2020年一场突如其来的“新冠”疫情波及社会民生方方面面，无数企业被迫开启大规模远程办公。而后，我国疫情逐渐平息，全面复工有序展开，但人们对于远程办公及其安全的讨论却未就此停止。

“类似疫情之类的黑天鹅再次出现之时，我们会不会比之前做的更好？”这是疫情之后企业必须要考虑的问题。另外，企业面临的安全形势日益严峻：内、外部威胁难以防范，APT攻击已经普遍的攻击手法，各种黑产产业链正在加速形成......

在这样的情况下，“零信任”有望成为解决这些问题的希望，而且目前各国也正不断在零信任领域进行尝试。

例如2020年2月NIST发布《零信任架构》 标准草案第2版；10月29日英国政府发布《零信任部署基本原则》草案；10月22日，奇安信牵头零信任国家标准编制工作也已经正式启动。

为了进一步探究零信任网络的发展和落地，在2020年第四季度，安在特邀圈内专业人士齐聚一堂，以“零信任”为主题进行总结、分享，力图以恰逢其时、恰如其分的脑力碰撞，给创新厂商技术分享和企业用户规划建设带来最直接而实效的针对和参照。

嘉宾合影留念

为了让更多专业人士更方便参与“零信任体系”的研讨和碰撞，安全新媒体拟定在北京、上海、深圳等地，举办4场零信任主题系列沙龙活动。2020年11月7日，零信任网络安全创新沙龙第二场活动已在上海成功举办。

本次活动由诸子云秘书长张威主持，联软科技高级产品经理刘现磊、蔷薇灵动CEO严雷、日志易技术总监黄俊毅、小佑科技CEO袁曙光分别发表主题演讲，分享在零信任网络中的创新思考与实践。

参与活动的嘉宾分别是找钢网、天翼电子商务宝信软件、上汽、上海证券交易、浦发银行、平安金服、恒能泰企、SMG、御付信息、中国电信、汇付支付、天安财险、百胜软件、交通银行、平安银行上海分行、上海华谊公司、金拱门、上投金融、平安付、华宝证券、上海证券同业会、万事达卡、平安证券、青浦供电局、中信期货、诺基亚贝尔股份、东方航空物流等企事业的安全专家、安全部门负责人和技术骨干。

为增加沙龙活动的趣味性，本次活动还进行了三次抽奖环节，奖品分别是小米折叠无人机、Kindle阅读器和airpods pro耳机。

零信任实践：从远程办公开始

联软科技高级产品经理 刘现磊

近年来，随着企业数字化转型的加速，传统的网络边界正在消失，以边界为基础的安全防护体系难以面对日益严峻的安全威胁。根据Verizon 2019全球数据泄露报告的数据显示，目前企业不仅内部威胁难以防范，而且外部威胁日益严重，APT攻击被普遍使用，防护难度大大增加。

因此，企业迫切需要新的网络安全架构—零信任。2020年2月美国国家标准与技术研究院发布了SP800-207:Zero Trust Architecture 草案第二版本，零信任开始从理念逐步走向落地。

众所周知，零信任是一个理念，既不是产品也不是技术，实现零信任的三大技术主要是“SIM”——SDP（软件定义边界）、IAM（增强的身份管理）、MSG（微隔离）。其中SDP更成熟，也更迫切，NIST将SDP作为ZTA推荐实现方案，云安全联盟也认为SDP是零信任策略的最高级实现方案。

如今，疫情再次在欧洲大范围爆发，我国多地依然有疫情上报，远远未到可以高枕无忧的时候，再者远程办公已经进入常态化，以零信任网络访问（ZTNA）取代VPN技术也已经成为人们共知的趋势。

在这样的情况下，联软科技提出了自己多年耕耘的ZTNA解决方案。

如上图所示，联软零信任（ZTNA）架构以身份管理和访问控制、风险评估中心为核心，可对威胁进行持续检测，对物理、计算环境的清楚感知，应用、人员和设备全面身份化，真正实现可实现动态访问控制，信任持续评估。

其中，SPA可对终端进行验证，非法的终端无法通过验证，如是合法终端控制器可开放TCP端口。临时、动态身份标识（包括人员身份、设备身份、应用身份）通过控制器可进入身份管理与访问控制，风险评估中心会进行持续信任评估，实现身份全面化。

联软科技高级产品经理刘现磊

环境感知会评估用户所处的物理环境、安全环境、安全基线和安全事件，并得出综合的分数，通过风险评估中心即可得出对应的信任等级，并以此确定用户的授权列表，不同的授权等级所能访问的数据中心也不一样。

作为专注于端点安全十五年的安全厂商，联软零信任（ZTNA）架构已经可以实现了从设备-SPA -身份-环境-评估的强认证体系，并且结合威胁情报、SIEM、UEBA和态势感知等技术，积极打造完整的数据安全闭环。

