联软科技黄国忠：零信任SDP与数据安全

12月4日-12月6日，2020云安全联盟大中华区大会于上海举行，在今日云上（线上）论坛中 ，联软科技副总裁黄国忠分享了零信任SDP与数据安全的经验和见解,以下为论坛主持人提问和联软科技回答内容：

01

Q:先请大家简要介绍下各自的公司情况。

       A:联软科技是中国企业端点安全市场领域的领导者，国产自主安全可控的网络安全管控技术领军厂商、全球最早的网络准入控制厂商之一，一直致力于帮客户提供端点安全、边界安全、云安全服务三大领域。2019年，联软科技与魔方安全合并，获得了以攻击者视角对全网暴露面进行主动持续监控与管理的能力，正式进入网络攻防领域，致力于以攻防全局视角，改变现阶段攻防力量不平衡的网络安全环境。

02

Q:近年以来，网络安全随着应用技术、理念的不断创新发展，有了很大的改变。包括“传统”、“新一代”等时代差的关键词出现，大家对这一点怎么看？对未来网络安全对发展有什么看法？

       A:1.数字化转型和云大物智移等为代表的新一代技术，边界模糊性、资产海量化、环境复杂、业务关键、充满新的不确定风险，传统网络为中心的基于边界的防护体系正在瓦解或逐渐失效，外挂式、基于签名的安全产品和技术难以为继。

2.数字化或新基建也好，会出现新的资产、新的漏洞和威胁，不可识别和感知的风险占主流，当前防御理论是威胁驱动的，威胁不可见如何抵御高强度攻击。

3.随着网络安全上升到国家安全，包括从2016年开始的实战化攻防演习，安全建设的导向从合规驱动走向实效驱动，安全的本质是攻防两端力量的较量，归根到底看双方的成本，而要具备战时的防御能力，对一般单位来讲投入成本太高，需要一种更经济的方法。

基于以上几点，我认为新一代的网络安全架构，必须改变攻防不对称的局面，通过构建低成本防御体系来指数级提高攻击者成本，安全必须有ROI（投资回报）、另外安全为业务提供支撑作用，需要业务深度融合，不能阻碍业务的发展，以零信任为代表的新的安全架构或方法以从不信任，始终校验的核心思想，摒弃传统的静态的隐式信任，在网络边界的基础上构建以上下文为中心的逻辑边界，能极大收敛暴露面、构建端到端的以最小权限为原则的应用级动态访问控制体系，将业务与安全深度融合，大大提升攻击者的成本。未来零信任体系将和现有防御体系充分结合和深度融合，暴露面收敛后，内外部攻击的智能大数据分析非常重要，这是我的看法。

03

Q:作为一家终端安全的厂商，联软为何做零信任或SDP？

       A:我们做零信任或SDP不是蹭热点，而是顺应了IT架构和客户需求的变化，很自然的平滑升级：

首先，零信任或SDP并不是没有边界，而是在传统边界逐渐失效的情况下构建以上下文（如身份）为基础的围绕每个应用虚拟边界，比如在远程办公下边界从防火墙延伸到个人电脑或移动设备，各类终端的动态安全环境感知与防护能力就非常重要，那么联软十多年的终端安全管理经验积累和UEM能力就可以帮助我们或伙伴的零信任方案提升价值。

其次，联软早在2004年就开始做网络准入控制，NAC强调先验证身份，再连接网络，设备安全基线不符可强制下线修复，这也是动态访问控制的思想，这和零信任的核心思想是一致的，只是到了云+移动的时代传统网络边界被打破，也就出现了SDP，实现更灵活和细粒度的动态访问控制，我们设计EMM产品的架构时就采用了APN网关，强调服务隐身和应用层安全隧道，2019年推出SDP产品，今年推出UEM的ZTNA零信任网络访问产品和方案。

最后，零信任最终目标是保护数据和资源，而联软一直提供领先的数据防泄露、数字水印、多网文件安全传输等方案，我们的零信任方案很好地将上述技术融合进来，确保数据安全。

04

Q:虽然经历了十年发展，仍有人说零信任是概念，现在还处于市场的探索期，对这一点怎么看？

       A:不同意零信任还处于市场探索期的观点，零信任是一种理念，是一种新的范式，但零信任架构在美国NIST标准中有明确定义，已经有标准和工程化落地，零信任落地的最佳技术SDP市场国内外都已经有很多供应商，SDP替换VPN也是正在发生并且必然的事情，比如今年因为新冠疫情很多客户开启远程办公 ，我们就帮助很多客户采用SDP产品快速搭建远程办公、远程运维安全接入系统。我认为零信任探索的是场景，要考虑如何和现有系统的融合、集成、在安全性的同时保持易用性。零信任是个过程而不是结果，需要一种持续的能力和长期规划。

05

Q:联软SDP产品如何保护数据资产安全？

       A:联软SDP产品基于CSA的客户端、控制器和网关三组件的标准化方式实现，控制平面和数据平面分离，遵循SDP 服务隐身、预授权和预认证、应用级的准入控制、持续风险评估和动态访问控制等核心原则，通过可信终端（符合安全策略、如配置和软件）、可信身份（多因素、扫码等去密码化方式）、可信应用（发布审核与访问审计、应用白名单、最小权限）、可信接入（SPA、加密、国密、应用隧道）四个方面来确保接入内网的安全，客户端用沙箱实现工作域相互隔离、存储加密、数字水印、防截屏等方式、应用黑白名单、访问审计等确保数据的安全。

06

Q:在座的各位都是零信任SDP领域的代表企业，未来大家的发展规划是什么样的？

       A:作为联软科技来讲，我们是在终端安全管理与网络准入控制、数据安全领域深耕多年，具有端点侧领先优势，零信任或SDP最终目标是围绕数据安全，我们的SDP除了充分利用端点动态环境感知和安全管控、数据安全（沙箱、防泄密、水印等防护能力）外，我们的SDP规划重点考虑开放性、标准化，我们一直强调生态和合作，也在参与国内一些零信任联盟，和IAM、态势感知等厂商实现对接，也在积极参与国内零信任标准的编写。标准化、零件化、生态化合作一直是我们倡导的。

未来，联软也将发挥自身在零信任领域的优势作用，持续创新，为零信任发展贡献自己的力量，为企业打造更专业、高效的网络安全产品和服务。

在本次大会的CSA GCR颁奖典礼和晚宴上，联软UniSDP安界软件定义边界系统获得了CSA 2020安全创新奖；联软在云上论坛的分享人由于在网络安全领域的突出贡献，被云安全联盟授予研究贡献奖。