传统安全方案正在失效，数字化企业如何落地数字安全 | 鲲鹏说

5 月 12 日，TGO 鲲鹏会线上视频直播栏目「鲲鹏说」的 To B 战场新变局专题，邀请亿格云 CTO& 联合创始人，TGO 鲲鹏会（杭州）学员胡闽，围绕《数字化企业如何落地数据安全》的主题进行线上分享。文章根据分享内容整理，有删减：

大家好，我是胡闽，亿格云 CTO& 联合创始人，很高兴和各位一起进行交流和探讨，我今天分享的主题是《数字化企业如何落地数据安全》。

不论是互联网、智能制造，还是传统制造领域，都在进行企业的数字化实践，数据正在成为企业最核心的资产，数据安全在此时就显得尤为重要。不过，数据安全靠的不是单点技术，而是基础安全能力体系。企业规模大小、所处行业、安全团队建制的不同，均会导致数据安全实施方法和阶段有所差异。

“云”的出现正在改变各行各业，云原生安全技术的使用让数据安全变得越来越简单。本次「鲲鹏说」话题的本质是：如何利用云原生安全架构，帮助企业落地数据安全能力建设。

2015 年 -2021 年期间，我在阿里云负责云安全研发工作，2021 年创办了亿格云公司。选择创业的一个核心出发点是，我们认为企业过去的安全体系建设方式过于复杂，对于不管是初创公司，还是中型体量公司甚至大型企业而言，安全投入和运维成本都显得非常大。亿格云希望通过提供基于云原生安全架构的一体化安全解决方案，更简单更高效的来解决企业数据安全问题。

数据安全的三大挑战

我认为，数字化企业的特质中最重要的一点是“以客户为中心”，本质是需要企业要围绕客户需求来进行运作。数字化让企业有机会比客户自己还了解自己，通过优化流程、改善产品、提升服务等，让企业与客户之间保持更紧密的结合，提高客户黏性和忠诚度。

数字化企业的办公有以下四个特点：第一，企业的技术体系越来越多地使用到云技术；第二，数字化企业大量吸收全球人才，办公形态、办公位置具有分布式的特点。员工在任何位置都存在办公的需求，任何位置都需要使用数据、并产生数据；第三，企业团队成员的协作会变得非常密切，同时协同也会越来越复杂；第四，数字化企业的办公非常开放，数据的安全防护会变得越来越难。

数字化企业的数据安全存在三大挑战：第一个挑战是企业数据安全边界消失。在边界非常清晰的情况下，数据安全的管控相对容易，企业只需要把数据留在本地就可以。但现在多云、多分支，多方协作、多元设备的协作特点，正在让企业数据呈现网状流转——即任何时间点都会存在数据的产生和流转，数据在整个虚拟的组织之间、线条之间都在进行流动。

第二个挑战是企业办公数据安全泄露风险不断加大。比如：应用和 API 接口不小心对外开放；员工访问的应用、下载的数据，企业看不见、管不了、难追溯；企业敏感数据被下载后在内部流转失控，或者敏感数据下载到员工终端后在本地泄露等。

企业从发现到遏制数据泄露平均需要 287 天，且 80% 以上的泄露事件是由外部媒体曝光或暗网数据交易后才被发现。由于传统的安全机制难以实现精细化的权限管理和全域数据流转的可视化和管控能力，使得员工权限的只能“粗放”管理，而这已成为企业敏感数据的恶意外发、违规流转、针对性泄露的主要原因。

第三个挑战，混合办公 - 远程办公背景下，互联网访问、内网访问的数据泄露问题。远程办公时往往是通过传统 VPN 的方式来进行连接，此时数据与整个网络是联通的，有非常大的横向移动风险；内网访问难以完全可见，导致发生数据安全风险时难以回溯，无法找出数据泄露元凶。

在数字化企业中，传统的安全方案正在失效。

零信任 SASE 安全架构

Gartner 在 2019 年提出了 SASE 安全模型，是基于云原生的架构去构建软件企业边界，以身份为中心将网络和安全融合在一起，解决整个安全体系的问题。SASE 正以爆炸性增长速度在颠覆当前企业安全的边界纵深防御架构，Gartner 预估 2024 年会有 40% 的企业开始采用 SASE 架构，到 2025 年 60% 的企业会开始采用 SASE 架构。

