落地零信任

纵使千山万水

踩在「巨人」的肩膀上

共享拨云见日

一眼万里

「落地有声·第二届零信任用户分享大会」如约而至。。。。

主持嘉宾：数世咨询创始人 李少鹏

会上，，芯启时光邀请了知名咨询机构代表，，以及金融业、、制造业标杆用户，，，跟大家分享零信任落地过程中的思考与心得。。。。

数字化优先时代来临，，，规模创新朝着持续化、、情境化、、
、、实时化发展。。面对安全挑战持续升级，，零信任已成为向好发展驱动因素。。。。

据最新报告《IDC MarketScape: 中国零信任网络访问解决方案，，，，2022年厂商评估》
，，，，中国零信任网络访问解决方案市场进入高速发展期，，百花齐放的背后呈现六大趋势
：

1. “产品+服务”组合落地将成为标配
   。。。
2. 云原生/服务敏捷/便捷等将推动云化部署节奏。。。。
3. 智能化
   、、
   、、自动化将从概念部署向应用部署过渡
   。。。。
4. 零信任网络访问和零信任边缘将实现方案融合
   。
   。
5. 场景化
   、、行业化解决方案市场潜力大。。。
6. 零信任解决方案将向保护数据安全的方向发展。。

对此，，，，如何选择方案提供商，，，王军民以权威客观视角，
，给到用户详实建议：

• 关注提供商对方案的体系化、、、、阶段化建设能力。。。
• 关注提供商综合能力及技术能力。。
• 关注提供商的数据安全访问体系建设规划能力。。。。
• 关注提供商的安全服务体系建设。。。。

数字化转型背景下，，，，北汽福田对IT提出了更高要求——“提供高效、、、、安全、、稳定
、、便捷的基础设施”
。。
。尤其是传统办公方式已经不适应数字化时代的发展，，面对超2万名员工、、、6000+最高并发、
、
、超200万次月均攻击，，，，为保障员工随时随地安全接入，，，北汽福田采用零信任满足远程办公常态化的安全需求。。
。
。

零信任不仅为北汽福田带来了有效安全保障，，，，还让体验更加简单省心。。。“以往，，，，访问采购管理系统
，
，需要先拨VPN
，，，，再打开手机APP，，，操作繁琐
；现在，，在零信任架构下，
，，，访问控制系统可以与第三方通讯软件原生集成。。。”

“采用芯启时光零信任aTrust替换VPN，，只是北汽福田走进零信任的第一步。。。”千里之行始于足下
，，，，规划好阶段化建设路径
，，，，未来，，，，北汽福田将持续深入探索远程运维、、内网应用通信等场景。
。
。

证券行业数字化转型，，
，带来办公体验的无边界化。。IT基础设施云化、、、容器化
，，
，业务上云、、微服务化使传统以安全域划分、、
、边界防护的理念受到怀疑。。
。

在保障安全刚需切入点的同时，
，要提升用户体验，，进行整体布局，，，中信建投证券选择进行零信任改造。。。。

根据整体落地路径规划，，，基于身份访问控制、、、终端安全沙箱和数据分级保护技术，，，中信建投证券先行保护高风险场景（移动端开发安全、
、、外包人员开发测试），
，
，收敛互联网暴露面，
，防止数据泄露。。

目前，，
，中信建投证券全面推进取消远程办公类系统的互联网入口
，，，，实现13000+员工随时随地安全办公。
。
。

“零信任架构搭建完成后，，
，我们将结合数据资产信息，
，，，提升零信任安全运营能力。。”未来，，，中信建投证券将实现增强访问行为分析和持续信任评估能力，，，基于风险构建自动化处置，，，，有效阻断潜在威胁。
。。

为了这场用户分享更加开放，，
，我们特别开设「对话大咖」环节，，
，
，前期通过线上征集问题
，，有3位正在落地零信任或有意向落地零信任的用户
，，，，提出了高质量问题
，，并到现场与嘉宾们面对面交流。。。

