指掌易丁俊一:保障數字化工作空間安全需要4種關鍵能力
“工作”通常是指一群人在同一時間、同一空間互相協作、共同配合的過程。今天,企業工作環境的一個重要變化就是其覆蓋范圍更廣,各個分支機構之間通過網絡和通信技術實現緊密連接,相互取得聯系,而員工可以通過智能計算終端、電子郵件、即時通信軟件、視頻會議等應用,輕松實現跨地域的溝通和協作。
隨著現代企業的工作空間從物理世界快速擴展到數字化世界。企業越來越多的終端系統和數據會轉移到企業外部的網絡環境中,讓企業外部資產的管理需求和安全需求交織在一起,變得與企業內部資產同樣重要。在新的數字化工作空間中,重構企業資產的防護能力變得緊急且重要。本次訪談邀請到北京指掌易科技有限公司副總裁丁俊一,就現代企業數字化工作空間的安全挑戰與建設進行了探討。
指掌易副總裁,碩士畢業于北京航空航天大學,目前負責指掌易產品規劃。作為企業移動化領域的資深人士,丁俊一從2010年起就致力于企業移動信息化的工作,先后服務于黑莓、AirWatch等業內知名企業,具備深厚的企業移動信息化架構、方案及安全管理技術背景和管理經驗。在此之前,還曾經作為軟件技術專家在IBM服務近7年。
移動通信及終端計算能力的增強,讓現代企業進入到移動化辦公的新時代。工作環境的變化會給企業業務發展帶來哪些新的安全挑戰?
首先,隨著企業數字化轉型的深入,越來越多的工作場景位于傳統辦公網絡環境之外,傳統安全邊界在消失,原有的基于網絡流量的邊界安全防護失效,迫切需要在新的數字化系統上重新構建安全防護體系。
其次,傳統安全風險轉移并擴大,安全防護需要前置到離散分布的每個終端。數字化移動辦公環境下,人員和終端的空間分布呈高度離散分布狀態,安全防護需要應用到每一個終端,甚至每一個業務上,終端工作的地點、時間、業務場景存在差異,安全風險從類型到風險點數量上快速放大,過去那種固定、單一、靜態的安全防護思維就不再適用了。
第三,安全防護需要深入到業務中并與業務深度結合。新興的數字化工作基礎設施對安全提出了更多要求,不僅需要通用的安全方案滿足對應的安全基線要求,還需與各行業、各類細分工作場景更加匹配的安全方案,甚至與數字化工作基礎設施建設融為一體,統一規劃和建設。
終端設備是現代企業數字化應用的重要組成,隨著辦公終端的不斷擴展,終端安全的內涵是否也在重新定義,其核心能力您認為應該是什么?
原來的終端辦公系統,多是使用Windows系統,但今天的終端類型、使用方式、歸屬權等多個角度都發生了很大變化,可以是移動設備、PC機;使用的系統可能是Mac或Linux,也可能是信創系統;應用形態上可能是個人單獨使用,也可能是多人共享,還可能是無人值守的IoT終端設備,終端可能是企業的,也可能是個人的BYOD設備。
終端類型的復雜性,要求終端安全的技術方案要更加全面和多樣化,但在最終實現效果上,又需要保持相對一致的安全能力,并為用戶提供相對一致的體驗。比如,無人終端,需要更多考慮可靠性、業務連續性,以及無人看守時的物理安全風險;而共享終端,則要考慮多用戶之間數據的隔離、多用戶切換的過程等,這些也是傳統終端安全所未涉及到的內容;BYOD終端更多涉及用戶個人信息的保護,為企業解決終端安全的同時,需要同時平衡用戶的體驗需求。
從這個角度看,終端安全應該是一個不依賴于類型、使用方式和歸屬,面向不同用戶、多種終端構建的一個可信的、數字化的安全工作空間,以保護空間內的企業數據,同時又不影響空間外的個人信息利用和保護,并且可以遠程靈活管理,滿足不同業務場景需求。應用方式上可以是設備級別,也可以是用戶級別,甚至是應用級別。
我們認為,現代企業構建安全的數字化工作空間,需要以下四個方面的核心能力:
- 具備較強的隔離能力。保護空間內的企業數據,不影響空間外的個人信息,并且可以遠程靈活管理,滿足不同業務場景需求;
- 確保數據安全的能力。終端的最大風險是數據泄露風險,敞口從個位數上升到上萬個,安全隱患井噴式增長,所以一定要有數據防泄漏;
- 安全準備的能力。大多數企業業務需要終端與后臺服務進行聯通,因此要確保聯通和接入過程的安全性;
- 保障業務連續性上,要確保終端的健壯性,比如在在線、離線狀態下,都要保證終端的健壯性。
數字化工作空間的安全能力建設,對傳統計算環境安全的技術發展會產生哪些影響和變革?