嘉宾：一旦上线平台就有可能会对用户的便利性产生影响，如果用户都来报告这类问题，对于运维而言压力太大了，所以这个是否有旁路的解决方式？

刘现磊：针对您说的这个问题，我们目前的思路是让用户参与进来。比如用户在做设备注册时会有权限选择界面，用户可以自主完成授权。因为只有用户才知道业务需要访问哪些内容，通过这样的方式可以解决大部分的运维问题。

这里额外拓展一下。孙子兵法云天时地利人和，在零信任中我们就想落实两点：地利和人和。所谓地利，是我们在零信任架构中加了一个控制器，无论你从哪里来，都需要经过这里进行严格的筛选；所谓人和则是给予所有用户参与到安全流程中来的渠道，就像苹果禁止商城外的安装，但是会提供一个软件商城，我们将人和的理念嵌入零信任中，这样可以大幅减少运维侧的压力，真正从根本上解决这个问题。

零信任与微隔离实战之路

蔷薇灵动CEO 严雷

零信任已经是大势所趋，近年来美国、英国等国家陆续颁布零信任相关法案，2020年云安全联盟大中华区成立了零信任专家认证，腾讯也牵头发布了《零信任实战白皮书》。

零信任网络是对传统安全防护模式的颠覆，是应对未来日益复杂的安全形势的有力武器，这已经是业内人士的共识。值得注意的是，零信任能力建设始终围绕着控制细粒度与业务可视化展，而不是一蹴而就，但却是多多益善，因此，微隔离建设就成为零信任必不可少的前提条件。

目前微隔离的主要需求场景有以下几种：东西向隔离需求&可视化需求、等保合规需求、HW实战需求和跨平台精细化安全管理需求，全部是企业当下的痛点需求。

在严雷看来，微隔离是一种网络安全技术，它使安全架构师能够在逻辑上将数据中心划分为不同的安全段，一直到各个工作负载级别，然后为每个独特的段定义安全控制和所提供的服务，可以在数据中心深处部署灵活的安全策略。

事实上，创建微隔离是零信任解决方案的关键功能；Gartner在2018年的《Zero Trust Is an Initial Step on the Roadmap to CARTA》报告中也将微隔离技术纳入PPDR体系的Prevent中，作为基础技术之一；而在我国等保2.0中的通用要求和拓展要求中也有和微隔离相关的规定。

换句话说，微隔离作为网络安全领域专家和用户的高度认可的主流技术，其市场需求已经十分明显，更是零信任架构落地的重要基础。

那么企业又该如何真正落地并发挥出微隔离技术的效果？

蔷薇灵动CEO严雷

蔷薇灵动CEO严雷提出了“微隔离部署五步工作法”，分别是定义、分析、设计、防护和监控。简单来说，一是定义要实施微隔离的基础设施，二是学习与梳理业务模型，三是设计微隔离网络结构，四是配置微隔离策略，五是 持续进行监控。

蔷薇灵动作为国内微隔离技术的代表厂商，它提出的“五步工作法”已经经过了无数用户和实践的检验。随后，严雷和嘉宾们分享了蔷薇灵动目前的标杆用户-国内某大型金融服务机构，结合具体的企业情况深入浅出地介绍微隔离技术的部署和作用。

嘉宾：微隔离其实就是传统意义上的防火墙，在安全上面还有IDS、IPS，那么在微隔离里面，IDS、IPS是借用其他的平台还是您这个平台来实现？

严雷：我们不实现IDS/IPS。每一个产品都会有自己的边界，一直以来我们也都非常克制，其实作为研发人员来说，把功能做多是非常容易的事情，但克制很难。例如我们跟国内某银行合作，给我们的要求是CPU占用率不能超过5%，如果要启动IPS是不可能的，我们和业务是共存的状态，而不是互相抢占资源。

其实微隔离和口罩非常类似，你不能指望它能治所有病，当“口罩”需要大批量进行部署时，它必须要满足的要求是什么？答案是轻量化。就像是我们日常戴口罩，只要稍微重一点就受不了，所以微隔离部署一定要轻量化，才不会对业务造成影响。

基于日志大数据的SIEM

创新应用实践

日志易技术总监 黄俊毅

随着互联网技术不断发展，攻击技术有了明显的进步，对于“防”的理解也越来越深刻，攻防之间博弈愈加激烈，传统安全运营已经难以应对。例如传统黑名单防御已经无法识别黑客的正常行为传统黑名单规则，而0-Day的也已经成为了安全设备的克星，0-Day攻击早已不是罕见现象。

另外，传统企业安全运营面临着安全设备多、日常维护压力大，日志量大，告警事件多并无事件处置优先级之分，安全事件闭环处置进展缓慢或者并无闭环处置，安全现状不可见等诸多问题。

对此，日志易提出基于日志、流量等多源数据，依据专家经验分析安全事件发生的行为逻辑，利用机器学习技术挖掘海量异构数据之间的统计特性、时序特性，构建多样化的安全分析模型。

