随着企业数字化转型的需要以及疫情反复的影响，远程办公越来越常态化。企业业务云化以及移动化，导致企业传统的边界越来越模糊，基于传统边界的安全架构面临越来越大的挑战。这几年零信任的理念得到了各行各业广泛的关注和实践。联软科技作为较早的零信任架构的实践者之一，积累了大量的实际落地经验。

6月16日，联软专家线上讲述联软零信任的应用场景和实践能力，同时正式发布联软下一代零信任访问管理系统。

零信任架构的规划设计

1、多因素驱动“零信任”成为安全新风口

2021 年被誉为网络安全元年，种种因素极大的驱动了零信任成为安全新风口。零信任也无疑成为了整个安全圈包括网络安全领域最热门的词汇之一。

什么是零信任？零信任既不是单一的产品，也不是单一的技术，它是一种安全理念以及安全架构，核心原则是持续验证、永不信任，围绕着身份为中心，重点关注应用和数据，实现持续验证加动态授权的访问模式来解决整个访问过程中的身份、终端应用以及数据安全等问题。

从理念到架构到落地，经过这几年的实践， SIM 仍然是实现零信任架构的主要技术方向。“S” 指SDP, 主要是软件定义边界，主要解决的是南北向流量，从用户到访问资源之间的安全访问控制；“I”即 IAM ，身份管理，主要用于对用户的身份和权限进行统一的管理；“M” 即MSG微隔离，主要解决东西向流量，重点防范黑客攻击到企业的内部网络时，避免横向攻击和平移的风险。

这三类零信任技术在行业内都有落地实践。总的来说，SDP 相对于IAM和微隔离，在落地过程中对企业现有IT架构改动较小，风险会更可控。随着远程办公逐渐常态化，企业更关心如何优先解决远程办公场景下的安全问题，SDP 技术成为了目前各大零信任解决方案提供商重点发力的对象，同时也是企业用户重点关注的领域。

2、企业该如何规划的零信任架构和建设？

在本次发布会上，联软从技术层面、ROI层面和实施层面分别给出了规划建议。

■技术层面：核心关注整个零信任方案是否具备或集成UEM的能力，UEM主要是统一端点管理，包含涵盖移动端、PC 端移、IoT设备，涵盖所有平台的操作系统。

■ROI层面：零信任架构能否对接现有的安全投资？通过现有的安全能力组件，能够将分析结果汇入到零信任的信任评估体系中，做到联动的处置以及动态的授权。

■实施层面：毕竟零信任是一个新的架构和概念，各厂商和企业用户也都是在摸索中前进。安全的建设从来都不是一蹴而就的，必须要整体规划和分步建设，根据业务的重要程度和风险影响进行优先级的排序。

3、联软零信任安全架构

在整个建设中，端点安全能力作为零信任架构中最重要的一个环节，大多数的用户因此会优先考虑现有的端点安全安全厂商是不是具备零信的解决方案。联软作为中国企业端点安全的领导者，积累了庞大的用户。在联软现有EPP的架构体系下，通过扩容扩展能够快速覆盖零信任的基础架构。同时EPP作为整个安全评估体系中的一个环节，可以实现更好的整合联动，更好的运维以及更好的 ROI 。

联软帮助用户构建出了一套先进的并且可落地的零信任架构。整个架构分为两个大部分：零信任的核心组件和零信任的安全组件。核心组件包括零信任管理平台，可信接入网关、安全客户端。安全组件主要包含端点安全，数据安全、 IAM 、安全分析组件。

