作者
《中国金融电脑》记者 郑清源
深信服科技股份有限公司
金融事业部解决方案专家徐省委
近年来,随着金融业数字化转型的不断推进,传统的经营方式和管理模式均发生了巨大改变,并涌现出许多这个时代特有的创新场景,如远程银行、移动办公等。与此同时,面对日渐复杂的网络环境和愈加严格的监管态势,安全与风险间的博弈也更加激烈,而网络边界安全更是成为金融机构迎接5G、云化时代的重要前提和保障。在此背景下,零信任的概念应运而生,其以“从不信任,总是验证”为核心,旨在为使用者提供更有效的、面向未来的安全保护。针对这一技术趋势,为进一步了解零信任在金融领域的应用前景,本刊特别采访了深信服科技金融事业部解决方案专家徐省委。
《中国金融电脑》:对金融机构来说,零信任的核心价值是什么?
深信服:当前,金融行业的数字化转型已卓有成效,各种基于新技术的创新应用层出不穷,使金融服务的覆盖范围和质效均实现了显著提升。但与此同时,金融机构的网络安全边界也随之不断扩大,而传统架构很难应对边界模糊带来的更广泛的内外部威胁,同样也无法解决复杂网络架构和多样化接入方式带来的扩建变更成本及管理成本上升。对此,零信任基于产品化、组件化、场景化等技术特点,可以提供一种轻量级、动态发展的安全策略,且随着数字化转型的逐步深入,零信任技术本身也将会愈加完善。
《中国金融电脑》:金融机构落地零信任的难点是什么?
深信服:零信任的本质是引导安全架构从网络中心化走向身份中心化,进而以身份为中心进行细粒度的自适应访问控制。所以,这里有一个非常重要的前提是身份的识别和认证,落实在技术层面则是要构建一个统一的身份认证系统,需要采集包括人、设备、系统和应用等在内的各方面信息,而这对于开展了多年信息化建设的金融机构来说,无疑是一个非常庞大的工程。
另一挑战体现在技术落地上,微软在零信任方面探索了近20年,但始终没能形成一个标准的落地方案,可见零信任转型无法一蹴而就。对此,深信服进一步提出了精益信任的概念,主张以组件化、场景化的方式进行落地,即通过将零信任与已有的网络安全设施进行融合,使其成为一个循序渐进的过程。
具体来说,深信服建议金融机构选择远程办公安全接入访问、生产系统访问权限管理和运维高风险用户访问、开发测试访问权限管理和互联网出口安全访问、高敏感数据授权访问、B2B商户管理平台互联网访问等特定业务场景,试点先行,分步建设,快速落地零信任技术能力。
《中国金融电脑》:什么是场景式的零信任转型?
深信服:所谓零信任场景是相对于整个安全体系的概念,主要指针对数据和计算资源集中、内外部大量用户频繁访问等复杂场景,基于零信任实现与业务高度融合的安全防护。以远程办公场景为例,当前金融机构为了提高效率,选择将部分业务互联网化,并借此实现了上下游业务的远程访问,而基于深信服的精益信任架构和aTrust平台,可以将这类业务系统有效地保护起来,并实现纯Web化的无感知访问,从而更好地平衡移动办公的安全与体验。
例如,aTrust平台支持对员工的终端环境进行检测,并能够针对不同安全级别的终端环境配置合适的安全策略进行准入控制。对于部分纯办公B/S业务访问,可以以用户体验为主,降低对终端的管控,使用户能无感知访问办公应用。对于部分敏感业务系统,则可以要求员工安装aTrust平台客户端,既不会影响员工正常访问C/S应用,还能够通过aTrust平台客户端对终端进行环境检测,并采集终端的基本信息、安全信息、应用信息等建立动态统一的身份库,完成对环境、用户、系统、程序的身份改造,最终形成一种动态可信的身份标识。
《中国金融电脑》:零信任能够为金融机构内部带来哪些改变?
深信服:对于金融机构来说,内网安全始终是重中之重,而精益信任可以帮助金融机构梳理权限基线,实现权限最小化;同时灵活抓好安全基线,实现信任最小化。例如,对于最小权限化来说,人工梳理访问权限的可行性非常差,为此,aTrust平台中提供了面向权限基线的梳理工具,即在构建权限基线身份化的过程中,可对访问请求进行精准化、颗粒化控制,确保只有有权限的用户才能访问业务系统,从而缩小信息暴露面。
信任最小化则主要是基于动态访问控制,即通过在业务系统前端部署aTrust平台的可信访问网关,将可基于可信访问网关中的动态访问策略,强制执行企业内部设定的安全基线,进而防止开发人员直连生产数据库,或将远程桌面协议(RDP)等高危协议暴露到互联网及危险环境当中。
《中国金融电脑》:精益信任最大的优势和特点是什么?
深信服:一是可成长。精益信任的目标是轻量化、一站式解决普适性强、高优先级的安全问题,并通过访问控制规范化和安全管理规范化,有效保护信息资产。例如,aTrust平台支持集成各安全产品的能力,包括安全感知平台、终端检测响应平台、统一身份认证平台等,金融机构可以基于aTrust平台不断集成外部安全产品,并慢慢成长为以aTrust平台为中心的、完整的零信任网络架构。
二是易落地。aTrust平台在每一步落地过程中都提供了一系列辅助工具,如在权限梳理过程中提供了人机智能权限梳理工具,可实现“自动化访问报告+自助申请+人工审批”的合理化权限梳理流程,这些落地辅助工具基于流程化、智能化的方式,可成为零信任网络架构中的管理抓手,最终使零信任网络架构能基于精益信任的解决方案在企业中落地。
未来,随着万物互联和5G时代的来临,零信任将扮演更加重要的角色,不仅可更好地应对海量终端接入、物联网和边缘计算等带来的安全挑战,还可有效避免不受控的内部访问所导致的各种安全问题,在助力金融机构转型的同时,也将逐步重塑数字金融的新边界。
文章刊于《中国金融电脑》2020年第09期【业界观察】