至于隐私计算 , 高峰觉得 , 虽然安全多方计算当前处于“泡沫破裂期” , 但同属隐私计算工具集的机密计算TEE , 在云厂商的推广之下 , 未来会被更广泛地使用 。
以下是访谈部分(经36氪不改变原意的编辑): 媒体:很多企业提出了零信任的概念和举措 , 但可能也会产生过度防御 。 你觉得企业的零信任或者其他安全措施 , 应如何避免过度防御?
高峰:我觉得“零信任”并不是过度防御 , 因为新的安全技术不一定增加安全复杂度 。 很多时候一些新的、平台化的安全技术 , 需要把之前孤立的安全能力整合起来 , 并未增加复杂度 。 “零信任”的理念 , 其实也是用一些持续评估的、显性信任去替代隐性信任 。
怎么理解呢?举个例子 , 大家都知道企业经常把网络分成外网和内网 , 外网可能没办法访问企业的一些应用 , 要连接VPN把它变成一个内网的延伸 。 而内网好像任何系统都能访问 , 而且管控也比较松 , 属于隐性的信任 。 但其实 , 内网并不比外网更安全 。 像现在越来越多的勒索病毒、勒索事件 , 很多时候并不是外部人员攻击系统之后再勒索 , 更多还是内部人员的操作出了问题 。 所以 , 是我们对内网的一些“隐性信任” , 造成了这些严重损失 。 “零信任”就是去除这个“隐性信任” 。
媒体:结合场景具体怎么理解?
高峰:我们不认为内网是安全的 , 我们觉得内网的访问也是要经过验证的 。 这个验证也不会增加用户的负担 , 只是在访问的时候要考虑用户的多种场景 。 用户可能还是要输入“用户名、密码” , 但又不需提供更多信息 , 因为这些信息其实是被动收集的 。 企业通过客户的综合访问与环境情景 , 最终决定是否授权 。 比如:一个用户10分钟前用中国的一个IP访问这个应用 , 但过了5分钟就显示为一个美国的IP , 这时我们就要考虑到这个事情的风险程度 。 而且 , 这里说的是“考虑” , 也不是一定要禁止 。 比如一个零售的企业 , 可能觉得用户如果用VPN登陆系统 , 显示美国IP没有问题 。 但是如果是金融企业 , 或许就不让这个用户访问了 。 企业需要综合评估访问的安全性 , 然后再授权 。
并且 , 企业要在用户访问的过程中持续监控 。 现在大部分技术没办法持续监控访问的情况 , 很多时候 , 一个人连上VPN以后就一直用 , 等到超时才会中断 。 但“零信任”要求在用户的访问中 , 持续对用户进行监控 。 举个例子 , 用户连上一个系统后 , 可能会点到一些钓鱼软件或者访问一些非法网站 , 这会让设备暴露在风险中 。 所以 , “零信任”就是实时在用户访问的全程 , 持续验证、持续发现访问风险 。 当风险出现的时候 , 如果需要的话 , 它能够帮企业中断访问 。
总之 , 我觉得“零信任”是要解决已有安全部署中存在的一些问题 。 特别是当现在许多资产已经处在各个地方 , 不再有一个非常清晰的安全边界的情况下 , “零信任”基于身份 , 是一个比较好的安全概念 。
媒体:一些观点认为 , “零信任”需要拿到更细粒度的业务数据才能进行精确的策略下发工作 。 你怎么看?以及这种思路是可以被SDP、IAM以及网络微隔离企业实现的吗?
高峰:我觉得“零信任”其实更多是一种理念吧 。 当然 , 这种观点是对的 , 就是有更多的业务数据 , 能够帮助更好的授权 。 但是我觉得实施“零信任”的关键 , 并不是一定要有更多的细粒度业务数据 。 它的理念是持续评估 , 以显性的信任去代替隐性的信任 , 就是用验证过的信任代替隐性的、主观上认为“这就是安全”的方式 。
- win10系统打开运行对话框的快捷键方法
- 挑战 Google 搜索?OpenAI 发布最强 AI 对话系统 ChatGPT
- 17年前天地对话的孩子成了航天人
- 产品经理|对话乐视:想打造欢乐直播间,与贾跃亭站台相比,更希望他造车成功
- 学生|上海05后学霸称和马斯克对话没意义:一起工作才是真交流 年龄是最大优势
- 独家对话九合创投王啸:在最熟悉的领域赚最多的钱
- 从物流仓储管理到多元化资管平台?36氪对话黑石龙地CEO黄咏祥
- 马斯克 G20 对话实录:不确定世界的「第一性原理」
- |对话真我realme徐起:中国市场是重点,数字系列回归做“中端卷王”
- 百万量级的多模态对话数据集来了,153万张图片4000多主题