【概要描述】

      4月28日中國網絡信息安全峰會圓滿落幕，峰會現場信息化觀察網的記者針對云涌科技現階段主推的零信任安全架構提出一系列問題，云涌科技零信任產品經理劉濤先生就此接受了記者的專訪，并一一作答。

問題1:  能介紹一下云涌科技的基本情況，以及貴公司為何把零信任作為其中的一個發展方向嗎？

      云涌科技是一家以嵌入式技術為背景，提供工業信息安全和工業物聯網解決方案的高新技術企業。公司2004年成立，總部位于江蘇泰州，在北京、鄭州、南京，泰州、深圳設有研發中心或生產基地。2020年7月在上海證券交易所科創板成功上市。

      2020年是零信任概念提出的的第十個年頭，業內，客戶，媒體對于零信任的關注和接受度持續高漲。后疫情時代的遠程辦公和物聯網的快速發展，與此同時全球發生層出不窮的攻擊事件和新的攻擊手段，暴露了傳統安全技術的很多不足，加速了零信任落地的呼聲。

      從去年開始公司看中了零信任的巨大前景和需求，并且結合自身工業物聯網行業對安全的深刻理解，決定將零信任理念融合到現有產品和解決方案當中來。由此專門組建了一個較大規模的的產品研發團隊，聚集了一大批具備行內專業水平的安全專家，打造了名為“云涌零信任”的產品體系。目前產品已經面世并立即得到了行業內客戶的好評。零信任技術也作為公司四大核心技術之一，在快速的向前發展與迭代。

問題2: 目前零信任越來越得到關注且廠家眾多，云涌科技的零信任產品的有哪些特點？

      零信任模型是在2010年提出來的，發展到今天確實出現了很多落地產品，其中不乏谷歌、騰訊等大廠都在用零信任理念改造自家的IT架構，為員工遠程辦公和網絡接入提供更安全的方案。

      根據CSA（云安全聯盟）、NIST（美國國家標準與技術研究院）等機構對零信任架構的深度分析，細分了三大技術方向：SDP軟件定義邊界、IAM增強身份與訪問控制、MSG微隔離。目前零信任廠商基本發力在單一細分領域，比如解決網絡安全接入的SDP產品，解決數據中心內部東西向流量管理的MSG產品等。

      云涌零信任是融合了SDP、IAM及MSG三大技術于一身的整體解決方案，針對不同的客戶場景提供可裁剪的零信任落地產品。是國內技術比較全面的零信任方案提供商。比如針對遠程辦公和網絡接入我們有SDP架構的云涌零信任安全管理平臺，針對物聯網邊緣計算安全我們有基于MSG的云涌邊緣計算安全管控平臺等。

      總結來說云涌零信任有12345678:

      1種理念：永不信任，始終驗證

      2條產線：零信任安全管理平臺、零信任邊緣計算管控平臺

      3大技術：SIM （SDP、IAM、MSG）

      4 A管理：Authentication 認證、Authorization 授權、Account 記賬、Audit 審計

      5大原則：ABCDE

      Assume nothing, Believe nobody, Check everything, Defeat risks, Expect/prepare for the worst

      6個平臺：Windows、MacOS、Ubuntu、CentOS、Android、iOS

      7層安全：SPA/終端設備檢測/TLS傳輸加密/應用綁定/動態防火墻/智能行為分析與動態決策/橫向微隔離

      8個正確：正確的人/正確的賬號/正確的設備/正確的時間/正確的地點/正確的客戶端應用/正確的服務/正確的權限

問題3: 你剛才談到的基于零信任的邊緣計算的概念挺新穎，能再詳細介紹一下嗎？

      沒問題。當今“云大物移”已經浸入到各個行業，智慧交通、智能電網等概念也已經落地且日趨成熟。邊緣網關作為物聯網架構下非常重要的基礎設施，承載著連接南向IOT設備，對接北向物聯網業務平臺的“承上啟下”作用，其本身的安全性不容忽視。“零信任”+“邊緣計算”這個概念是我司基于多年物聯網邊緣計算設備研發和生產經驗，結合零信任技術融合而來的，目的就是為了解決邊緣計算設備的身份安全及訪問安全。