SASE 架构产生原因是，传统网络安全架构将数据中心置于连接的核心位置，抑制了数字业务的动态访问需求；数字业务和边缘计算让企业拥有更多外部的用户、设备、应用、服务和数据，因此网络访问需求出现变化；而降低复杂性、延迟以及解密和检查加密流量的需求，将推动网络和安全即服务功能整合为云交付 SASE。

SASE 安全架构落地，需要有一个分散在全球各地的安全云作为基础。任何人不管是在公司、家中，还是移动办公等，都可以就近地连到云上，而这个云就是挂在每位办公者头上的一朵安全的云。

基于安全云实现的云原生数据安全能力，构建了动态访问控制能力，发现数据识别能力，可对任何一个加密流量进行解密、检测，发现敏感数据、潜在攻击，并通过大数据分析实现——零信任内网访问（ZTNA）能力和一体化数据安全防护（XDLP）能力。

其中，零信任内网访问（ZTNA）解决数据可视和权限问题；一体化数据安全防护（XDLP）解决数据流转中泄漏问题。

基于 SASE 架构，建设企业数据安全体系，主要有四个步骤。第一步，构建所有人、设备接入企业网络的认证准入能力，只有认证过的人、设备，以及符合安全的人、设备才能接入到公司的虚拟网络，并动态的授予权限；第二步，解决连接授权的问题；第三步，在连接授权之后，会建立安全防护体系，防止因为个人、设备被入侵之后，黑客横向地拿到公司数据；第四步是构建数据安全体系中的数据识别、行为分析，以及数据防泄漏能力。

数据安全三板斧

在零信任 SASE 一体化安全防护网络中，尽管边界已经非常模糊，但依然不妨碍它去构建一个零信任的 SASE 云网络。该网络核心的作用是，任何两点之间的数据交互，都会通过安全云进行分析。这朵虚拟边界的安全云，重构了企业数据安全边界。

在混合云办公的背景下，零信任 SASE 一体化安全防护网络，能系统地解决企业数据安全风险，一站式建立数据防泄漏体系。

比如企业员工在远程办公时，所有访问互联网的流量都会经过 SASE 云。基于云的分布式边缘特性，员工不管在北京、上海，还是杭州、成都，甚至在海外，所有访问互联网的流量都经过网络的 POP 节点，并被发送到云端进行分析，实时地检测安全。

在远程办公访问内网时，账号安全可以通过终端身份绑定、开启 MFA，进行权限持续校验，确保是正确的人来访问应用；持续校验终端安全合规状态，确保终端安全水位。即使账号被盗用，黑客也没有能力通过被盗账号触达超越权限的内容。

基于一体化数据安全防护能力，企业可构建办公数据安全防护体系。应用可以自动发现，权限最小化落地；所有敏感数据的下载、流转都会被监控，甚至只有通过脱敏、混淆后，数据才可以被下载，且下载之后的数据外发也在实时监控中。

选择 SASE 会给企业带来云原生安全架构扩展、一体化运营体系和数据安全全景可视三方面的核心收益。SASE 数字化企业数据安全的顶层设计，打破传统架构安全效果差、体验差、难运营的怪圈。

亿格云是国内 SASE 架构的创新先行者，公司基于“身份、终端、网络、资源、数据”五大维度，构建了整个 SASE 架构。帮助企业了解自身数据资产，降低安全风险系数，把权限进行最大化动态控制。基于这种控制，可建立企业数据分类、分级体系，全场景地审计数据流转、使用情况等。

企业用户只需要 15 分钟就可以在不改变现有技术架构下，把整个数据架构、SASE 架构和企业自身的架构融合起来，并将公司的数据提升至 7-8 分的安全水位。

亿格云让所有数字化企业的数据安全不再成为自身发展的瓶颈，让数据资产为企业创造更大价值，这正是我们创业的初衷和出发点！

关于 TGO 鲲鹏会

TGO 鲲鹏会是极客邦旗下科技领导者聚集和交流的组织，学员由 CTO、架构师、技术 VP、具有技术背景的 CEO 等组成，目前已经在北京、上海、深圳、广州、杭州、成都、硅谷、南京、台北、厦门、武汉、苏州等 12 个城市定期举办学习活动。

TGO 鲲鹏会采用了“学员共建”的组织形式，希望通过“共建、自治”的方式维护各城市的健康发展，为学员提供必要的服务，帮助学员个人更好地学习和成长，助力学员企业之间更好地合作与交流。加入 TGO 鲲鹏会，全方位提升自身价值，成为卓越科技领导者！