对话周智坚:深信服的「零信任」观

admin 2022年4月27日09:50:49评论76 views字数 6300阅读21分0秒阅读模式

对话周智坚:深信服的「零信任」观


对话周智坚:深信服的「零信任」观


“周智坚去深信服了。”这是年初相约人物专访后再一次听到他的消息。


对于这个结果,其实我一点也不意外,因为早在上一次对话的时候,他就已经明确表达了自己想要成为乙方的念头。回顾自己20多年的安全从业生涯,一直都在大型的甲方企业中度过,他希望对外输出自己20年沉淀的安全能力和理念,帮助乙方赋能产品,更好地解决甲方用户面临的痛点。


迈入不惑之年,周智坚对自己的所得和所能有了更加清晰的认识,他想要做一些自己想做、自己能做的事情,满足“小我”,也想在中国网信安全事业的“大我”中,贡献自己一点微不足道的力量。


因此,选择站上乙方的舞台便成为了理所应当。


只不过为什么偏偏是“深信服”?这个问题还需要由周智坚亲自来回答。


—— 张耀疆 安在新媒体创始人


对话周智坚:深信服的「零信任」观


甲方和乙方最大的区别是什么


对话周智坚:深信服的「零信任」观
01
我在深信服当“甲方”


回到前文提出的问题,为什么偏偏是深信服。其实对于周智坚来说,这并不是一道选择题,而是填空题,从他决定加入乙方的那一刻,他就已经在括号里写下了“深信服”三个字。


早在2005年的时候,周智坚就因为项目与深信服结缘,而作为深圳的本土企业,一直贯彻以客户为中心的理念,深信服在此后的十几年时间里一直不断地“骚扰”周智坚,这也让他在长期的沟通与交流中,了解并认可了深信服的能力。


为了对零信任有更加准确的认识,他与深信服的两位创始人详谈了许久。令他没想到的是,深信服零信任当前的落地以及未来的建设思路与自己“1+1+N”的理念高度契合。


“1+1+N”——1个安全的业务架构+1个安全ERP+各个业务领域的技术产品,是周智坚将自己多年成功实践总结的一套安全数字化模型。这是安全业务数字化架构的内核,也是成功实现安全数字化的关键。


他仔细研究过NIST零信任架构标准以及其中的7项原则和5个假设,惊奇地发现,NIST对于零信任的定义,实际上就是他一直以来所实践的安全数字化,而“1+1+N”又是安全数字化架构的内核。


于是再见周智坚,他已然多了深信服安全业务副总裁、零信任业务负责人这层身份,而这种老友之间的合作,也让他倍感舒服。“来到深信服,其实就像回到家一样。”他笑着说道。


虽然加入了深信服,但周智坚身上这种“老甲方人”的烙印已然根深蒂固,这种思维、习惯、认知、视角上的差异,使得他需要解决的第一个问题是调和甲方与乙方的矛盾。


时常听到甲乙双方互相的吐槽,就像是闹别扭的情侣一样,甲方气恼乙方不够通情达理,不了解自己真正的诉求,乙方埋怨甲方太过自私,总是一味索取,又很难满足。那么事实真的是这样吗?


在周智坚看来,甲乙双方的差异,主要在于“安全的认知”和“从业者的能力”这两点上。


对甲方来说,安全的意义在于解决业务上的痛点,在解决痛点的过程中,不同的角色又会提出不同的要求。作为经营者,他看重宏观层面上安全对业务的保障;作为安全负责人,他会从整体建设和长远规划上,对乙方的解决方案和产品质量提出相应的要求;作为安全工程师,他又会对技术细节有更多的计较


这些不同的视角使得甲方在评价乙方的时候就会产生不同的声音,而在不同场景下,这些声音又会产生更多的分歧。


然而作为一家商业公司,乙方需要厘清每一个甲方的每一个诉求——哪些有市场,为什么有市场,痛点是什么,如何做出直击痛点的标准化产品和方案。


但是当真正站在甲方面前,亲身体会无数的声音从四面八方涌来,乙方们才能够深刻地认识到,想要了解甲方的诉求其实是一件非常困难的事情,要求乙方必须具有极为广阔的视角,对市场规律、技术路径以及自身的能力都形成准确的认知。


所以,当他真正迈入乙方,虽然名义上的身份不同了,但实际上他依然在公司内部扮演甲方的角色,与深信服同学们每天都在上演甲乙方的观点碰撞,在碰撞中形成融合共创的合力,并提出了两个底线——部署简易,应用找人。因为他很清楚,深信服只有更好地了解用户真实需求,以及用户对安全产品的看法,才能赋能产品,完善解决方案,提供真正解决用户问题的能力。


周智坚说,并不是每一个乙方都不能够理解甲方的诉求,至少有“甲方视角”的深信服,真的很懂。


那么在成功适应了身份上的变化以后,他便正式踏上了零信任新的征程。


零信任最大的意义是什么



对话周智坚:深信服的「零信任」观
02
零信任只是解决远程办公需求?