Q1针对内部应用的安全，，除了依赖零信任以外
，，还需配合哪些产品
？？？？

吉利控股集团IT中心CTO/吉利汽车集团数字化中心总监 郑金伟

对于终端管控来说，
，，，吉利在这方面的实践分三种情况，
，，一是针对企业自有终端，，
，，可以结合零信任SDP、
、、直连网关DGW的产品
，，，二是BYOD设备，，，可以通过桌面云VDI、、沙箱等，，，
，保证数据不落地；三是考虑对设备的管控，，，
，把包括网络准入、、、杀毒几个终端整合，，，，形成一个终端All In One的产品
。。。。

芯启时光 CIO 张武健

怎么把安全进行体系化建设？？？？我们去年提出“平台+组件+服务”的战略方针，
，，，其中ZTA平台解决以身份为中心的细粒度访问控制。。。随着芯启时光数字化转型发展，，
，应用和终端数量迎来双爆发，，，，安全漏洞不可避免
，，，我们认为“终端是不可信的” ，
，风险很难控制
，，因此不仅要收缩业务暴露面，，，还要收缩内网接入终端细粒度管控。。。我们除了实现全办公网零信任改造外，
，，还在研发内网结合SDP+VDI+DGW+UEM沙箱等
，
，，形成了一整套零信任解决方案
。。。

Q2集团工厂设备多、
、、点位多
，，，
，如何通过零信任，，做好精细化、、、、细粒度的访问控制？？？
？

北汽福田集团基础设施及信息安全负责人 张志强

在工业4.0与数字化转型驱动下
，，，，我们的互联网和工业网打通，，，机器人等相关设备几乎是国外的，，，工程师需要远程接入内网进行参数校验。。。。以前用VPN打通隧道
，，一是看不到人员进入内网的行为
，
，，，也无法追踪；二是人员获得权限较大大，，无法细粒度管控。。2021年我们引入零信任之后，，，管理员通过可视化平台
，，做资源和身份的匹配。。。另外
，
，，我们还建立工控DMZ区，，在物理范围内管控人员权限。。。这背后更多还是在运营，，把工控信息安全运营纳入信息安全运营体系，，
，对信息安全做整体判断和处理。。。。

芯启时光安全业务副总裁/零信任业务负责人 周智坚

零信任提供两种能力：一是事前隔离控制
，，，
，不管是工业网、、办公网、、互联网，，资产和数据有很多历史遗留问题，，，，没办法通过改造架构来解决，，，因此需要零信任做隔离控制和细粒度控制，
，，，补齐短板；二是可视化和联动，
，能够看到整个资产访问活动过程中的风险，
，帮助安全团队进行管理和分析，，以及异常的联动处置。。
。
。同时
，，落地零信任需要分阶段、、、、分场景
，，，，从远程办公到内外网混合办公等，，如果缺乏整体规划，，，隔离控制、、
、风险管理就很割裂，，因此要选好一个生态开放兼容的平台
，，，往数字化安全方向走。。
。

Q3为何大部分企业选择从SDP替代VPN的方式切入去做零信任建设？？？我们应当如何选择零信任落地技术路径
？？？

北汽福田集团基础设施及信息安全负责人 张志强

我们选择从SDP切入做零信任，，是因为对业务的挑战更小，，，除了满足远程安全接入的需求，，能实现细粒度访问控制，，，还能满足研发远程接入的性能要求。。。
。从耗费资源和时间的角度，，
，我们选择用最容易的手段，，，让决策层直观感受到零信任所带来的的好处。。因此我们用芯启时光零信任aTrust替换VPN是一个很轻松的过程，，，只花费2个月就完成替换。
。。

芯启时光 CIO 张武健

作为第一个吃螃蟹的人，，，芯启时光全网落地零信任，，，看起来很轻松，，，
，但过程很曲折。。我们做零信任改造分三个阶段，，，，一是PC到Server，，，二是从VDI到Server，，，三是从Server到Server。。其中第一阶段最为重要
，，，，以收敛身份为前提的访问控制，，
，也控制住大部分风险。。。基于过去SSL VPN产品积累的技术优势，，，，芯启时光选择SDP这条技术路径，，，不管从安全还是运维收益来说，，，，都是最简单有效和容易成功的。。