它还可以利用OODA的战术思维来指引SIEM建设，针对各类安全事件进行监测，根据决策内容，对威胁进行响应处置，并对对发现的可疑威胁进一步展开分析，最后对分析的结果进行评估，并选择一个/多个方案作为下一步的执行内容。

正如功夫电影中所说的一样，天下武功，唯快不破。在安全对抗过程中，作为防守方如果可以快速进行事件响应，那么就可以有效遏制攻击方的渗透活动。

日志易技术总监黄俊毅

值得一提的是，在日志易的解决方案中搭载了基于Flink CEP的规则引擎，既可以对单个事件进行告警，也可以统计某个事件发生的频率进行联合告警，还能对不同的事件进行关联告警。

除此之外，我们还可以通过可编程建模语言SPL进行可编程的日志分析统计，通过简单鼠标点击操作就能形成统计列表和图形，在加上机器学习算法平台的辅助，可最大限度地提升企业安全运营的成效。

嘉宾：日志易siem平台开箱即用的关联规则有多少？

黄俊毅：目前日志易SIEM包含ATT&CK在内的规则有上千条。我们会根据用户实际网络拓扑架构和设备类型，选择针对性的场景帮用户落地实现，一期建设一般会落地几十条准确性高的规则。

嘉宾：机器学习目前用于哪些场景？

黄俊毅：机器学习目前用于自动训练安全设备的流量，连接数等指标变化趋势，识别出安全设备指标偏离历史规律的现象以及识别安全设备，操作系统异常日志模式。

容器全生命周期的安全防护

小佑科技CEO 袁曙光

容器正成为企业应用的新流行趋势，已被越来越多地投入于生产环境。容器技术是近几年云行业发展中不可缺少的一环，未来，随着容器安全技术进一步发展，必定会反超非容器化应用。同时，容器技术对于企业数字化转型有明显的推动作用，不论是镜像大小、占用内存、安装时间还是启动时间都远远好于传统技术。

容器技术也是云计算中极为关键的一环。自2014年Google 推出 Kubernetes作为Borg的开源版本开始，容器安全迅速火热起来，2015年Docker 公司推出Docker Swarm 容器集群管理项目，2016年Apache Mesos 发布, 比Swarm 更复杂也更灵活，2018年Kubernetes 成为容器编排领域的黄金标准。

然而，容器技术同样面临着严重的挑战。例如运行环境安全风险，编排工具安全风险、镜像安全风险、容器安全风险，我们也终结了针对容器ATT&CK攻击模型等。攻击通过对外提供服务的应用程序漏洞拿下POD，然后尝试逃逸到宿主机，攻击master节点，最终拿下集群控制权控制整个集群。

在这样的背景下，作为云原生安全的先行者小佑科技提出了容器安全的解决方案，弥补传统防护手段的不足（容器网络防火墙和传统完全不同，无法使用；防病毒网关在容器的虚拟化网络中无法使用；容器镜像分层存储，传统的漏洞扫描仅仅在OS和网络进行扫描等）。

而在小佑科技的容器全生命周期的解决方案中，可以实现镜像深度扫描、镜像运行控制、容器网络及系统安全监控、集群漏洞扫描及安全审计、以及容器相关资产可视化管理、安全事件分析、合规检测等。

小佑科技CEO袁曙光

随后，小佑科技CEO袁曙光向嘉宾们介绍了五个容器全生命周期解决方案的典型场景，包括镜像漏洞管理、容器入侵如何检测与防御、集群东西流量的访问控制、微服务漏洞检测与防御、快速定位攻击的影响范围。

例如在镜像漏洞管理中，产品特色主要有支持软件包漏洞、框架漏洞、病毒木马扫描；扫描速度快，1T的大镜像约10秒，5000个镜像的仓库30分钟即可完成；扫描引擎可以部署在任意节点等。

而在容器入侵如何检测与防御的场景中，产品特色主要有Docker及集群基线合规检查及修复，镜像漏洞及木马病毒扫描，实时威胁检测及报警，操作审计、容器隔离，镜像运行阻断、进程白名单、文件防篡改等。

安全组件容器化解决了容器操作系统、场景刚需、资源隔离、共性和健康管理等问题，部署方式上既可单集群部署，也可以多集群部署，而且支持主流编排工具，API也支持和已有系统对接。

嘉宾：小佑科技产品的东西向项流量控制是用什么技术来实现？

袁曙光：有两种方式，一个是防护容器可以管理主机的iptables，另一个是直接支持K8S的networkpolicy，但networkpolicy有一个问题，可能会涉及到白名单的问题，在做的时候可能会出现策略抢占的问题，我们会根据用户使用的网络插件和自身的网络规划来选择使用哪一种方式来实现。

“本次沙龙活动议题PPT，可至诸子云知识星球获取。”

齐心抗疫 与你同在