【概要描述】

      4月28日中國網(wǎng)絡(luò)信息安全峰會圓滿落幕，峰會現(xiàn)場信息化觀察網(wǎng)的記者針對云涌科技現(xiàn)階段主推的零信任安全架構(gòu)提出一系列問題，云涌科技零信任產(chǎn)品經(jīng)理劉濤先生就此接受了記者的專訪，并一一作答。

問題1:  能介紹一下云涌科技的基本情況，以及貴公司為何把零信任作為其中的一個發(fā)展方向嗎？

      云涌科技是一家以嵌入式技術(shù)為背景，提供工業(yè)信息安全和工業(yè)物聯(lián)網(wǎng)解決方案的高新技術(shù)企業(yè)。公司2004年成立，總部位于江蘇泰州，在北京、鄭州、南京，泰州、深圳設(shè)有研發(fā)中心或生產(chǎn)基地。2020年7月在上海證券交易所科創(chuàng)板成功上市。

      2020年是零信任概念提出的的第十個年頭，業(yè)內(nèi)，客戶，媒體對于零信任的關(guān)注和接受度持續(xù)高漲。后疫情時(shí)代的遠(yuǎn)程辦公和物聯(lián)網(wǎng)的快速發(fā)展，與此同時(shí)全球發(fā)生層出不窮的攻擊事件和新的攻擊手段，暴露了傳統(tǒng)安全技術(shù)的很多不足，加速了零信任落地的呼聲。

      從去年開始公司看中了零信任的巨大前景和需求，并且結(jié)合自身工業(yè)物聯(lián)網(wǎng)行業(yè)對安全的深刻理解，決定將零信任理念融合到現(xiàn)有產(chǎn)品和解決方案當(dāng)中來。由此專門組建了一個較大規(guī)模的的產(chǎn)品研發(fā)團(tuán)隊(duì)，聚集了一大批具備行內(nèi)專業(yè)水平的安全專家，打造了名為“云涌零信任”的產(chǎn)品體系。目前產(chǎn)品已經(jīng)面世并立即得到了行業(yè)內(nèi)客戶的好評。零信任技術(shù)也作為公司四大核心技術(shù)之一，在快速的向前發(fā)展與迭代。

問題2: 目前零信任越來越得到關(guān)注且廠家眾多，云涌科技的零信任產(chǎn)品的有哪些特點(diǎn)？

      零信任模型是在2010年提出來的，發(fā)展到今天確實(shí)出現(xiàn)了很多落地產(chǎn)品，其中不乏谷歌、騰訊等大廠都在用零信任理念改造自家的IT架構(gòu)，為員工遠(yuǎn)程辦公和網(wǎng)絡(luò)接入提供更安全的方案。

      根據(jù)CSA（云安全聯(lián)盟）、NIST（美國國家標(biāo)準(zhǔn)與技術(shù)研究院）等機(jī)構(gòu)對零信任架構(gòu)的深度分析，細(xì)分了三大技術(shù)方向：SDP軟件定義邊界、IAM增強(qiáng)身份與訪問控制、MSG微隔離。目前零信任廠商基本發(fā)力在單一細(xì)分領(lǐng)域，比如解決網(wǎng)絡(luò)安全接入的SDP產(chǎn)品，解決數(shù)據(jù)中心內(nèi)部東西向流量管理的MSG產(chǎn)品等。

      云涌零信任是融合了SDP、IAM及MSG三大技術(shù)于一身的整體解決方案，針對不同的客戶場景提供可裁剪的零信任落地產(chǎn)品。是國內(nèi)技術(shù)比較全面的零信任方案提供商。比如針對遠(yuǎn)程辦公和網(wǎng)絡(luò)接入我們有SDP架構(gòu)的云涌零信任安全管理平臺，針對物聯(lián)網(wǎng)邊緣計(jì)算安全我們有基于MSG的云涌邊緣計(jì)算安全管控平臺等。

      總結(jié)來說云涌零信任有12345678:

      1種理念：永不信任，始終驗(yàn)證

      2條產(chǎn)線：零信任安全管理平臺、零信任邊緣計(jì)算管控平臺

      3大技術(shù)：SIM （SDP、IAM、MSG）

      4 A管理：Authentication 認(rèn)證、Authorization 授權(quán)、Account 記賬、Audit 審計(jì)

      5大原則：ABCDE

      Assume nothing, Believe nobody, Check everything, Defeat risks, Expect/prepare for the worst

