李新顺在峰会上讲到，“鸡蛋不要放在一个篮子里”，做安全也一样，没有一种安全框架可以解决用户所有的安全场景，也没有任何一个厂家说我这个安全产品是不可破的。我们可以通过添加多层的安全防护措施，来增加攻击者的难度，但实际上不能解决累计攻击的问题，因为我们防御者永远在明处，攻击者明确在暗处，他在研究你，远远超过我们研究攻击。所以我们认为最好的理念就是采用最新的安全框架，基于这个框架组合已有传统的成熟技术，通过矩阵式的安全控制联动来达到在每一个阶段能让攻击者的攻击成果清零，所有零信任提供商，也是实现这个目标的最佳选择。

云涌零信任安全矩阵是基于SDP已有的保护体系，在通过增强IAM以及用户行为分析后持续的端点检测和持续认证和授权，通过集成在服务器主机侧的可信计算技术以及以远程安全浏览器隔离，来实现关键数据的运维。通过这个安全矩阵，可实现零信任现在追求的八个目标：正确的人，使用正确的设备，通过正确的应用，在正确的时间，正确的地点，用正确的身份，以正确的权限，访问正确的服务。

SDP1.0规划中提到了五层的安全控制。第一层是SPA；第二层是终端设备的运行环境的检测； 第三层是传输层加密；第四层是动态防火墙；第五层是应用绑定。

除了五大安全防御，我们又扩展了几个云涌的安全矩阵的节点：一是基于增强IAM和行为分析，态势感知，这是所有做零信任的厂家花的时间最多，投入精力最大的一个方面。二是服务器的可信，通过对整个操作系统的静态度量和运行过程的动态度量，以及运行过程中一些重要参数配置的可信验证，那么就达到了一种从系统引导阶段开始提供全面的操作系统内核级的程序运行控制，核心进程保护、关键目录保护等安全机制，就能逐步建立完善的服务器操作系统安全管理体系。三是远程浏览器隔离，采用远程浏览器隔离这种技术，来弥补其他高安全领域的要求。针对物联网的场景，我们提出在边缘端做了很多隔离的实践，物联网现在是基于云计算、物计算、边缘计算再到端点互联网接入架构，互联网设备和边缘端是运行在一个相对不安全的环境，不像云数据中心有很严格的管控。

最后李新顺认为，安全矩阵是无止境的，肯定是越多越安全，同时也希望跟各个厂家，各位合作伙伴合作，把整个基于零信任保护的安全矩阵做得更大更强。

点击链接https://c-csa.cn/research/results/，登录下载峰会嘉宾分享的演讲ppt
 

扫码关注云安全联盟CSA大中华区视频号，观看峰会详情