共話新興一體化辦公安全體系，億格云出席EISS2023峰會(huì)

2023年05月25日、26日，由安世加主辦的“EISS-2023企業(yè)信息安全峰會(huì)之北京站”在北京亮馬河會(huì)議中心成功舉辦。峰會(huì)以”直面信息安全挑戰(zhàn)，創(chuàng)造最佳實(shí)踐案例“為主題，總共吸引了近500位來(lái)自各行業(yè)的企業(yè)安全負(fù)責(zé)人，安全專家。

 

本屆峰會(huì)是安世加在北京連續(xù)舉辦的第五次峰會(huì)，得到眾多行業(yè)協(xié)會(huì)、機(jī)構(gòu)以及媒體等共同參與支持。億格云受邀參與本次大會(huì)，解決方案專家 崔雙碩 發(fā)表了《零信任SASE 安全一體化解決方案》主題演講。

 

傳統(tǒng)體系難以適配新型挑戰(zhàn)

崔雙碩提到，伴隨著企業(yè)數(shù)字化、 業(yè)務(wù)互聯(lián)網(wǎng)化、基礎(chǔ)設(shè)施云化、辦公移動(dòng)化引發(fā)了企業(yè)三大安全挑戰(zhàn)，總結(jié)起來(lái)主要包含兩個(gè)層面：一是企業(yè)員工辦公形式的變化。從固定的辦公場(chǎng)所逐漸偏向于移動(dòng)/遠(yuǎn)程/跨境等辦公形態(tài)。二是企業(yè)業(yè)務(wù)承載形式的變化。從原來(lái)的單個(gè)IDC或兩地三中心的建設(shè)。變成了具備公有云，私有云等混合云部署的業(yè)務(wù)承載模式。

因此，總結(jié)出當(dāng)下企業(yè)面臨的三大安全挑戰(zhàn)：

● 逐漸消失的企業(yè)安全邊界

● 互聯(lián)網(wǎng)暴露面大訪問(wèn)控制粒度粗

● 混合辦公安全防護(hù)難

如今，單點(diǎn)式，碎片化、煙囪式的傳統(tǒng)辦公安全體系已無(wú)法打通形成合力去解決安全問(wèn)題，典型例子是：遠(yuǎn)程辦公下的防病毒場(chǎng)景！一旦一臺(tái)終端中了病毒，病毒可通過(guò)VPN連接到內(nèi)網(wǎng)。如果想妥善解決，可能需要采購(gòu)2個(gè)安全廠商的產(chǎn)品實(shí)現(xiàn)防病毒的聯(lián)動(dòng)效果。

新的變化帶來(lái)諸如此類的安全挑戰(zhàn)。因此，企業(yè)急需一個(gè)全場(chǎng)景覆蓋、低成本、高效率、體驗(yàn)好的下一代辦公安全體系來(lái)保障企業(yè)的數(shù)字化轉(zhuǎn)型。

 

SASE是未來(lái)趨勢(shì)

怎么樣打破這樣的安全困境與挑戰(zhàn)？崔雙碩提出，最佳方法是用SASE的技術(shù)路徑去落地零信任。

SASE正以爆炸性增長(zhǎng)速度顛覆當(dāng)前企業(yè)安全的邊界縱深防御架構(gòu)，Gartner預(yù)估2024年會(huì)有40%的企業(yè)開(kāi)始采用SASE架構(gòu)，到2025年60%的企業(yè)會(huì)開(kāi)始采用SASE架構(gòu)。2022年《財(cái)富》500強(qiáng)公司中有超過(guò)40%（200多家）已采用SASE服務(wù)。

SASE帶來(lái)云網(wǎng)端融合的安全架構(gòu)，也將帶來(lái)以下多樣化的好處：

 

億格云SASE通過(guò)一朵集中管控安全的“云”+ 一張全球辦公加速的“網(wǎng)”+ 一個(gè)安全能力合一的“端”，融合網(wǎng)絡(luò)和安全來(lái)重構(gòu)且有新一代辦公安全體系。