零信任架构主要是围绕着身份、接入、设备、应用和数据五个方面来进行搭建。

可信身份：全面的身份化，基于身份角色去动态授权，能访问什么、不能访问什么，做到精细化的权限控制。

可信接入：

1、通过 SPA 技术来实现网络入口的隐藏，暴露面的收敛。

2、通过安全代理网关实现应用层的安全加密隧道的建立。

3、通过同一个客户端、同一个架构能够实现一次认证，既能实现网络准入的认证，也能实现零信任的接入认证，全面的保证接入安全。

可信设备：对终端的安全进行持续性的检测、管控以及全面的审计。

可信应用：面向业务系统能够最小化、按需授权。同时在终端侧实现应用的黑白名单管理，对于应用的安全状态去进行检测，以评分机制的方式来控制访问权限。

可信数据：联软基于在数据安全的一些积累和经验，帮助用户去梳理场景化的解决方案，最小化的降低安全对业务办理的影响，实现安全和效率的平衡统一。

4、联软与零信任网络访问

联软从 2004 年到 2022 年，整个产品的技术发展路线和零信任的发展路线是非常吻合的：

联软零信任产品发展历程

2004：去网络边界化的提出，联软在2004 年的话推出了网络准入控制系统，成为中国较早的网络控制准入厂商；

2010：Forrester提出了零信任安全的价理念。2011 年联软推出了基于 RBAC 的NAC 准入控制技术；

随后：联软于2013年、2017年分别推出基于零信任理念的 EMM 和 SDP 的产品；

2019：联软将EMM、SDP两个产品做到了统一的整合，一套架构，一套平台，实现移动端和 PC 端的统一零信任管理；

2020：基于联软的SDP 、华为的安全分析系统、竹云的IAM系统，形成了一整套的零信任的解决方案，构建了零信任的生态联盟，为各行各业的客户提供完整的零信任解决方案。

作为较早的零信任安全厂商之一，联软始终致力于推动零信任产业的发展，目前CSA大中华区官方授予联软种子讲师一名以及认证讲师两名，另外联软成立了零信任的安全实验室，对各行业零信任安全的应用进行深入的研究和落地实践。联软也积极地参与到整个国内零信任的标准制定，并且多次入选行业机构以及媒体评选的零信任领域推荐厂商。

联软科技零信任领域 应用场景和实践能力

场景一：

需求描述

远程访问环境，包含远程办公、远程开发、远程生产和远程运维。需要优先解决的三个核心问题，包括互联网暴露面的收敛、安全访问控制、数据安全。解决方案

通过联软的零信任解决方案的部署，从七个方面帮助用户来解决远程访问场景下的一些安全问题。

1、基于联软的UDP 协议的SPA，能够真正意义上实现网络入口的隐藏以及服务的隐身。

2、全面的身份化：帮助用户重构一个数字身份，数字身份会贯穿在整个零信任访问过程中进行持续的校验和验证。

3、保证接入终端安全：对终端用户行为进行实时的监测。

4、最小化权限：动态授权能访问的应用，进行精细化的权限控制，杜绝越权访问和特权访问。

5、安全代理网关：为访问主体、信任的主体和可利用资源建立一个应用层的加密隧道，保证在整个传输过程中的数据安全。

6、数据安全：通过数字水印、沙箱等多种技术的结合实现数据的保护。

7、安全审计：针对用户所有的登录操作、访问行为，进行全方位的审计，追溯定位安全风险。

场景二：

需求描述

分支机构接入成本高、管理难。针对企业多分支多机构，大部分的企业级用户基本上都是通过 VPN 点对点的方式来实现互联互通的。

解决方案

联软方案关注应用、数据，在数据中心会集中地部署零信任的产品，各个分支机构访问数据中心的业务，只需要通过零信任客户端，通过身份认证、安全检查，基于身份和安全状态，动态分配能访问数据中心哪些业务，解决单独部署 VPN 设备的建设成本和维护成本，减轻管理员的运维压力。

场景三：

需求描述

多云/多数据中心访问。传统 VPN 的架构很难适应于多云多数据中心的环境下统一的安全接入、统一的策略管理、统一的这个安全配置等。

解决方案

通过零信任方案的部署，管理平台和安全网关分布式的模块化部署，可以实现控制平面和数据平面的有效分离。用户通过统一的管理平台去提供安全认证以及授权管理，减少了运维压力，提高用户的使用体验。

场景四：

需求描述

跨层级/跨部门业务访问。各层级/部门信息化建设独立，各层级/部门数据共享程度较低，“数据孤岛”现象严重。

解决方案

联软跨层级跨部门的解决方案，可以对每一个层级或每个部门单独建设一套零信任的架构。除了提供自身层级/部门的零信任访问外，如果涉及到跨业务中心跨部门去访问，可以通过联软的同一个客户端，采用切换门户的方式来去访问。