      6個平臺：Windows、MacOS、Ubuntu、CentOS、Android、iOS

      7層安全：SPA/終端設(shè)備檢測/TLS傳輸加密/應(yīng)用綁定/動態(tài)防火墻/智能行為分析與動態(tài)決策/橫向微隔離

      8個正確：正確的人/正確的賬號/正確的設(shè)備/正確的時(shí)間/正確的地點(diǎn)/正確的客戶端應(yīng)用/正確的服務(wù)/正確的權(quán)限

問題3: 你剛才談到的基于零信任的邊緣計(jì)算的概念挺新穎，能再詳細(xì)介紹一下嗎？

      沒問題。當(dāng)今“云大物移”已經(jīng)浸入到各個行業(yè)，智慧交通、智能電網(wǎng)等概念也已經(jīng)落地且日趨成熟。邊緣網(wǎng)關(guān)作為物聯(lián)網(wǎng)架構(gòu)下非常重要的基礎(chǔ)設(shè)施，承載著連接南向IOT設(shè)備，對接北向物聯(lián)網(wǎng)業(yè)務(wù)平臺的“承上啟下”作用，其本身的安全性不容忽視。“零信任”+“邊緣計(jì)算”這個概念是我司基于多年物聯(lián)網(wǎng)邊緣計(jì)算設(shè)備研發(fā)和生產(chǎn)經(jīng)驗(yàn)，結(jié)合零信任技術(shù)融合而來的，目的就是為了解決邊緣計(jì)算設(shè)備的身份安全及訪問安全。

      我們打造的針對邊緣計(jì)算的零信任產(chǎn)品是一個平臺級的身份及數(shù)據(jù)安全管控系統(tǒng)，全方位保障邊緣網(wǎng)關(guān)的身份安全、網(wǎng)關(guān)與北向業(yè)務(wù)系統(tǒng)的訪問安全、網(wǎng)關(guān)與南向IOT設(shè)備的接入安全、以及網(wǎng)關(guān)與網(wǎng)關(guān)間東西向的數(shù)據(jù)傳輸安全。這里身份安全及北向業(yè)務(wù)訪問安全用到了SDP及IAM的技術(shù)，網(wǎng)關(guān)間東西向數(shù)據(jù)傳輸安全則用了MSG微隔離技術(shù)。網(wǎng)關(guān)間訪問的隧道拓?fù)溆上到y(tǒng)管理員控制，哪怕邊緣網(wǎng)關(guān)的身份都是合法的，零信任的理念也是只保證其最小訪問權(quán)限。這個最小訪問權(quán)限就是管理員根據(jù)業(yè)務(wù)需求設(shè)置的隧道拓?fù)?。這樣設(shè)計(jì)的目的是防止某個設(shè)備被惡意攻破后的系統(tǒng)橫向攻擊。

      同時(shí)我們可以做到邊緣計(jì)算設(shè)備的全生命周期管理，這個也得益于我們有自己的硬件研發(fā)團(tuán)隊(duì)和制造工廠。從設(shè)備出廠的身份證書制作，到設(shè)備激活、入網(wǎng)審批、狀態(tài)監(jiān)控、策略更新、設(shè)備停用及更換、設(shè)備移除等?？紤]到邊緣計(jì)算設(shè)備的運(yùn)維特殊性，平臺還支持設(shè)備內(nèi)服務(wù)及應(yīng)用的遠(yuǎn)程部署及OTA自動升級，減輕了運(yùn)維人員出現(xiàn)場的負(fù)擔(dān)。

問題4：我知道您是云涌科技的產(chǎn)品經(jīng)理，從您的角度和經(jīng)驗(yàn)，如果我是一個企業(yè)客戶，我如何選擇適合我的一個方案，有哪些標(biāo)準(zhǔn)或者建議嗎？

      零信任安全模型打破了傳統(tǒng)的“網(wǎng)絡(luò)邊界防護(hù)”思維，把網(wǎng)絡(luò)安全的專注點(diǎn)從單一的邊界保護(hù)轉(zhuǎn)移到公司內(nèi)的每個端點(diǎn)和用戶，這個IT建設(shè)過程并不是一件容易的事，需要涉及到企業(yè)高層領(lǐng)導(dǎo)的明確承諾和理解，以及熟知企業(yè)業(yè)務(wù)和核心資產(chǎn)的內(nèi)部團(tuán)隊(duì)同IT團(tuán)隊(duì)一起配合完成。