據(jù)崔雙碩介紹，億格云SASE架構(gòu)主要分以下幾個(gè)層面：

一層面是端：每個(gè)員工終端上安裝的客戶端都包含兩方面能力：一方面是終端管理安全、I T資產(chǎn)管理相關(guān)能力，例如基礎(chǔ)防病毒、基線修復(fù)，盜版軟件檢測(cè)、數(shù)據(jù)安全防護(hù)等。另一方面是零信任網(wǎng)絡(luò)訪問(wèn)，將流量遷引到全球分布的40多個(gè)網(wǎng)關(guān)節(jié)點(diǎn)，無(wú)需暴露任何端口，安全實(shí)現(xiàn)內(nèi)網(wǎng)與互聯(lián)網(wǎng)訪問(wèn)路徑。同時(shí)，基于客戶端部署的形式，在保證業(yè)務(wù)通路的基礎(chǔ)上，具備更多網(wǎng)絡(luò)優(yōu)化的能力。

二層面是網(wǎng)關(guān)節(jié)點(diǎn)：訪問(wèn)惡意域名網(wǎng)站時(shí)進(jìn)行阻斷，保障上網(wǎng)安全，當(dāng)通過(guò)互聯(lián)網(wǎng)渠道外發(fā)敏感文件時(shí)進(jìn)行審計(jì)與攔截。

 

零信任SASE落地場(chǎng)景

在零信任SASE落地場(chǎng)景中，崔雙碩展示了落地零信任SASE帶來(lái)的優(yōu)勢(shì)：

網(wǎng)絡(luò)零侵入、應(yīng)用零改造，快速落地零信任

收斂互聯(lián)網(wǎng)暴露面：在應(yīng)用側(cè)部署連接器（Connector），連接器反向TLS隧道連接POP網(wǎng)關(guān)，內(nèi)網(wǎng)應(yīng)用和連接器都不對(duì)互聯(lián)網(wǎng)暴露；有端訪問(wèn)場(chǎng)景對(duì)互聯(lián)網(wǎng)暴露POP網(wǎng)關(guān)，POP網(wǎng)關(guān)通過(guò)TCP-based SPA隱身；無(wú)端訪問(wèn)場(chǎng)景對(duì)互聯(lián)網(wǎng)暴露企業(yè)門戶

快速落地零信任：無(wú)需修改路由或者預(yù)留IP段，無(wú)需改造應(yīng)用，快速落地零信任

靈活的訪問(wèn)方式：支持零信任客戶端訪問(wèn)內(nèi)網(wǎng)B/S及C/S應(yīng)用；支持無(wú)端通過(guò)企業(yè)門戶訪問(wèn)內(nèi)網(wǎng)B/S應(yīng)用；支持釘釘、企微、飛書工作臺(tái)通過(guò)企業(yè)門戶訪問(wèn)內(nèi)網(wǎng)B/S應(yīng)用

 

零信任網(wǎng)絡(luò)訪問(wèn)具備多項(xiàng)能力，其中可概括為：

【權(quán)限管得細(xì)】：根據(jù)用戶身份、設(shè)備、位置、時(shí)間、進(jìn)程、終端風(fēng)險(xiǎn)等進(jìn)行多維動(dòng)態(tài)訪問(wèn)控制，提供細(xì)粒度的訪問(wèn)控制。

【訪問(wèn)看得清】：通過(guò)4層/7層透明應(yīng)用網(wǎng)關(guān)實(shí)現(xiàn)員工內(nèi)網(wǎng)行為全面可視，提供精細(xì)化的訪問(wèn)日志和敏感數(shù)據(jù)分布、流轉(zhuǎn)日志。

零信任最佳實(shí)踐的流程應(yīng)是先實(shí)現(xiàn)應(yīng)用/URL/API級(jí)別訪問(wèn)控制，再進(jìn)行禁止訪問(wèn)不可信進(jìn)程，如果發(fā)現(xiàn)內(nèi)網(wǎng)掃描，中控控制實(shí)時(shí)斷網(wǎng)，然后對(duì)不可信網(wǎng)絡(luò)環(huán)境和不可信終端禁止下載文件，最后對(duì)訪問(wèn)敏感應(yīng)用的身份進(jìn)行二次認(rèn)證，唯有如此，才會(huì)真正實(shí)現(xiàn)落地最小權(quán)限，防范橫向移動(dòng)攻擊。

在現(xiàn)場(chǎng)，通過(guò)一段視頻舉證，模擬展示了“辦公網(wǎng)內(nèi)終端被釣魚失陷，動(dòng)態(tài)評(píng)估橫向移動(dòng)攻擊鏈并阻斷”的全過(guò)程，清晰演示了零信任SASE的應(yīng)對(duì)釣魚失陷情況的實(shí)踐路徑。