场景五：

需求描述

一机多用。企业内有多张隔离的网络，为了保证网络的隔离性以及数据的隔离性，一般情况下传统的用户会在每一张网络单独配置单独的终端以及 VDI 云桌面，投入成本和运维成本高，且高安全域和低安全域的数据都混杂在一个终端上，也可能造成比较高的数据泄密风险。

解决方案

针对一机多用，联软提供上述零信任的标准化安全能力之外，可以根据客户网络隔离的情况以及相关的运维管理要求采取不同的管理方式。在集中管理的模式下，客户可以通过统一的一套平台、一个业务门户入口，进行身份的认证、终端安全检查、权限的管理访问；如果每个业务区域单独部署一套零信任的单独管理平台，也可以在终端侧通过一个客户端来进行门户的快速切换，提高用户的使用体验。

从数据安全的角度来说，通过终端的沙箱实现本地的数据隔离保证数据安全。

场景六：

需求描述

移动端 H5 应用的免客户端接入。近几年越来越多的企业喜欢用企业微信、钉钉或者飞书来进行即时通讯、远程业务访问等，CRM 、H5应用的访问入口，都需要对互联网侧单独开放相应的端口以及服务。无论是从合规还是企业自身安全性的要求，都需要实现互联网暴露面的收敛。

解决方案

联软 EMM 解决方案，可以在客户手机上安装一个客户端，同时可以通过企业微信、钉钉等第三方应用，集成安全的 SDK 实现 H5、App 的应用有效收敛互联网暴露面，做到设备管理、数据管理、应用管理的安全等。

同时针对 H5 应用，联软推出了免客户端接入的解决方案。在联软零信任架构中，安全网关可以对外提供相关的端口来实现应用的接入。用户在不需要安装任何客户端的前提下，通过企业微信和钉钉认证完成之后，访问 H5 应用的时候，先访问到零信任安全产品，通过产品转给相应的 H5 应用，实现暴露面收敛，又保证用户的使用体验。

下一代零信任访问管理系统 联软Uni SDP P系列

联软Uni SDP P系列遵循联软零信任的架构体系，把管理平台和安全网关合二为一。P 系列的功能模块围绕五个重要的方向，安全接入、可信身份、可信终端、可信应用、可信数据。基本采用一体机模块化的部署，可以实现策略的数据以及审计信息的同步，保证用户高可用的体验，也可以将审计的信息以及相关的流量信息同步给第三方的平台。

核心功能

1、SPA 的单包授权

真正在不同的复杂场景下保证网络隐身的有效性。

2、可信接入能力

采用纯应用层的加密技术，已实现标准密码加密，以及国产商用密码的加密。

3、接入安全

P系列对终端的安全状态去进行持续性的检查和校验，针对身份和终端的环境进行最小化的授权访问应用。

4、单网通

当一个用户访问一个网络的业务系统的时候，可以限定在同一时间不能够访问其他网络的业务系统，实现一个网络上的逻辑的隔离。对于用户来说，可以直接只装一个客户端来实现多网的访问。

5、多门户

主要涉及跨部门、跨层级场景，P系列直接通过客户端快速的切换到另外一个门户，经过身份认证、安全检查去访问对应的业务系统，实现通过一个客户端，多场景、多门户的安全接入。

6、数据安全

数字水印技术。访问不同的业务系统的时候，加载不同的屏幕水印，联软提供明文水印、矢量水印、二维码水印、盲水印等多种技术。

P系列方案的价值在于重塑安全、简单易用、高效运维。

面向于中小微客户能够快速的实施部署和落地零信任安全，支持在资源和设备齐全的情况下实现一小时的快速部署。

对于并发量大的客户，支持负载均衡联动，开放 P 系列产品到互联网侧的权限以及到内网侧应用的权限。经过身份认证一系列的安全规则检查后，可以快速访问相关业务。

《2023零信任安全解决方案的白皮书》重磅发布，扫码可领取：