持安零信任入选数说安全《零信任安全产品研究报告》

近日，网络安全产业研究机构“数说安全”，对业内最受关注和认可的零信任安全厂商发起调研，发布《零信任安全产品研究报告》。

持安科技作为国内最早落地零信任的安全厂商，深度参与了此次报告的调研与发布。

报告研究发现：

零信任理念在国内正处于高速发展阶段，且未来将与企业IT架构、业务模式更加深度融合，最终成为企业信息化建设的基础设施；
访问接入、联防联控、数据安全精细化运营、漏洞防护仍是企业目前面临的主要问题，零信任理念将首先从这些场景逐步落地。

接下来是对报告内容的解读，分为6个Part：

一、零信任理念-从开始到落地

二、企业安全建设工作的挑战与冲突愈演愈烈

三、零信任五大核心技术与能力的对比

四、零信任平台级产品，超融合能力必须有

五、分布式部署 ≠ 分布式访问

六、如果什么都要通过零信任，那零信任产品自身的安全性怎么保证

零信任理念-从开始到落地

“零信任”作为近两年来网络安全市场热度最高的词汇，一千家安全厂商就有一千个零信任定义。

但数说安全认为，零信任是一种思想，认为人可能被收买，人的身份信息可能被窃取，设备也可能被攻破，因此没有任何一个人，设备或系统应该被无条件地、长久地信任。所以应当收集尽可能多的信息，对人、设备、系统、被访问资源进行动态评估，从而给予用户或设备对资源访问的实时、动态访问授权。

数说安全《零信任安全产品研究报告》图一：零信任系统架构图

谷歌 BeyondCorp 项目，被认为是零信任理念在全球企业办公安全领域最早落地的案例。

BeyondCorp 零信任安全框架将访问控制从网络隔离转移到企业员工身份鉴权，员工办公不再区分内外网，可在全球任一位置安全工作。

Google BeyondCorp 项目的落地，验证了零信任最佳实践在大型企业落地的价值。

在国内，业务涉足游戏、娱乐、教育的完美世界集团，面临的内部安全挑战愈加明显，传统的安全产品已经无法提供有效防范，尤其是随着公司业务的飞速扩张和增长，安全部门与业务部门的冲突也愈加凸显。

时任完美世界安全负责人的何艺，通过深入了解研究 Google BeyondCorp 项目，于2015年正式启动完美世界零信任安全项目，并在2019年实现全集团的全面落地。

从此完美世界集团内部所有业务场景、分支机构、子公司，全部接入零信任系统，在2020年新冠疫情期间，零信任保障了完美世界全员远程办公的安全和效率。

2021年，在感受到了零信任在国内落地的价值和威力之后，何艺决定创业，成立持安科技，坚定不移地将零信任理念在更多行业、企业、场景落地。

何艺希望能结合自身将近20年的甲方安全建设经验、7年不间断的甲方企业零信任落地经验，为更多企业提供高质量的零信任产品和解决方案。

企业安全建设工作挑战与冲突愈演愈烈

何艺从多年甲方安全建设工作中感受到，企业安全工作存在诸多挑战与冲突，并且有愈演愈烈的趋势：

1、办公场景愈来愈复杂

几十上百个信息化系统，员工来自子公司、外包人员、第三方合作机构，上下供应链等，混合办公安全风险与管理难度加大。

2、传统防御方式失效

传统围栏式的边界防护、基于特征对抗的方式，难以持续保护企业办公安全。

3、攻击事件不断增加

科技发展使攻击成本越来越低，而攻击成功后的收益只增不减，在利益驱使下，企业内部舞弊、数据泄露、商业间谍事件层出不穷，祸起萧墙，甲方安全部门防不胜防。

4、安全与业务的效率冲突

当安全部门的工作无法保障和承诺效果，安全部门在企业内部的价值和话语权也受到业务部门的大量质疑，例如：安全产品的部署会拖沓业务上线效率，过多碎片化的安全产品给普通员工的日常工作增加负担等等。

持安科技综合以上甲方企业安全建设工作的现状考虑，结合团队对零信任理念在国内的研究与落地经验，自主研发了业内顶尖的零信任平台级产品——持安零信任平台。

持安零信任平台架构

//“零信任应该成为企业办公安全的基础设施，承载业务，兼顾安全与效率，让安全部门的工作为全公司赋能。” ——这是持安零信任产品的核心宗旨。

零信任五大核心技术与能力对比

第一、身份识别与管理技术

零信任成为办公安全基础设施的关键一步，是构建以身份为中心的基础网络，身份识别与管理是零信任的核心能力之一。

解决多个身份管理系统的协同问题，也是现阶段零信任身份安全面临的主要挑战之一。

持安零信任平台身份安全能力包含：

1、统一的身份安全中心；

2、多因素认证能力、多种SSO协议接入能力；

3、复杂身份源数据混合认证与同步能力；

4、与第三方认证源打通的能力；

5、标准化身份集成接口，可以与企业内部任意自建或采购的身份系统集成。

数说安全《零信任安全产品研究报告》零信任产品与身份管理系统对接表

持安零信任平台与其他零信任产品，在身份能力上不同的是：

身份验证、SSO等比传统IAM对外暴露面更小，更灵活，可以与任意第三方IAM系统、开源CAS等系统做无缝对接，接入时无需二次开发，无成本接入。

第二、授权管理与动态访问控制

零信任在访问控制粒度的追求，可谓是没有最细只有更细。
针对用户身份信息进行鉴权，控制用户访问业务的范围，能够实现人——终端——服务器——业务应用——资源——数据的全链路访问控制。