       1.第一步，就是將您的團(tuán)隊(duì)聚在一起，就啟動零信任達(dá)成共識。根據(jù)具體共識來指定實(shí)施目標(biāo)、以及實(shí)現(xiàn)這些目標(biāo)的路線圖。實(shí)現(xiàn)零信任并不代表要拋棄企業(yè)已經(jīng)部署的邊界防護(hù)產(chǎn)品。零信任是一個復(fù)雜的多系統(tǒng)配合的安全架構(gòu)，其目的是實(shí)現(xiàn)“永不信任，始終驗(yàn)證”，因此企業(yè)已經(jīng)部署的很多安全產(chǎn)品都是可以復(fù)用的。比如EDR（終端安全響應(yīng)系統(tǒng)）、MFA（多因子身份驗(yàn)證系統(tǒng)）、TIP（威脅情報(bào)平臺系統(tǒng)）等等。

      您需要清楚的了解企業(yè)當(dāng)前整個IT架構(gòu)和業(yè)務(wù)系統(tǒng)，再去考慮如何實(shí)現(xiàn)零信任以及哪些技術(shù)和產(chǎn)品有助于實(shí)現(xiàn)這個理念。比如企業(yè)現(xiàn)在有哪些業(yè)務(wù)系統(tǒng)，類型是Web服務(wù)還是本地應(yīng)用，用戶是誰，他們?nèi)绾芜B接到這些系統(tǒng)，他們使用什么平臺及設(shè)備來訪問這些系統(tǒng)，以及當(dāng)前為了保護(hù)這些系統(tǒng)已經(jīng)采取了那些安全措施。

      2.選擇適合您IT架構(gòu)的零信任產(chǎn)品方案，以及評估零信任方案對當(dāng)前系統(tǒng)的改造成本，及改造后的用戶體驗(yàn)等問題。零信任沒有銀彈，基本不存在拿來就適合每個企業(yè)場景的標(biāo)準(zhǔn)產(chǎn)品。零信任建設(shè)需要提供適合企業(yè)IT架構(gòu)、業(yè)務(wù)場景以及運(yùn)維能力相對應(yīng)的方案，同時(shí)還要兼顧用戶體驗(yàn)和安全的平衡性。

      舉例來說，針對您企業(yè)的Web應(yīng)用或本地應(yīng)用，零信任需要采用不同的技術(shù)來保證其被訪問的安全性。Web應(yīng)用能否做到服務(wù)級別的訪問控制，是否有自動加載水印等防數(shù)據(jù)泄露能力，是否支持對接釘釘或企業(yè)微信等工作臺。本地應(yīng)用是否實(shí)現(xiàn)了加密隧道傳輸，隧道建立跟VPN相比控制力度如何，穩(wěn)定性如何，是否支持國密，能否做到隧道服務(wù)訪問的MFA等。

      上面說的是零信任產(chǎn)品的安全能力，還有重要的一個考慮因素是改造成本。不能說為了實(shí)現(xiàn)零信任保護(hù)，需要深度改造企業(yè)服務(wù)來適配你的零信任產(chǎn)品。大家知道企業(yè)服務(wù)很多都是公司花了重金、供應(yīng)商做了很多定制化開發(fā)工作才做到了適合自己業(yè)務(wù)場景的。改造這些服務(wù)勢必需要再投入大量資金，同時(shí)還會影響現(xiàn)有業(yè)務(wù)的正常運(yùn)行，是性價(jià)比非常低的決策。如果零信任方案可以不改造企業(yè)服務(wù)本身，或者僅僅通過一些服務(wù)端的網(wǎng)絡(luò)配置來適配零信任體系，對企業(yè)來說這樣的零信任方案才是合理的，是值得考慮的。

       3.零信任廠商的技術(shù)能力也是需要考慮的因素，包括針對企業(yè)IT架構(gòu)的整體零信任規(guī)劃能力，運(yùn)維部署實(shí)施能力，定制化開發(fā)能力，以及售后技術(shù)支持及問題響應(yīng)速度等都是值得考慮的點(diǎn)。比如大的安全廠商是否愿意為中小企業(yè)做零信任整體規(guī)劃及定制開發(fā)？小的安全廠商是否有人力能做到大廠的運(yùn)維SLA響應(yīng)標(biāo)準(zhǔn)？這些都是挺重要的點(diǎn)，需要企業(yè)決策者來通盤考慮。

• 分類：云涌新聞
• 作者：
• 來源：
• 發(fā)布時(shí)間：2021-05-08
• 訪問量：2308