傳統計算環境安全的解決方案主要面向集中式辦公、數據中心的PC和服務器。由于云計算、智能終端和4G/5G移動互聯的廣泛使用,計算的重心逐漸轉移到分布式的、用戶側的終端用戶計算環境中。因此,新終端安全主要是由混合辦公推動的,面向用戶側解決終端用戶計算安全問題。
在這個演變過程中,部分傳統終端安全的理念、方案和產品組件將被繼續應用到新的終端環境下,比如殺毒、EDR、漏洞檢測等。但是由于數字化辦公終端的外延,方案復雜度的提高,終端安全更多是要通過迭代新的終端安全技術、交付方式、服務體系及業務模式來滿足用戶側高度分散和持續擴展的終端安全市場。這給傳統的計算環境安全廠商帶來了巨大挑戰,由于這個市場空間足夠大,也給一些有特色、在某一領域有專長的創新企業帶來更多機會。以新一代終端安全為代表的產業生態或將重新洗牌,并出現一批新的
萬物互聯是未來發展的必然趨勢,這也是使遠程連接與安全應用耦合得越來越密切,傳統移動終端管理模式應該如何適應這種變化?
傳統工作環境下,移動終端管理主要以資產安全為中心來確保設備正常工作,而混合辦公、萬物互聯環境下,用戶是希望通過終端管理來保障業務和數據安全。資產管理不再是終端管理的唯一目的,而是退變為特定場景的功能性需求,而以業務和數據安全為核心的終端管理并不強依賴于資產管理,這不僅是技術上轉變,也上用戶規劃意識的轉變。
為了實現安全管理,就要根據具體的情況,采取合適的技術手段,我們看到,去年以來統一終端安全(UES)在行業備受關注。從長遠看,它將整合新興的零信任工作空間技術以及 EDR、EPP、MTD的部分能力,為客戶提供新一代的終端安全方案,而不僅僅是資產管理。
移動辦公環境下,大量的業務數據會被在終端使用和存放,企業該如何有效保護移動辦公環境下企業的數據資產?
新的數字化辦公場景下,數據是流動的,不僅從數據中心、云端流向終端,也有很多是從智能終端產生或采集回傳給后臺,呈現出了多方、多流向的特性。因此,單純的終端安全防護技術,并不能有效保護企業數據資產。
零信任的理念和模式匹配了當前遠程辦公環境的這一關鍵痛點,它通過可信驗證的方式確保用戶、設備以及數據的安全。因此,建議企業在移動辦公環境下,結合終端安全和零信任技術,提供系統性的解決方案,包括零信任網絡接入、零信任身份認證機制來保護企業數據資產。
零信任理念已經受到行業廣泛的關注和認同,在現代企業數字化工作空間的安全建設中,該如何與零信任安全理念融合發展?
現代企業數字化工作空間的安全建設一定是圍繞業務來開展的,解決業務安全問題,不再是為某個設備或某一類設備解決安全問題。企業可以從以下幾個方面進行規劃和準備:
從需求角度,要基于業務場景充分調研終端系統的類型、來源、生命周期、歸屬、網絡接入方式、管理方式以及對應的安全要求,尤其是要明確業務場景所使用的業務應用,不同應用的業務流程、數據使用方式、集成方式、分發方式等細節設計,都會決定最終方案實施的成功與否;
其次,在規劃上,結合企業自身的戰略發展和業務安全的目標,明確未來幾年的目標,基于調研的結果,明確差距,確定分階段的演進計劃,從而建立整體的終端安全戰略,指導具體的項目建設和方案選型。
最后,在項目落地時,務必圍繞用戶業務形成標準化交付和部署的方案,而不能為每個設備定制終端安全方案。在終端上構建零信任的工作空間是目前階段實踐中最有代表性的主流技術方案,它結合零信任SDP網關,采用關鍵零信任身份認證技術,作為新型終端安全建設的基礎。方案的完整性、用戶體驗性都較好,且可規模化應用。有了這個基礎,就可以根據企業實際情況,決定后續終端安全能力的演進。
安全牛評
終端作為數據生存和業務操作的承載體,其環境安全決定了企業的數據和業務安全。然而隨著企業數字化轉型的深入,業務與融合的云、網、端連接越來越緊密,外部終端、數據分布越來越多成了必然趨勢。終端安全已不再是傳統的計算環境安全,關注和布局企業外部工作空間的風險管理并為其選擇合適的技術方案必須成為數字化轉型中企業網絡安全建設不可忽視的組成部分。
