活动｜3.27上海·网络安全创新沙龙，关于SASE和零信任

随着新一代信息技术与经济社会发展各领域的深度融合，网络安全形势日益严峻，网络安全技术在维护国家安全、支撑产业转型、服务社会发展、保护公众利益等方面的重要作用愈加凸显。

网络安全不仅关乎国家安全、社会安全、城市安全、基础设施安全，也和每个人的生活密切相关。“安全”成为继“发展”之后，又一重要关键词，已成为国民经济和社会发展的重要风向标，也是“十四五”期间中发展建设的重点工作之一。

为了探究网络安全在未来可能出现的新趋势，3月27日，安在特邀圈内专业人士齐聚一堂，以“网络安全新趋势”为主题进行总结、分享，力求用别具一格的视角，从已知中推未知，做网络安全新风向的守望者。

本次活动由诸子云秘书长张威主持，白山云盾产品总监张欢、蔷薇灵动CEO严雷、某家居品牌安全负责人孙琦分别发表主题演讲，分享对网络安全新趋势的思考与实践。

活动有幸邀请到米思密、得物、赛可出行、上海家化、上海恒能泰企、中国电信研究院、翼支付、上海浦东发展银行、中国电信、平安证券、上海机场等企业安全专家、安全部门负责人和技术骨干的参与。

议题分享

《SASE：通往零信任之路》

白山云盾产品总监 张欢

2020年是动荡不安的一年，年初的一场疫情，改变了我们的生活：居家隔离、延迟复工……从办公室到移动远程办公，来自不同地方的人通过互联网接入到公司总部，访问重要的业务信息。

在这样的背景下，IT环境已在悄然变化，接入网络的人员、设备、系统、网络的多样性和复杂性无法预估，这意味着任何用户的任何设备在任何位置都有可能接入，网络边界的消失已经成为必然。人员的身份和权限管理混乱、业务上云后，内网安全防护形同虚设，传统基于边界防护的网络安全架构已经很难适应新环境。

零信任应运而生，它要解决的核心问题只有一个：在无边界网络环境下，确保所有的业务访问都是由可信的人、终端或系统用可信的方式访问可信的资源和数据。

1、持续验证，动态调整授权 ：零信任概念里信任是随时变化的，没有永久的信任。因此在业务访问之前虽然已经完成了人、终端和业务的可信判定，但给予的授权只是初步静态授权。在访问源对资源的访问过程中需要全程监测访问行为，一旦发现有异常行为需要及时降低访问源的可信度，对访问源进行再次认证或者减少访问源的访问权限。

2、确认四个可信：人可信、终端可信、资源可信、行为可信：零信任不是没有信任，而是要处处确认是否可信任，细粒度强认证；

3、摒弃内外网概念，尽量将安全关口向两边前移，缩小信任边界。

纵使零信任有千般好处，该如何落地仍是一件需要考虑成本的大事。如果将零信任当作是我们的目标，那么SASE则是实现这个目标的路径——SASE把网络和安全整合到一个平台中，将访问技术栈压进方便管理的连接网络，进行统一管理。

SASE具有以下四个特点：

以身份驱动：和零信任的理念一样，身份是核心的价值，以身份为中心驱动网络和安全策略，企业则无需考虑设备或地理位置。

支持所有边缘：为企业资源创建一个独立的安全网络，涵盖移动用户、PC用户、云资源、数据中心资源、总部资源、分支资源等

安全服务化：共享云端的所有安全能力

同时采用云原生架构，包括：弹性、自适应性、自恢复能力和自维护，分摊客户开销以提供最大效率，适应新兴业务需求，而且随处可用；

全球分布：确保所有网络和安全功能随处可用，并向全部边缘交付尽可能好的体验

基于对零信任的探索，云盾根据自己的业务优势，做了一些零信任实践，包括云WAF+零信任、云原生零信任-应用可信访问、DDoS+零信任、安全加速SDK、上网行为管理+零信任、安全Web网关、全球边缘云平台等。

《零信任与微隔离实战之路》

蔷薇灵动CEO 严雷

零信任网络是对传统安全防护模式的颠覆，是应对未来日益复杂的安全形势的有力武器，这已经是业内人士的共识。零信任能力建设始终围绕着控制细粒度与业务可视化展，而不是一蹴而就，但却是多多益善，因此，微隔离建设就成为零信任必不可少的前提条件。

流量可视：只有你看得见的东西你才能保护得了；容器间有流量，虚机间有流量，跨平台有流量。

基于ID：去IP化，去网络化，面向业务；ID可以是人的ID，也可以是机器的ID。

软件定义：控制平面与数据平面分离，一处定义，处处生效，实时调整；策略与策略作用对象分离，抽象的自然策略元语，随时调整作用范围。

目前微隔离的主要需求场景有几种：东西向隔离需求&可视化需求、等保合规需求、HW实战需求和跨平台精细化安全管理需求，是企业当下的痛点需求。

创建微隔离是零信任解决方案的关键功能，Gartner在2018年的《Zero Trust Is an Initial Step on the Roadmap to CARTA》报告中也将微隔离技术纳入PPDR体系的Prevent中，作为基础技术之一；而在我国等保2.0中的通用要求和拓展要求中也有和微隔离相关的规定。

微隔离作为网络安全领域专家和用户的高度认可的主流技术，其市场需求已经十分明显，更是零信任架构落地的重要基础。企业该如何真正落地并发挥出微隔离技术的效果？

严雷提出了“微隔离部署五步工作法”：定义、分析、设计、防护和监控。一是定义要实施微隔离的基础设施，二是学习与梳理业务模型，三是设计微隔离网络结构，四是配置微隔离策略，五是持续进行监控。作为国内微隔离技术的代表厂商，蔷薇灵动提出的“五步工作法”已经经过了无数用户和实践的检验。

《云架构下的企业零信任实践》

某家居品牌安全负责人 孙琦

甫一开场，孙琦便向在场众人提出了直击核心的三问：

在服务的企业中，已经配备了专业从事信息安全工作的人员吗？

是否已经部署了一种以上的安全防护措施，如终端管综合控措施、应用层防火墙、各类型防火墙？

是否既有专业从事信息安全的人，又有专业的安全防护措施（含设备、服务等），敢拍着胸脯说“我们的信息安全工作绝对没问题”？

能在残酷的市场竞争中活下来的公司，都会对资源的配置斤斤计较，如何在控制安全成本的前提下更好地保护公司的系统安全，成为了重中之重。

现在的企业安全，遇上了这样四大类问题：企业边界瓦解、外部威胁巨增、内部威胁加剧、法律法规要求。面对这样的问题，孙琦提出了自己的看法：信息安全的本质是激烈的对抗，因为没有技术就没有信息安全，安全管理的核心是最优化资源调度和明确战略方向；信息安全的实践是点滴汇聚，因为信息安全无小事，每一件小事都可能导致严重的信息安全事故。

而技术部门遇上的另一个难题，就是怎么将零信任转化成业务部门与老板可以接受的安全措施。

Identity and Access Management , IAM 负责系统中身份和访问的服务,完成：主体指定向谁授予权限、操作指定要执行的操作、资源指定要访问的属性；

网络安全，对网络安全采取零信任的方式涉及一种深度防御方法，该方法将安全控制应用于网络的所有层（不只是最外层）；

数据加密，对数据采用零信任模式意味着加密所有地方的数据，包括传输中和静止的数据。

活动花絮

另外，本星球已开通“分享有赏”，20%分享奖励，以当前价格计，您只需引荐5位付费新星友，您就完全赚回“门票”支出了。