2023年05月25日、26日，由安世加主辦的“EISS-2023企業信息安全峰會之北京站”在北京亮馬河會議中心成功舉辦。峰會以”直面信息安全挑戰，創造最佳實踐案例“為主題，總共吸引了近500位來自各行業的企業安全負責人，安全專家。

 

本屆峰會是安世加在北京連續舉辦的第五次峰會，得到眾多行業協會、機構以及媒體等共同參與支持。億格云受邀參與本次大會，解決方案專家 崔雙碩 發表了《零信任SASE 安全一體化解決方案》主題演講。

 

傳統體系難以適配新型挑戰

崔雙碩提到，伴隨著企業數字化、 業務互聯網化、基礎設施云化、辦公移動化引發了企業三大安全挑戰，總結起來主要包含兩個層面：一是企業員工辦公形式的變化。從固定的辦公場所逐漸偏向于移動/遠程/跨境等辦公形態。二是企業業務承載形式的變化。從原來的單個IDC或兩地三中心的建設。變成了具備公有云，私有云等混合云部署的業務承載模式。

因此，總結出當下企業面臨的三大安全挑戰：

● 逐漸消失的企業安全邊界

● 互聯網暴露面大訪問控制粒度粗

● 混合辦公安全防護難

如今，單點式，碎片化、煙囪式的傳統辦公安全體系已無法打通形成合力去解決安全問題，典型例子是：遠程辦公下的防病毒場景！一旦一臺終端中了病毒，病毒可通過VPN連接到內網。如果想妥善解決，可能需要采購2個安全廠商的產品實現防病毒的聯動效果。

新的變化帶來諸如此類的安全挑戰。因此，企業急需一個全場景覆蓋、低成本、高效率、體驗好的下一代辦公安全體系來保障企業的數字化轉型。

 

SASE是未來趨勢

怎么樣打破這樣的安全困境與挑戰？崔雙碩提出，最佳方法是用SASE的技術路徑去落地零信任。

SASE正以爆炸性增長速度顛覆當前企業安全的邊界縱深防御架構，Gartner預估2024年會有40%的企業開始采用SASE架構，到2025年60%的企業會開始采用SASE架構。2022年《財富》500強公司中有超過40%（200多家）已采用SASE服務。

SASE帶來云網端融合的安全架構，也將帶來以下多樣化的好處：

 

億格云SASE通過一朵集中管控安全的“云”+ 一張全球辦公加速的“網”+ 一個安全能力合一的“端”，融合網絡和安全來重構且有新一代辦公安全體系。

據崔雙碩介紹，億格云SASE架構主要分以下幾個層面：

一層面是端：每個員工終端上安裝的客戶端都包含兩方面能力：一方面是終端管理安全、I T資產管理相關能力，例如基礎防病毒、基線修復，盜版軟件檢測、數據安全防護等。另一方面是零信任網絡訪問，將流量遷引到全球分布的40多個網關節點，無需暴露任何端口，安全實現內網與互聯網訪問路徑。同時，基于客戶端部署的形式，在保證業務通路的基礎上，具備更多網絡優化的能力。

二層面是網關節點：訪問惡意域名網站時進行阻斷，保障上網安全，當通過互聯網渠道外發敏感文件時進行審計與攔截。

 

零信任SASE落地場景

在零信任SASE落地場景中，崔雙碩展示了落地零信任SASE帶來的優勢：

網絡零侵入、應用零改造，快速落地零信任

收斂互聯網暴露面：在應用側部署連接器（Connector），連接器反向TLS隧道連接POP網關，內網應用和連接器都不對互聯網暴露；有端訪問場景對互聯網暴露POP網關，POP網關通過TCP-based SPA隱身；無端訪問場景對互聯網暴露企業門戶

