江苏龙网

  1. 首页 > 资讯 > 财经 > >

『网络安全』零信任架构给企业带来的价值与实践( 二 )


何艺:项目刚启动的时候 , 我们的资源非常有限 , 所以在做规划的时候并没有想做一步到位的方案 , 而是将整个体系拆解成不同的模块 , 分阶段来实施 , 并且在实施的过程中不断试错 , 引入了类似敏捷开发的思路 。
零信任的核心思想之一是用户+设备+应用的信任链 , 基于这个核心思想 , 我们进行了拆分系统 , 分步骤实施 , 最后进行闭环 , 总体上我们分了三个阶段:
(1)基础系统阶段
这个阶段我们主要是解决了一些核心的基础系统的开发和部署 , 比如集中化的统一认证架构解决了OTP认证问题 , 以及集中化鉴权问题 。 另外还有一个核心系统是应用网关的开发和部署 , 通过它解决了业务的接入和集中管控问题 , 很好的收拢了攻击面 。 这两个基础系统部署完后 , 账号基本也就同步梳理完了 , 实现了统一账号、统一认证、统一鉴权的目标 。
(2)扩展系统阶段
这个阶段我们主要做了扩展工作 , 包括零信任APP中的工作台 , 安全资产库、SOC等系统 , 通过这些系统可以实现资产管控 , 告警分析 , 移动办公集成等功能 , 大幅扩展了架构能力 。
(3)架构闭环
第三个阶段我们windows、mac端的agent , 网络准入系统等模块全部开发完毕 , 实现了零信任中最重要的一环 , 用户+设备+应用的信任连建立 , 可以对特定业务启用高强度的防护策略 , 以及设备的网络准入等控制 , 实现了全端、全链路的防护 。
何艺:我觉得任何事情都有正负两方面的效果 , 安全方案也是这样 , 一个安全方案的实施除了带了正面效果外 , 一定会引入新的问题 , 带来一些负面效果 , 零信任架构也是如此 , 它并不是银弹 , 同样有正负价值:
(1)正面价值
正面价值上 , 通过零信任我们把IT基础架构进行了大幅改造 , 涉及用户账号、网络、终端、业务应用、认证授权、资产管控等等 , 通过安全的推动将IT基础环境的能力往前推进了一大步 , 变得更像一个现代化的互联网公司架构了 , 安全在某些方面甚至带来了效率的提升 。
(2)负面价值
但另外一方面来说 , 通过零信任也大大将风险集中了 , 不管是单点风险带来的隐患 , 安全运营和管理能力带来的挑战也大幅增强 , 安全的责任也变得更加重大 , 并且存在因为安全管理不善导致业务中断的风险 , 这些都是零信任架构带来的新挑战 。
何艺:因为我们实施的时候并没有现成的商业解决方案 , 所以主要靠自研的方式 , 采用的是以时间换空间的做法 , 所以耗时很长 , 投入还是比较大的 。
所以从我们的过去经验来看 , 如果是要完全自研的方式来做 , 涉及的系统和组件还是不少 , 包括踩坑这些会导致时间周期很长 , 如果你希望尽快见效 , 自研未必是一个特别好的选择 。
这两年尤其是今年也多了很多商业解决方案 , 这部分我了解并不是很多 , 不好过多评估 , 但需要留意的是很多商业方案并未经过大规模的实践 , 所以可能会变成小白鼠 , 并且零信任上去容易下来难 , 这点可能要适当注意下 。
何艺:坑还是挺多的 , 基本上每个系统 , 每个实施环境都会遇到坑 , 有些是提前可以预料的 , 有些是完全预料不到的 , 比如核心业务程序假死 , 比如网络存储只读 , 比如用户小白看不懂手册 , 这些都是坑 。
所以遇到是坑是一定的 , 重要的是对遇到的坑要有快速解决的能力 , 以及一定的抗压能力和公司领导层的信任和支持 , 这些是能否把坑踏平踩过去的关键因素 。
何艺:我想零信任的火爆 , 既有外部因素也有内在内涵 , 从外部因素来说 , 越来越多的业务入网 , 外部环境对抗加强 , 这些都是现实因素 。 从内在内涵上来看 , 传统安全架构的失效 , 合规安全的流于表面 , 企业内在安全需求增强 , 这些因素都导致了对安全的要求越来越高 。


推荐阅读


上一篇:油价:美钻探商停工油井关闭 油价盘内小幅走高市场依然供过于求

下一篇:『』拼多多2019年报:现金储备410.6亿元 年营收301.4亿元