在周智坚看来,要回答这个问题,就必须要搞清楚另一个论点:安全的需求到底是谁定义的?


有人说,安全的需求是伴随着甲方建设的路径逐渐产生的;也有人说,是乙方先命名技术,定义标准,给甲方洗脑,让甲方买单,这才有了安全的需求。


周智坚认为这两种说法都不对。他说,虽然自己在过去三年才成功落地了安全2.0的实践,但2.0的需求,早在20年前初见安全的时候就已经存在,之所以一直到今天才成为论点,是因为彼时的认知程度、市场发展、技术演进、科技架构还不具备“解锁”这一需求的条件。


所以,安全的需求一直都存在,甚至于此时此刻已经存在了未来几十年甚至上百年的安全需求,只是我们暂时还没有能力解锁,或者说还没有必要解锁。


零信任的需求就是这么一个道理。企业过去的场景是“可信的人在可信的环境用可信的设备执行可信操作的”,所以对于事前防护往往并不会投入过多的精力,购买的产品也基本是为了解决事中和事后的安全问题。


但疫情的分割让彼此之间“不可见”,由此所衍生的“不可信”就逼迫企业必须要以身份为核心,从持续的信任评估,收敛暴露面,收缩权限等多个维度,来进行事前的安全防护。这样一来,零信任的远程办公需求就被“解锁”了出来。


1+1+N的第一个1叫做一句话安全:安全的员工,使用安全的设备,经过动态的鉴权、精细化授权,访问安全的系统。这原本是为了解决20年前就已经存在的安全2.0的理念,但实际上这也是零信任的概念。


因此,所有的客户其实一直都对零信任存在底层的需求。走得快的,能力强的,就会像谷歌一样搭建起自己不可复制的成功模式;需求显现较晚且无法独自应对的,就诞生了零信任的市场。


只不过,零信任的需求远远不止远程办公那么简单。实际上,哪怕只是远程办公的场景,零信任也只是解决终端之间认证和授权的问题,而之后的一系列工作,就已经超出了零信任能力的范畴,因此不能用远程办公来定义零信任。


在周智坚看来,当零信任在解决1的时候,实际上已经可以预见2和3的场景,实际上后面还有4、5、6乃至更多,是当前我们所不能触及的远景。




那么零信任的需求到底有多少?除了远程办公之外,零信任还能解决哪些场景下的安全问题?他掰着指头总结出了这样几点。


■首先,尽管当前以上海为主,多个地区又再度开启了远程办公的模式,但特权人员大部分时候还是处于内网办公的环境,零信任需要在远程办公的场景下,兼顾对特权人员访问的数据和系统进行保护。


■其次,内网会在未来的很长时间里依然存在,相较于外部防御,内网通常更加脆弱,所以需要持续对内网的暴露面进行收敛,并对权限进行收缩,这就是零信任的第二类需求。当攻击者从外网进入到数据中心以后,零信任需要做到快速的分析和处置,从而化解安全危机,由此也就产生了零信任的第三个场景。


■除了办公场景以外,物联网安全也提出了零信任的需求,因为随着IoT设备的增多,必然会出现智能终端与办公环境相融合的情况,这就需要通过零信任的思维来建设物联网的安全。




在周智坚看来,零信任最大的价值其实在于提供安全数字化工具,将企业的安全从救火的窘境中解放出来。作为20年的甲方老兵,他深知零信任事前防护的原则,可以将绝大部分的攻击从源头上实现阻断,同时伴随自动化能力的提升,整体可以解放出30%左右的安全人力。安全从业者不再重复于机械式、被动式的救火工作,自然就会有更多的时间和精力去做更有意义的事情,比如应用开发安全、数据安全、安全合规等。


