ISC 2022|零信任与SASE开放技术论坛成功举办
2022年8月2日,ISC 2022第十届互联网安全大会“零信任与SASE开放技术论坛”于2022 ISC元宇宙N世界成功举办。本次论坛由江苏易安联网络技术有限公司与ISC互联网安全大会联合主办,论坛邀请了十余名业内头部专家以及零信任领域专业厂商,共话零信任与SASE下的网络安全,为行业发展和产品落地献计献策。
在本次ISC 2022第十届互联网安全大会“零信任与SASE开放技术论坛”上,来自中国信息通信研究院云计算与大数据研究所开源和软件安全部副主任(主持工作)郭雪、江苏易安联网络技术有限公司合作人CTO秦益飞、长春吉大正元信息技术股份有限公司副总裁张宝欣、深圳竹云科技股份有限公司业务咨询与解决方案部总经理曾明、杭州亿格云科技有限公司产品合伙人陈吴栋、北京持安科技有限公司联合创始人孙维伯、中国移动通信集团设计院有限公司网信安全产品部研发总监张晨、360数字安全零信任安全产线规划总监梅宗林、360政企安全集团解决方案总监吴满、360集团信息安全中心负责人张睿先后发表零信任相关主题演讲,对零信任、SASE发展、市场现状、产品落地实践及未来发展做出了全面解读。
据IBM最新发布的《2022年数据泄露成本报告》指出,随着零信任技术框架的成熟,越来越多的组织开始部署零信任安全架构,对于部署零信任的组织而言,其所造成的数据泄露成本平均要节约100万美元,相比部署XDR节约40万美元,零信任的应用价值正在显现。
零信任化的终极解决方案 “SASE助力组织应用零信任化”
江苏易安联网络技术有限公司合伙人、CTO秦益飞在论坛上带来《SASE助力组织应用零信任化》主题演讲,分享了易安联在应用零信任化领域的思考和实践。秦益飞指出,随着技术的不断变革升级,企业已经历了数个线上应用部署阶段,从传统到云,从私有云到边缘云,部署方式的转变也带来了诸多新技术和新应用,同时一系列的安全新挑战也应运而生,其主要表现为防护边界消失、成本加大、复杂度高等问题。而零信任理念的出现,则恰好解决以上难题。
企业在向零信任应用过程中,也在不断地解决零信任化自身所面临的问题,在易安联的具体实践落地方面,要不断完善以下三方面核心问题,即以身份为基石,统一的身份认证和授权问题、关键点的动态访问控制和核心的安全接入问题。在分享零信任应用与SASE相结合时秦益飞指出,SASE作为网络即服务与安全即服务完美的融合,固然可视为是零信任化的终极解决方案,但实际上SASE在解决应用零信任化,推进企业向零信任化转型过程中,也会遇到他自身的一些问题。
其中最主要的问题是SASE本身是一个融合技术,技术与实体众多,所以能够让SASE完美融合零信任,就需要为其搭建一个统一的访问控制体系。秦益飞以NIST零信任安全架构标准梳理了易安联在这方面的具体实践,比如用风险量化评估取代打分制评估,提供更加科学的决策,而不是风险量化难题交给用户。风险量化评估涉及每一个数字资产、终端、用户服务以及数据等各个方面,从而照顾到整个零信任访问过程中所有风险点。
秦益飞列举了一些常见的风险点,比如来自用户侧的行为风险、终端系统的风险、网络环境的风险等,并解释了细化各个小的风险点所遵循的风险评估算法,他还重点强调了伴随着策略决策中心的发展,风险体系也需要进行扩展,比如当我们发现安全配置风险也应该成为零信任化过程中需要评估的量化风险点,就可以随时把风险值纳入到整体的综合风险评估体系当中,从而不断扩大风险评估情况。
而这一套风险评估体系的搭建,则可以量化定义漏洞风险、补丁风险等具体情况。即在针对SASE环境实现全边缘零信任化解决方案当中,易安联通过统一的策略中心,可以评估终端到接入侧,到应用侧各个点上的风险评估情况,并且可将PEP执行点延伸到终端,延伸网络以及应用当中,实现全面地应用零信任化保护。
在解决方案的具体实践案例中,他以远程接入系统为例,在边缘侧、SASE接入侧,以及IOT物联网网关均驻留PEP执行点,其策略中心涵盖所有的终端、接入云、整个数据中心、应用服务侧,以便让其均获得决策要素支撑,在整体的环境当中控制整体的应用访问过程。同时对于数据安全的保护,通过量化指标,可以提供数据全生命周期安全保护。
企业如何走好零信任和SASE的建设之路?
在易安联合伙人、COO王峰主持的圆桌环节,数位嘉宾就“零信任赋能安全”这一话题进行了深入探讨。在面对企业应该如何走好零信任和SASE的建设之路这一问题时,嘉宾们表示:
北京持安科技有限公司联合创始人孙维伯认为,企业组织走好零信任和SASE建设之路,关键在于企业应该先考虑好自己想要什么,在建设过程当中自己重点关注什么,以及如何去做。零信任建设要源于真实需求,需要落地真实场景,在具体的建设前期,需要消除内部矛盾,并解决后期运营问题。零信任产品在选择上需要注重与业务之间的伴生,即对业务是否有影响,以及效率稳定性表现等因素,并且根据自身的业务形式选择更加适合自己的,比如本地化部署方案,或是SASE建设方案。
深圳竹云科技股份有限公司业务咨询与解决方案部总经理曾明指出,站在不同行业不同甲方视角下,这一问题可能没有标准答案。零信任也好,SASE也好,在整个从安全行业来说,它更关注场景,更关注颗粒度,更关注细化。企业一侧的具体实践不妨基于调研,参照一些行业优质企业的实践案例,一定不要盲目地为了零信任而零信任。对于企业而言,任何投入还是要讲投资回报率,企业也应认识到零信任或是SASE作为综合方案对于企业自身的真实意义。
杭州亿格云科技有限公司产品合伙人陈吴栋则表示,企业最应该关心的还是安全应该怎样支持业务的发展,从实践案例证明,企业通过零信任与SASE建设,是可以帮助企业把业务的运营成本降低下来,这可能是安全负责人此前没有太多考虑的点,这也可以作为零信任更好落地基本前提。从安全本身来考量,企业也应认识到SASE的价值,从而解决传统单点安全产品的防护弊端。
中国移动通信集团设计院有限公司网信安全产品部研发总监张晨指出,零信任和SASE之间是有一种相辅相成的关系的,两者均运用了安全无边界这种思想。而用户需要考虑的是,如何在这两种不同的安全无边界应用思路下,如何定义什么叫做信任。企业在用好零信任和SASE同时,需要不断的投入运营的力量去优化自己的信任模型,这样才能确保这些产品和能力达到最佳的效果。
易安联合伙人、COO王峰总结指出,企业组织要想走好零信任和SASE的建设路,首先,企业自身需要找到产品需求的痛点是什么,不要盲目投入建设;其次,要根据自身的应用场景来选择对应的技术和产品和方案;再者,企业去做零信任或者SASE建设之时,需要企业上下多部门联动,这样才能顺利推动;最后,企业更需要理解零信任和SASE不仅仅只是针对安全,从整体而言,零信任和SASE建设更是对于业务的促进。
此外,圆桌环节嘉宾们还探讨了企业如何能够确保做好充足的防护和准备去应对新的安全威胁,他们还转换视角,谈论了一些失败的零信任落地实践用于警示行业及用户,同时还就客户视角来下零信任未来的趋势和变化展开了讨论。