零信任產業發展論壇：如何應對混合辦公安全風險？

近日，由騰訊安全主辦的2022零信任產業發展論壇在線上舉行。騰訊研究院、騰訊安全與Gartner共同發布了《2022年混合辦公安全白皮書》（以下簡稱〈白皮書〉），幫助企業定位自身在混合辦公安全領域的發展水平，以及持續發展和優化的方向。

與此同時，騰訊安全首次公佈了“騰訊零信任技術演進路線圖”，並發布了全新升級的騰訊零信任iOA7.0版本，為企業加快部署零信任提供經驗參考和技術支持。此外，國內首個零信任產業標准工作組也進一步升級，構建更加開放的零信任發展新生態。

全球混合辦公常態化

目前，全球范圍內的混合辦公已逐漸常態化。Gartner一項針對CFO的獨立調查表明，75%的組織計劃將一部分員工轉換為永久遠程辦公。此外，IDC數據顯示至2023年，全球2000家企業或組織中，70%將採用遠程或混合辦公優先的工作模式。

據瞭解，《白皮書》對混合辦公安全的特徵和安全風險進行了分析，提出混合辦公安全安全五要素"i-DEAN"，包括身份安全、數據安全、設備安全、應用安全和網絡安全。

同時，《白皮書》還推出混合辦公成熟度評估模型，幫助企業評估自身混合辦公安全的成熟度，探索如何在混合辦公新模式下應對新風險，從而更好地保障業務安全。

騰訊安全副總裁方斌認為，在混合辦公可能帶來新的安全風險背景下，零信任安全架構是企業應對混合辦公工作變革的利器。“零信任正在展現新價值，成為企業參與數字化競爭的核心能力之一。”方斌在論壇致辭中表示。

零信任應用場景

論壇上，中國信通院雲計算與大數據研究所所長何寶宏公佈的信通院調查數據顯示，當前有46%的企業選擇零信任是源於“遠程訪問”的需求，“遠程訪問”是當前企業實施零信任的主要驅動和優先選擇。與此同時，有77%的供應商提供BYOD （自帶設備）零信任能力，以滿足企業員工在設備多樣、接入便捷等方面更高的體驗需求。

在方斌看來，隨著雲計算、大數據、物聯網等數字技術的發展，零信任正在加速落地，逐漸應用到更多場景。據方斌介紹，騰訊iOA目前已經廣泛運用於金融、地產、物流、教育、工業等新的場景。北京一家三甲醫院，通過部署騰訊iOA，不僅實現了遠程醫療協作網絡的順暢運行，還極大地保障了患者的數據安全。

零信任步入2.0時代

“零信任”理念自2010年提出以來，發展至今已有12年。在此次論壇，騰訊對外披露了「零信任技術演進路線圖」。騰訊安全零信任產品總經理楊育斌表示，希望通過分享騰訊的零信任技術演進路線，能為正在研發和實踐零信任的企業一些經驗參考。

零信任技術演進路線圖

騰訊的零信任技術演進分三個階段：最早是從2016年起，騰訊開始實踐在公司內部實現零信任整體的體系建設；到2019年，騰訊將內部實踐和研發出來的解決方案對外發布，形成了商業版iOA零信任安全管理系統，實現訪問全程的4T可信零信任；到了2021年和2022年，騰訊將零信任解決方案升級，以接、防、管、控一體化實現零信任自適應持續保護機制。

楊育斌在會上分享，2018年、2019年，我們就看到有遠程辦公人員、分散職場辦公和海外辦公人員，自發地用我們iOA替代VPN。到了2020年，iOA在騰訊內部已自發完成了替換工作，疫情期間尤為明顯，騰訊員工不管在哪裡辦公，都會通過iOA接入公司的辦公環境。事實上，2019年我們的產品就初步商業化，隨著內部和更多客戶參與使用，我們也對產品不斷進行迭代升級。

在此背景下，騰訊安全發布了全新升級的零信任安全管理系統——騰訊零信任iOA7.0版本。據瞭解，騰訊零信任iOA7.0在可信接入、威脅防護、安全管理、風險控制及全平台覆蓋等維度上實現了升級，提升了接入安全性和效率，打造了立體防禦體系，實現多平台終端全管控和XDR全程聯動響應；此外在平台覆蓋上也提升了產品自適配度，有效支持企業設備和自帶設備。

零信任構建需要生態

會上，騰訊iOA的第一百萬終端客戶——高燈科技分享了部署經驗和使用體驗。據高燈科技信息安全專家王凱介紹，高燈科技作為財稅科技公司，對網絡接入與數據安全性有著極高的要求。根據自身應用場景和需求，高燈將騰訊iOA的部署分為兩個階段，第一階段主要聚焦於網絡和終端安全領域，第二階段主要聚焦數據安全。

“在兩年的使用過程中，我們發現，騰訊iOA帶來的不僅僅是一個功能，而是囊括了防病毒、終端管控、零信任接入、DLP等多套系統的綜合平台，不僅提升了高燈科技的安全管理能力和效率，還極大地降低了安全運維成本。”王凱表示。

聯盟成員企業寧盾的CEO劉英戈認為，零信任是一個大的技術解決方案，一家廠商很難單獨解決客戶所有問題。

會上，他分享了騰訊零信任iOA與寧盾MeConnect身份的聯合案例。據劉英戈介紹，在騰訊iOA平台與寧盾身份打通、業務資源納管和身份打通、內網終端准入等應用場景下，聯合案例實現在任意網絡環境中安全、高效地訪問企業資源，並且實現內外網一致的身份管理和訪問體驗。

騰訊安全零信任產品總經理楊育斌也表示，零信任是一套整體體系和網絡建設的理念，涉及身份體系、終端、網絡、應用等一整套業務流程體系。當寧盾有了身份體系產品後，我們就不會再去做一個體系替代它，而是思考如何他的身份體系打通。

楊育斌還提出了零信任生態構建標准化的問題，“一方面，很多不同的話術會導致客戶混淆，另一方面，標准化建立後可以讓業務更加規范，讓技術落地更有指導意義。”

落地的挑戰和難點

經過幾年發展，零信任已初步完成市場教育，其建設重點也從1.0階段的身份接入，向2.0階段的風險整體的可視可控發展。

零信任有著較強適用性。互聯網天然習慣於便捷辦公模式；零售、地產業有較多分支機構、門店，需統一整合；金融業對遠程接入有著安全性和數據保密的要求；能源、製造業等對數據資產敏感；政務行業的醫保社保數據訪問，教育遠程教學、校內網教務系統等，都是零信任較好的落地場景。

但作為一個新理念，零信任在落地建設過程中仍存在諸多挑戰。一是落地適配問題，二是網絡環境多樣性；三是同一人的不同賬號統一協同認證；四是權限控制問題，權限等級，及授權的有效性和時效性問題；五是零信任生態下，對外部威脅的防禦問題。

未來，零信任生態發展仍需更開放的生態，在標准的基礎上，產業鏈各玩家共同合作，深化技術協同與商業合作，深挖落地場景，開放接口等，為客戶提供功能更完善、體驗更好的零信任解決方案，推動零信任在中國的加速落地。

本文由「楊逍」原創出品， 轉載或內容合作請點擊 轉載說明 ；違規轉載必究。

本文經授權發布，不代表36氪立場。

如若轉載請註明出處。來源出處：36氪