      我們打造的針對邊緣計算的零信任產品是一個平臺級的身份及數據安全管控系統，全方位保障邊緣網關的身份安全、網關與北向業務系統的訪問安全、網關與南向IOT設備的接入安全、以及網關與網關間東西向的數據傳輸安全。這里身份安全及北向業務訪問安全用到了SDP及IAM的技術，網關間東西向數據傳輸安全則用了MSG微隔離技術。網關間訪問的隧道拓撲由系統管理員控制，哪怕邊緣網關的身份都是合法的，零信任的理念也是只保證其最小訪問權限。這個最小訪問權限就是管理員根據業務需求設置的隧道拓撲。這樣設計的目的是防止某個設備被惡意攻破后的系統橫向攻擊。

      同時我們可以做到邊緣計算設備的全生命周期管理，這個也得益于我們有自己的硬件研發團隊和制造工廠。從設備出廠的身份證書制作，到設備激活、入網審批、狀態監控、策略更新、設備停用及更換、設備移除等。考慮到邊緣計算設備的運維特殊性，平臺還支持設備內服務及應用的遠程部署及OTA自動升級，減輕了運維人員出現場的負擔。

問題4：我知道您是云涌科技的產品經理，從您的角度和經驗，如果我是一個企業客戶，我如何選擇適合我的一個方案，有哪些標準或者建議嗎？

      零信任安全模型打破了傳統的“網絡邊界防護”思維，把網絡安全的專注點從單一的邊界保護轉移到公司內的每個端點和用戶，這個IT建設過程并不是一件容易的事，需要涉及到企業高層領導的明確承諾和理解，以及熟知企業業務和核心資產的內部團隊同IT團隊一起配合完成。

       1.第一步，就是將您的團隊聚在一起，就啟動零信任達成共識。根據具體共識來指定實施目標、以及實現這些目標的路線圖。實現零信任并不代表要拋棄企業已經部署的邊界防護產品。零信任是一個復雜的多系統配合的安全架構，其目的是實現“永不信任，始終驗證”，因此企業已經部署的很多安全產品都是可以復用的。比如EDR（終端安全響應系統）、MFA（多因子身份驗證系統）、TIP（威脅情報平臺系統）等等。

      您需要清楚的了解企業當前整個IT架構和業務系統，再去考慮如何實現零信任以及哪些技術和產品有助于實現這個理念。比如企業現在有哪些業務系統，類型是Web服務還是本地應用，用戶是誰，他們如何連接到這些系統，他們使用什么平臺及設備來訪問這些系統，以及當前為了保護這些系統已經采取了那些安全措施。

      2.選擇適合您IT架構的零信任產品方案，以及評估零信任方案對當前系統的改造成本，及改造后的用戶體驗等問題。零信任沒有銀彈，基本不存在拿來就適合每個企業場景的標準產品。零信任建設需要提供適合企業IT架構、業務場景以及運維能力相對應的方案，同時還要兼顧用戶體驗和安全的平衡性。

      舉例來說，針對您企業的Web應用或本地應用，零信任需要采用不同的技術來保證其被訪問的安全性。Web應用能否做到服務級別的訪問控制，是否有自動加載水印等防數據泄露能力，是否支持對接釘釘或企業微信等工作臺。本地應用是否實現了加密隧道傳輸，隧道建立跟VPN相比控制力度如何，穩定性如何，是否支持國密，能否做到隧道服務訪問的MFA等。

      上面說的是零信任產品的安全能力，還有重要的一個考慮因素是改造成本。不能說為了實現零信任保護，需要深度改造企業服務來適配你的零信任產品。大家知道企業服務很多都是公司花了重金、供應商做了很多定制化開發工作才做到了適合自己業務場景的。改造這些服務勢必需要再投入大量資金，同時還會影響現有業務的正常運行，是性價比非常低的決策。如果零信任方案可以不改造企業服務本身，或者僅僅通過一些服務端的網絡配置來適配零信任體系，對企業來說這樣的零信任方案才是合理的，是值得考慮的。

       3.零信任廠商的技術能力也是需要考慮的因素，包括針對企業IT架構的整體零信任規劃能力，運維部署實施能力，定制化開發能力，以及售后技術支持及問題響應速度等都是值得考慮的點。比如大的安全廠商是否愿意為中小企業做零信任整體規劃及定制開發？小的安全廠商是否有人力能做到大廠的運維SLA響應標準？這些都是挺重要的點，需要企業決策者來通盤考慮。

• 分類：云涌新聞
• 作者：
• 來源：
• 發布時間：2021-05-08
• 訪問量：2911