所以,零信任可以被预见的需求还有很多,而这些需求也就使得对零信任技术的广度和深度提出了更高的要求。但这也进一步说明,对于用户而言,零信任不是解决某个单一需求的产品,而是伴随安全数字化发展,安全1.0到2.0再到更高的层次,过去、现在以及未来的整个进程里,全栈的整体解决方案。


最重要的是,零信任是一直以来都存在的需求,而不是一场炒作。


深信服零信任的广度与深度



对话周智坚:深信服的「零信任」观
03
深信服想做符合中国特色的零信任安全解决方案


由于公有云广泛应用、SaaS化高度部署,国外围绕零信任形成了完整的生态,针对零信任技术广度中所提出的不同需求,自觉地划分成为多个厂商类型。


周智坚告诉我,国外零信任生态下衍生出来的厂商至少包含三类。一类专门负责端到端的认证、授权和代理;一类专门负责零信任落地后,事中及事后的安全防护建设,如SIEM、XDR、SOAR、UEBA,解决数据运营提出的需求,从运营层面收敛安全风险;还有一类则是通过AI、机器学习等方式,提高运营处置的准确性和效率,减少事件和告警


国内企业习惯性对标国外技术去发展零信任,但国内外零信任建设的进度以及解决方案的成熟度,却呈现出了比较大的差距。究其原因,在于国内外的环境不同,导致产品的形式不太一样。

周智坚说:“深信服希望做到的是,吸收国外的技术,从业务设计和管理逻辑上,做出符合中国企业管理需要的零信任,帮助更多用户更好地落地零信任。”







既然零信任是一个整体的解决方案,并且勾勒出了更多的需求场景及未来的建设思路,那无疑从广度和深度上对于与之相匹配的技术提出了全新的要求。


从广度看,除了远程办公,零信任应该满足更多场景的需求:


■从办公场景来看,首当其冲便是内网安全的需求。用周智坚的话来说,由深信服全公司的“宝贝疙瘩”——最顶尖的首席架构师牵头组成的安全研究团队,专门负责内网安全的研究,以期在不改变任何网络结构的前提下,用零信任的方式解决内网安全问题。


■在混合办公场景下,深信服通过零信任解决了终端自动选路的问题,同时采用热升级方式,在确保不对业务造成任何影响的前提下升级终端和网关设备。


依托于自身二十余年积累的深厚的内容审计的能力,以及强大的审计引擎,深信服可以将其直接移植到零信任的解决方案里,从而满足企业内容审计的需求。


而在物联网场景里,由于不同行业之间IoT设备存在明显差异,并且缺少统一的标准,因此给资产识别带来的一定的困难。为此,深信服成了专门的物联网安全研究团队,实现了利用未知资产指纹推荐实现资产精准识别;对问题设备进行检测,并在发现问题以后,及时地通过自动防御和自动检测技术,将其阻断在物联网空间里;无端情况下识别资产的非法外连,并自动取证非常外联的设备和内容;


技术储备及覆盖面代表了零信任的广度,而安全数字化离不开运营,运营考验的则是技术的深度。所以,除了广度以外,通过深度的融合,才形成了完整的深信服零信任解决方案。


■首先,用户在接入零信任解决方案后,第一个要处理的就是资产收敛、权限收缩的问题,这实际上就在考验深信服在算法上的积累以及资产测绘的能力。


■其次,深信服建立专门的能力研究中心,通过输出白能力,打造灰度引擎,从而帮助企业降低安全告警的数量的频次。


■再者,针对用户的某些特定场景,深信服通过尽可能实现持续性评估的场景化,以此来满足不同用户不同场景下的不同需求,尽量减少用户在运营过程中面临的选择。


此外,零信任集中于事前防护,解决的是端到端的问题,但事中、事后以及整个链条的安全,就要求了综合的安全产品和能力。同时,能否进一步落实数据落地和行为审计,能否平衡效率与安全之间的关系,也对深信服提出了更高的要求。


周智坚表示,零信任将会成为基础的安全能力,数字化的底座,也就因此要表现出数字化的特性,做到风险的可视和可控,让安全团队具备强大的安全数字化工具,站在风险监管的角度,推动企业内部的安全风险治理。因此,他将自己在甲方所构建的“四个安全数字化工具”——风险地图、告警平台、行为轨迹和安全报表也赋能到深信服零信任解决方案里。


通过这五个方面的深度,再融合之前的广度,就形成了深信服完整的零信任解决方案,实现企业从事前、事中再到事后全链路的安全防护。


“如果一家企业决定入局零信任,那就必须要遵循两个底线:关键技术要深,用户体验要好。”周智坚认为,因为零信任不是单一的产品,解决方案的部署与企业的业务息息相关,一旦发生问题,就会对业务造成直接影响。


