新闻中心

    新闻中心  >  落地零信任,我们这样干
    落地零信任,我们这样干
    背景图 2023-03-30 21:01:46

    落地零信任

    纵使千山万水

    踩在「巨人」的肩膀上

    共享拨云见日

    一眼万里


    「落地有声·第二届零信任用户分享大会」如约而至。

    主持嘉宾:数世咨询创始人 李少鹏

    主持嘉宾:数世咨询创始人 李少鹏

    会上,深信服邀请了知名咨询机构代表,以及金融业、制造业标杆用户,跟大家分享零信任落地过程中的思考与心得。

    演讲嘉宾王军民

    数字化优先时代来临,规模创新朝着持续化、情境化、实时化发展。面对安全挑战持续升级,零信任已成为向好发展驱动因素。


    据最新报告《IDC MarketScape: 中国零信任网络访问解决方案,2022年厂商评估》,中国零信任网络访问解决方案市场进入高速发展期,百花齐放的背后呈现六大趋势:

    1. “产品+服务”组合落地将成为标配。
    2. 云原生/服务敏捷/便捷等将推动云化部署节奏。
    3. 智能化、自动化将从概念部署向应用部署过渡。
    4. 零信任网络访问和零信任边缘将实现方案融合。
    5. 场景化、行业化解决方案市场潜力大。
    6. 零信任解决方案将向保护数据安全的方向发展。

    演讲嘉宾王军民

    对此,如何选择方案提供商,王军民以权威客观视角,给到用户详实建议:

    • 关注提供商对方案的体系化、阶段化建设能力。
    • 关注提供商综合能力及技术能力。
    • 关注提供商的数据安全访问体系建设规划能力。
    • 关注提供商的安全服务体系建设。

    演讲嘉宾张志强

    数字化转型背景下,北汽福田对IT提出了更高要求——“提供高效、安全、稳定、便捷的基础设施”。尤其是传统办公方式已经不适应数字化时代的发展,面对超2万名员工、6000+最高并发、超200万次月均攻击,为保障员工随时随地安全接入,北汽福田采用零信任满足远程办公常态化的安全需求

    演讲嘉宾张志强

    零信任不仅为北汽福田带来了有效安全保障,还让体验更加简单省心。“以往,访问采购管理系统,需要先拨VPN,再打开手机APP,操作繁琐;现在,在零信任架构下,访问控制系统可以与第三方通讯软件原生集成。”

    “采用深信服零信任aTrust替换VPN,只是北汽福田走进零信任的第一步。”千里之行始于足下,规划好阶段化建设路径,未来,北汽福田将持续深入探索远程运维、内网应用通信等场景。

    演讲嘉宾吴斌

    证券行业数字化转型,带来办公体验的无边界化。IT基础设施云化、容器化,业务上云、微服务化使传统以安全域划分、边界防护的理念受到怀疑。


    在保障安全刚需切入点的同时,要提升用户体验,进行整体布局,中信建投证券选择进行零信任改造。


    根据整体落地路径规划,基于身份访问控制、终端安全沙箱和数据分级保护技术,中信建投证券先行保护高风险场景(移动端开发安全、外包人员开发测试),收敛互联网暴露面,防止数据泄露。

    演讲嘉宾吴斌

    目前,中信建投证券全面推进取消远程办公类系统的互联网入口,实现13000+员工随时随地安全办公。


    “零信任架构搭建完成后,我们将结合数据资产信息,提升零信任安全运营能力。”未来,中信建投证券将实现增强访问行为分析和持续信任评估能力,基于风险构建自动化处置,有效阻断潜在威胁。

    对话大咖

    为了这场用户分享更加开放,我们特别开设「对话大咖」环节,前期通过线上征集问题,有3位正在落地零信任或有意向落地零信任的用户,提出了高质量问题,并到现场与嘉宾们面对面交流。


    Q1针对内部应用的安全,除了依赖零信任以外,还需配合哪些产品?


    吉利控股集团IT中心CTO/吉利汽车集团数字化中心总监 郑金伟

    对于终端管控来说,吉利在这方面的实践分三种情况,一是针对企业自有终端,可以结合零信任SDP、直连网关DGW的产品,二是BYOD设备,可以通过桌面云VDI、沙箱等,保证数据不落地;三是考虑对设备的管控,把包括网络准入、杀毒几个终端整合,形成一个终端All In One的产品。


    深信服 CIO 张武健

    怎么把安全进行体系化建设?我们去年提出“平台+组件+服务”的战略方针,其中ZTA平台解决以身份为中心的细粒度访问控制。随着深信服数字化转型发展,应用和终端数量迎来双爆发,安全漏洞不可避免,我们认为“终端是不可信的” ,风险很难控制,因此不仅要收缩业务暴露面,还要收缩内网接入终端细粒度管控。我们除了实现全办公网零信任改造外,还在研发内网结合SDP+VDI+DGW+UEM沙箱等,形成了一整套零信任解决方案。


    Q2集团工厂设备多、点位多,如何通过零信任,做好精细化、细粒度的访问控制?


    北汽福田集团基础设施及信息安全负责人 张志强

    在工业4.0与数字化转型驱动下,我们的互联网和工业网打通,机器人等相关设备几乎是国外的,工程师需要远程接入内网进行参数校验。以前用VPN打通隧道,一是看不到人员进入内网的行为,也无法追踪;二是人员获得权限较大大,无法细粒度管控。2021年我们引入零信任之后,管理员通过可视化平台,做资源和身份的匹配。另外,我们还建立工控DMZ区,在物理范围内管控人员权限。这背后更多还是在运营,把工控信息安全运营纳入信息安全运营体系,对信息安全做整体判断和处理。


    深信服安全业务副总裁/零信任业务负责人 周智坚

    零信任提供两种能力:一是事前隔离控制,不管是工业网、办公网、互联网,资产和数据有很多历史遗留问题,没办法通过改造架构来解决,因此需要零信任做隔离控制和细粒度控制,补齐短板;二是可视化和联动,能够看到整个资产访问活动过程中的风险,帮助安全团队进行管理和分析,以及异常的联动处置。同时,落地零信任需要分阶段、分场景,从远程办公到内外网混合办公等,如果缺乏整体规划,隔离控制、风险管理就很割裂,因此要选好一个生态开放兼容的平台,往数字化安全方向走。


    Q3为何大部分企业选择从SDP替代VPN的方式切入去做零信任建设?我们应当如何选择零信任落地技术路径?


    北汽福田集团基础设施及信息安全负责人 张志强

    我们选择从SDP切入做零信任,是因为对业务的挑战更小,除了满足远程安全接入的需求,能实现细粒度访问控制,还能满足研发远程接入的性能要求。从耗费资源和时间的角度,我们选择用最容易的手段,让决策层直观感受到零信任所带来的的好处。因此我们用深信服零信任aTrust替换VPN是一个很轻松的过程,只花费2个月就完成替换。


    深信服 CIO 张武健

    作为第一个吃螃蟹的人,深信服全网落地零信任,看起来很轻松,但过程很曲折。我们做零信任改造分三个阶段,一是PC到Server,二是从VDI到Server,三是从Server到Server。其中第一阶段最为重要,以收敛身份为前提的访问控制,也控制住大部分风险。基于过去SSL VPN产品积累的技术优势,深信服选择SDP这条技术路径,不管从安全还是运维收益来说,都是最简单有效和容易成功的。

    零信任大会