快速落地零信任：無需修改路由或者預留IP段，無需改造應用，快速落地零信任

靈活的訪問方式：支持零信任客戶端訪問內網B/S及C/S應用；支持無端通過企業門戶訪問內網B/S應用；支持釘釘、企微、飛書工作臺通過企業門戶訪問內網B/S應用

 

零信任網絡訪問具備多項能力，其中可概括為：

【權限管得細】：根據用戶身份、設備、位置、時間、進程、終端風險等進行多維動態訪問控制，提供細粒度的訪問控制。

【訪問看得清】：通過4層/7層透明應用網關實現員工內網行為全面可視，提供精細化的訪問日志和敏感數據分布、流轉日志。

零信任最佳實踐的流程應是先實現應用/URL/API級別訪問控制，再進行禁止訪問不可信進程，如果發現內網掃描，中控控制實時斷網，然后對不可信網絡環境和不可信終端禁止下載文件，最后對訪問敏感應用的身份進行二次認證，唯有如此，才會真正實現落地最小權限，防范橫向移動攻擊。

在現場，通過一段視頻舉證，模擬展示了“辦公網內終端被釣魚失陷，動態評估橫向移動攻擊鏈并阻斷”的全過程，清晰演示了零信任SASE的應對釣魚失陷情況的實踐路徑。

（視頻詳情請見億格云科技視頻號）

在談及零信任SASE落地拓展場景中，數據安全成了大多數企業面臨的重要挑戰，而經過大量調研得知，多數的數據安全事件都源自于“沒有精細化、細粒度的身份權限管控”，導致了數據泄露等嚴重后果。

然而，傳統的數據防泄漏方案在落地實踐中通常也有“場景覆蓋不全”、“易被繞過”、“運營難”等諸多問題。

 

基于以上三個痛點，億格云提出了從傳統DLP到XDLP演進。XDLP結合了零信任和傳統DLP技術，是對傳統DLP的變革性技術演進，是一種新的、現代的數據保護方法。

在監控模式方面，從原來的監控外發轉變為從數據下載到流轉到外發的全鏈路跟蹤；

在數據識別方面，除傳統的正則表達式、機器學習外，增加了業務上下文如來源應用、文件血緣關系等識別技術；

在風險評估方面，全場景使用應用DLP、終端DLP、網絡DLP、UEBA技術進行全域風險評估。

億格云零信任SASE平臺還借助ChatGPT能跟XDLP能力就進行結合，通過AI能力去解讀并分析數據風險行為的報告。

緊接著，崔雙碩展示了億格云零信任SASE “DDR數據流轉跟蹤”的實操演示，模擬代碼文件作加密壓縮，復制副本，更改副本名稱與后綴，最終通過網頁版的郵箱進行外發。但通過DDR數據流轉跟蹤能力不僅能清晰了解整個過程，還能了解包括郵件發送方、接收方等信息。結合來源應用和文件血緣技術，防繞過終端檢測，高效落地數據防泄漏的絕佳實踐。

（視頻詳情請見億格云科技視頻號）

總結來說，億格云XDLP的安全能力通過事前、事中、事后全鏈路進行API數據安全防護，事前自動發現和梳理敏感數據，事中細粒度管控敏感數據，事后全鏈路事件還原敏感數據路徑。

末了，崔雙碩總結了億格云零信任SASE一體化安全解決方案的三大優勢：安全穩定體驗好；降本增效；可拓展性強。

 

客戶的成功才是我們的成功

當前，億格云已服務近 100 家上市公司和獨角獸企業，覆蓋超20萬個終端，包括吉利控股、傳音控股、零跑汽車、 廣聯達、怪獸充電等行業頭部客戶，在智能制造、金融、游戲、泛互聯網等領域得到客戶廣泛認可，并且，億格云攜手客戶還策劃了走進名企的落地經驗交流會，為更多探索數字化企業安全建設的專家與代表出謀劃策。

分享的最后，崔雙碩也將諸多億格云客戶的真實反饋展示了出來，客戶的滿意才是億格云最大的成就。