似的嘗試，但電信運營商的網絡複雜度和互聯網公司相比有很大區別，機器學習的成本也高得多，目前實踐效果不夠理想。好比運維正在進行一項關鍵操做，UEBA把它攔下了，中間出現了一段懸空狀態，這對互聯網公司可能沒什麼影響，但對通信網絡的影響很差估量。
譚曉生：從甲方客戶的視角來看，剛纔幾位專家的討論對葛蘭素史克的下一步安全建設是否有所啓發？
顧偉：零信任是一個很好的理念，可是不是全部企業都能用的很好，須要根據其自身狀況來定。
首先是成本。要作到持續驗證，必須把基石鋪得很好，由此帶來的終端成本是否合理？
其次是人力。就葛蘭素史克而言，它在全球有很是豐富的安全資源，但中國是相對獨立的業務，沒有很好的安全能力，主要依賴第三方。咱們內部沒有不少安全運維人員，只有安全標準和框架，須要第三方來具體實施。
第三是歷史包袱。拿數據層面的標籤驗證來講，它的前置條件是作好數據分類分級，缺乏這個條件就沒法實現。
譚曉生：葛蘭素史克遇到的問題是沒人、沒錢和系統改造難度大，針對這類客戶騰訊能夠提供怎樣的解決方案？
蔡晨：我這兩年作得比較多的一件事情，是和騰訊安全團隊一塊兒，用騰訊零信任相關的最佳實踐和產品賦能產業互聯網。咱們服務了不少家世界500強企業，發現每一個行業的安全建設成熟度是不一致的，行業的文化、特性也有所差別。但我有信心和騰訊安全一塊兒，找到更加符合每一個行業特性的解決方案。
零信任是一種理念，不能依靠單個產品解決全部問題，但只要能解決你當下最迫切的問題，它的價值和收益就是很是大的。騰訊通過這兩年的產業互聯網實踐，不只對互聯網行業很是熟悉，也對物流、教育、地產等行業有了更加深刻的理解，能夠經過產品迭代，真正知足他們的一些安全訴求。
譚曉生：最後幾分鐘，咱們來討論一下零信任以後會有什麼。想問問騰訊和CSA如何看待零信任與SASE的關係。
蔡晨：我我的理解，SASE概念比零信任更大，它是一個雲安全邊界的概念，還包括SDN、SD-WAN等雲上安全能力。它實際是組合了身份認證、邊界訪問、微隔離等安全技術，共同來解決雲上訪問的安全問題。騰訊雲做爲專業的雲服務廠商，在相關技術和組件上已經擁有多年的積累，目前正在將概念和產品進行整合。
賈良玉：SASE主要針對邊緣訪問，它不只僅是安全，還包括了不少其餘功能。SASE是從SD-WAN發展出來的，它能夠結合零信任理念，把其中的一些技術——好比SDP、微隔離加入其中。
而從安全角度來講，除了邊緣訪問安全還有終端安全等等，這是SASE覆蓋不了的，但能夠用零信任來補充。簡單來講，從安全角度出發，零信任比SASE的範圍更大，SASE只是在邊緣上零信任的一種具體實現。