每一个行为都带有身份信息而非传统的IP信息。在用户访问时进行重复身份校验，务必保障“此刻的你”与“刚才的你”是同一个你。

第三、网络访问控制技术

数说安全报告内提出，网络访问控制技术包含两种关键技术：

1）SPA单包授权认证

零信任通过SPA实现业务隐身能力， SPA会根据内置算法生成一个单数据包，在经过加密分组等等手段发送到网关，只有这个数据包通过了零信任的可信验证，才会与后面的系统建立连结。

数说安全《零信任安全产品研究报告》SPA采用的通信协议

2）流量劫持

本质上，流量劫持面临的是域名和 IP 的问题，零信任采用的是网络层虚拟网卡，按需引流，应用层通过域名解析方式引流。

数说安全报告提到，在实践中，因为用户互联网接入链路的质量问题，SDP 的在用户使用体验方面存在很有挑战。比如因为互联网接入商出口 IP 发生变化，造成通信五元组的变化，会造成要求用户进行再次身份验证的问题。
持安零信任解决方案 在应用层通信中就可以带入身份、终端、IP、访问对象以及凭证等信息，可以根据策略灵活开启或关闭。如果开启，信任链校验失败就会被要求验证，用户体验较SDP有显著提升。

第四、终端安全评估与终端安全防护技术

终端安全是零信任的重要能力之一。技术难度大，在产品的系统兼容性、稳定性、系统开销、多样性等方面，存在诸多挑战。

持安科技使用高性能、轻量级的终端，可使用私有化、独立式、多平台整合等方式部署。

数说安全《零信任安全产品研究报告》终端安全能力

数说安全报告中提到， 相比同类创业公司，持安在终端层面做了很多工作 ，持安零信任终端包含以下四大优势：

强大、完整的终端数据采集能力，可采集到全行业、几十种数据资源；
高性能，轻量化的终端检测引擎，以可视化的方式，快速检测定位风险；
对于不同身份的用户，分层、分级制定策略，拥有可基于身份与行为的事件分析、处理与修复能力；
终端与网关实时联动，一旦发现安全事件，终端可快速反馈至网关，实现灵活的安全策略编排。

第五、安全分析能力与技术

安全分析能力与技术是策略引擎的核心，持安零信任平台内置了实时策略引擎和离线分析引擎：

实时策略引擎可以对请求数据结合的策略和终端、应用状态进行实时分析和处理，离线分析引擎可以对收集的海量数据进行综合分析，对C\S流量到五元组没有做DPI解析，但对B\S流量有从请求到响应内容的完整分析。

既然是顶尖的零信任平台级产品

超融合能力必须要有

除了包含以上五大核心能力，持安零信任平台拥有极强的超融合能力，可以与企业现有的如沙箱等安全产品融合打通，同时预留了大量第三方接口，产品也可适配企业已有的各类应用。

数说安全《零信任安全产品研究报告》各厂商产品第三方接口情况

数说安全《零信任安全产品研究报告》通信加密协议支持

05分布式部署 ≠ 分布式访问

最后，在产品部署方式上，诚如数说安全报告中所言，国内第一梯队的零信任厂商，几乎都实现了分布式零信任网关架构，需要格外注意的是，即使都是分布式架构，分布式部署≠分布式访问：

1、分布式部署：如众多SDP产品，可以通过LVS、负载均衡做多网关分布式部署，但无法实现同时访问A、B、C多个网关，只能根据当时的网速选择访问某一个网关，通过这个网关再转发请求到A、B、C等不同地方。

这就相当于开车绕远，传统的VPN也是这样做的，这就不可避免地会导致严重的延迟和卡顿的问题，在用户体验上，直接抵消掉IT部门优化访问速度的工作成果，激化安全与业务的矛盾，又走回了牺牲效率做安全的老路。

2、分布式访问：可以同时访问ABC多地网关，实现了对业务的就近访问，不需要绕远转发，避免了单点压力和响应过慢的问题。

持安零信任平台在打造产品之处，就深刻意识到甲方安全建设工作的场景和需求，充分考虑到了产品的可用性和易用性，采用分布式部署分布式访问，最大程度兼顾企业安全与效率。

如果什么都要通过零信任

那零信任产品自身的安全性怎么保证

基于十多年甲方安全建设从业人员的敏锐和经验，持安在打造持安零信任平台时自然非常看重产品自身的安全性。

在产品研发阶段即采取Devsecops，对代码进行审计之后，由持安零信任研究室顶级攻防成员对产品进行自测，并邀请业内最强实网攻防攻击队对产品开展测试。

今年6月我们成立了持安SRC，引入外部白帽测试力量对产品安全性进行加固。持安SRC联合49家国内外顶尖SRC机构，共同举办了国内第一届零信任实战攻防对抗赛，比赛面向全网白帽子开放靶场环境。