因此,如果说广度和深度,是提升零信任水位的长板,那么底线思维,就是决定零信任能否成功的前提。


在他看来,既然零信任是安全数字化的底座,同时又是一整套解决方案,这就会让变得很“大”,随之而来的高投入、重运营的特点以及私有化部署的需求,必然会催生SASE部署的趋势。这样一来,客户不再需要采购任何设备,通过弹性订阅就可以得到端点的安全能力,以及零信任全栈解决方案的赋能,满足安全数字化的需要,以及未来等待解锁的安全需求。


周智坚坦言,其实在决定加入深信服之前,他并不了解深信服对于零信任的探索已经如此深入,甚至连整个业界都不知道原来在零信任的广度和深度上,深信服已经默默进行了这么多的技术预研。


零信任的趋势及展望



对话周智坚:深信服的「零信任」观
04
一个预测:零信任可以火十年


虽然周智坚现在是乙方的身份,但他依然认为自己的本质是甲方,他所遵循的初衷也是更好地解决甲方的问题。因此,既然没有办法改变环境,那就要想尽一切办法从力所能及的事情入手。


首先,要“有所为有所不为”。在他看来,但凡能做到的,一定要做到最好,这也就是他认为零信任厂商必须要坚守的底线:关键技术要深,用户体验要好。


其次,但凡能生态的,一定要全力生态。“拥抱生态”是深信服零信任的原则,也是核心定位。深信服不拒绝任何愿意合作的厂家。因为周智坚深知,多场景的解决方案一定是用户的最终诉求,所以只有以生态为整体共同成长,才能为用户提供更完整,更完善的零信任解决方案,带来安全价值的体现。


深信服要在这个过程中尽最大可能拥抱生态,开放接口,让其他厂商的产品可以嵌入到解决方案当中。同时,深信服还会与用户共创,在逐渐落地零信任的过程中,与用户一同解锁潜在的需求,明确未来的建设思路。


伴随着企业数字化的发展,零信任会在未来一定时间里经历两个阶段,第一个是从私有化部署走向SASE化部署,第二个是从混合办公安全走向物联网安全。


沿着这条路径,周智坚认为零信任的热度还会持续十年以上,这是他义无反顾决心投身于零信任事业的重要原因,对于安全从业以及安全创业来说,他也认为零信任会是一个非常不错的机遇。


当然,正因为零信任在企业数字化建设中有着清晰的定位,所以就需要做到自己该做的,做好自己能做的,不要越界,什么都想做结果什么都做不好。对于企业用户来说,也一定不能把零信任当成解决安全问题的“银弹”,还需要从更多的维度来支撑业务的信息化、数字化和自动化。


而零信任要做的,就是守好安全的第一道防线。



深信服零信任的价值观



对话周智坚:深信服的「零信任」观
05
写在最后


用一句话来形容自己来到深信服的感受,周智坚认为是“来对地方了”。如果说零信任理念的高度契合是他选择加入深信服的初衷,那么文化的感染,就是他认为要将自己下一个十年投身于零信任,扎根在深信服的理由。


他坦言,从甲方到乙方,真的不是一件容易的事情,要求一个人具有专业的素质、独到的能力、清晰的方向、对业务深刻的理解,更要有极强的“自驱力”。因为在他看来,“自驱力”是一个人能够时刻保持激情,对工作充满热爱,始终报以学习的态度紧跟时代需要的核心竞争力,不仅仅是安全,这在任何领域来说都是一样


所以,如果你有能力,有欲望,同时又对零信任有浓厚的兴趣,那么他非常欢迎你来到深信服这个有资源、有投入、有战略、有布局,并且尊重人才的地方,一起干这番十年,甚至是一辈子的事业。





推荐阅读




  人物|周智坚:微小且伟大的愿望



对话周智坚:深信服的「零信任」观
对话周智坚:深信服的「零信任」观

齐心抗疫 与你同在 对话周智坚:深信服的「零信任」观



对话周智坚:深信服的「零信任」观

点【在看】的人最好看


对话周智坚:深信服的「零信任」观



原文始发于微信公众号(安在):对话周智坚:深信服的「零信任」观

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月27日09:50:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   对话周智坚:深信服的「零信任」观https://cn-sec.com/archives/949068.html

发表评论

匿名网友 填写信息