（視頻詳情請(qǐng)見(jiàn)億格云科技視頻號(hào)）

在談及零信任SASE落地拓展場(chǎng)景中，數(shù)據(jù)安全成了大多數(shù)企業(yè)面臨的重要挑戰(zhàn)，而經(jīng)過(guò)大量調(diào)研得知，多數(shù)的數(shù)據(jù)安全事件都源自于“沒(méi)有精細(xì)化、細(xì)粒度的身份權(quán)限管控”，導(dǎo)致了數(shù)據(jù)泄露等嚴(yán)重后果。

然而，傳統(tǒng)的數(shù)據(jù)防泄漏方案在落地實(shí)踐中通常也有“場(chǎng)景覆蓋不全”、“易被繞過(guò)”、“運(yùn)營(yíng)難”等諸多問(wèn)題。

 

基于以上三個(gè)痛點(diǎn)，億格云提出了從傳統(tǒng)DLP到XDLP演進(jìn)。XDLP結(jié)合了零信任和傳統(tǒng)DLP技術(shù)，是對(duì)傳統(tǒng)DLP的變革性技術(shù)演進(jìn)，是一種新的、現(xiàn)代的數(shù)據(jù)保護(hù)方法。

在監(jiān)控模式方面，從原來(lái)的監(jiān)控外發(fā)轉(zhuǎn)變?yōu)閺臄?shù)據(jù)下載到流轉(zhuǎn)到外發(fā)的全鏈路跟蹤；

在數(shù)據(jù)識(shí)別方面，除傳統(tǒng)的正則表達(dá)式、機(jī)器學(xué)習(xí)外，增加了業(yè)務(wù)上下文如來(lái)源應(yīng)用、文件血緣關(guān)系等識(shí)別技術(shù)；

在風(fēng)險(xiǎn)評(píng)估方面，全場(chǎng)景使用應(yīng)用DLP、終端DLP、網(wǎng)絡(luò)DLP、UEBA技術(shù)進(jìn)行全域風(fēng)險(xiǎn)評(píng)估。

億格云零信任SASE平臺(tái)還借助ChatGPT能跟XDLP能力就進(jìn)行結(jié)合，通過(guò)AI能力去解讀并分析數(shù)據(jù)風(fēng)險(xiǎn)行為的報(bào)告。

緊接著，崔雙碩展示了億格云零信任SASE “DDR數(shù)據(jù)流轉(zhuǎn)跟蹤”的實(shí)操演示，模擬代碼文件作加密壓縮，復(fù)制副本，更改副本名稱與后綴，最終通過(guò)網(wǎng)頁(yè)版的郵箱進(jìn)行外發(fā)。但通過(guò)DDR數(shù)據(jù)流轉(zhuǎn)跟蹤能力不僅能清晰了解整個(gè)過(guò)程，還能了解包括郵件發(fā)送方、接收方等信息。結(jié)合來(lái)源應(yīng)用和文件血緣技術(shù)，防繞過(guò)終端檢測(cè)，高效落地?cái)?shù)據(jù)防泄漏的絕佳實(shí)踐。

（視頻詳情請(qǐng)見(jiàn)億格云科技視頻號(hào)）

總結(jié)來(lái)說(shuō)，億格云XDLP的安全能力通過(guò)事前、事中、事后全鏈路進(jìn)行API數(shù)據(jù)安全防護(hù)，事前自動(dòng)發(fā)現(xiàn)和梳理敏感數(shù)據(jù)，事中細(xì)粒度管控敏感數(shù)據(jù)，事后全鏈路事件還原敏感數(shù)據(jù)路徑。

末了，崔雙碩總結(jié)了億格云零信任SASE一體化安全解決方案的三大優(yōu)勢(shì)：安全穩(wěn)定體驗(yàn)好；降本增效；可拓展性強(qiáng)。

 

客戶的成功才是我們的成功

當(dāng)前，億格云已服務(wù)近 100 家上市公司和獨(dú)角獸企業(yè)，覆蓋超20萬(wàn)個(gè)終端，包括吉利控股、傳音控股、零跑汽車、 廣聯(lián)達(dá)、怪獸充電等行業(yè)頭部客戶，在智能制造、金融、游戲、泛互聯(lián)網(wǎng)等領(lǐng)域得到客戶廣泛認(rèn)可，并且，億格云攜手客戶還策劃了走進(jìn)名企的落地經(jīng)驗(yàn)交流會(huì)，為更多探索數(shù)字化企業(yè)安全建設(shè)的專家與代表出謀劃策。

分享的最后，崔雙碩也將諸多億格云客戶的真實(shí)反饋展示了出來(lái)，客戶的滿意才是億格云最大的成就。