对抗赛期间，持安零信任平台多次降低攻击难度，卸载防护，在20多天之内，总共收到数百名白帽子40余万次攻击请求，但是，持安零信任平台始终保护着靶场环境的安全，没有放过任何一个可疑数据包。

未来，持安SRC会持续对持安零信任平台开展丰富的攻击测试活动，永远验证产品自身安全。这也应当成为所有零信任厂商在打造产品时的重中之重。

让零信任为企业创造更多价值

持安科技自成立以来，得到了众多知名投资机构的认可。截至目前，公司已完成两轮过亿元融资。

持安零信任平台已在互联网、金融、能源、科技、地产、高端制造、新零售等众多领域落地，用于保障企业混合办公期间的访问安全、敏感数据保护、开发运维安全、攻防演练等，目前累计接入业务系统超3000个。

团队积极参与零信任领域的观点输出及标准研制。先后参与零信任产业标准工作组《零信任接口应用白皮书》《零信任实战白皮书》、中国信通院《零信任发展与评估洞察报告》等多个零信任相关标准与报告撰写。

正如数说安全《零信任安全产品研究报告》中所言：

未来，企业IT系统安全建设将向着一体化、自动化、智能化、服务化发展，而这刚好与零信任理念契合，我们相信，零信任必将迎来更加广阔的发展空间。

持安科技将于更多同仁一起，继续实践、推动零信任理念的发展与落地，做更好的安全产品，为更多企业做好安全。

持安零信任入选数说安全《零信任安全产品研究报告》相关推荐

持安科技孙维伯：实战零信任最佳实践
Gartner预测,到2025年,60%的企业机构将把零信任作为安全工作的起点. 但是,国内许多企业在实施所谓的零信任时,却并没发现零信任有多"香",这是为什么? 也许你用的零信任 ...
持安科技CEO何艺：零信任在实战攻防演练中的价值
当我们7.8月份在安全圈聊的火热时,我们可能在聊什么?面对这逐渐升温的国家级大事件,零信任如何应对? 2022年7月8日,持安科技创始人&CEO何艺受邀参加网络安全行业门户FreeBuf举办的 ...
持安零信任 | 改变攻防不对称的局面
在每一个实战攻防演练的安全事件中,往往藏着很多委屈.因为这不是一场平等的对抗.攻击方失败100次只要成功1次,就旗开得胜.而对防守方来讲,哪怕成功100次,只要失误1次,就是前功尽弃. 对企业安全负责 ...
持安科技孙维伯：零信任业务与安全的最优解
10月29日,由安在主办的2022超级CSO高峰论坛,暨数字安全最佳实践研讨会,在深圳圆满举行. 围绕<零信任:业务与安全的最优解>主题,持安科技联合创始人孙维伯讲述了零信任如何兼顾企业的 ...
持安应用层零信任，开启数据安全上帝视角
近日,在2022 CCS成都网络安全大会上,持安科技创始人&CEO何艺针对<零信任在数据安全下的应用>发表重要演讲. 全球227.7亿条数据泄露据 Risk Based Secu ...
8年磨一剑，持安科技2023年度产品发布会报名通道正式开启！
阳春三月,春暖花开,朋友们期盼已久.我们筹备已久的持安科技2023年度产品发布会,终于正式定档2023年3月22日. 我们将在FreeBuf 2023 CIS网络安全创新大会 · 零信任安全论坛的舞台 ...
VMWARE ESXI 虚拟硬盘的格式:精简置备、厚置备延迟置零、厚置备置零
2019独角兽企业重金招聘Python工程师标准>>> VMWARE ESXI 虚拟硬盘的格式:精简置备.厚置备延迟置零.厚置备置零精简置备(thin provision): 精简 ...
VMware vSphere中三种磁盘：精简置备/厚置备置零/厚置备延迟置零
有时候我们可能会遇到这样几种现象:虚拟机置备100G,但是平台上却显示虚拟机使用了500G存储? 平台上看到所有虚拟机加起来才3T,存储上5T的空间却没了,严重的还导致所有虚拟机宕机. 为啥?都是&q ...
php 零宽断言,正则表达式之零宽断言实例详解
这篇文章主要介绍了正则表达式之零宽断言,简单介绍了零宽断言的概念.分类及php实现技巧与相关注意事项,需要的朋友可以参考下本文实例讲述了正则表达式之零宽断言.分享给大家供大家参考,具体如下: 前言 ...

持安零信任入选数说安全《零信任安全产品研究报告》

持安零信任入选数说安全《零信任安全产品研究报告》相关推荐

最新文章

热门文章