《安全牛:现代企业零信任安全构建应用指南研究报告(2021)(59页).pdf》由会员分享,可在线阅读,更多相关《安全牛:现代企业零信任安全构建应用指南研究报告(2021)(59页).pdf(59页珍藏版)》请在三个皮匠报告上搜索。
1、5G 融合云计算、大数据、人工智能技术催生了众多互联网新兴业务,数字化转型成为国家经济发展的重要抓手。“新基建”是国家从经济长远发展角度提出的新经济、新技术、新产业的国家战略,它是5G、人工智能、大数据中心、工业互联网等科技创新领域的基础设施。互联网业务的访问不再一个个孤岛似的的网络连接,而是更细度的端到端的远程访问,数据价值水涨船高,引发了外网 APT 攻击持续高发。同时,利用端到端连接构造的 APT 攻击也更加多样化,勒索病毒、邮件钓鱼、0day 漏洞利用让我们目睹了边界防御对端到端远程连接访问时夹带威胁的无奈。刚刚过去的 2020 年,快速爆发的疫情对各行各业都是一个极大的挑战,然而 2
2、020 年已经过去了,疫情并没有结束。这让我们意识“新冠”不是第一个也不会是最后一个影响人类传统生活模式的自然灾难,与病毒共生成为全人类的共识。互联网远程工作、端云协同成为企业持续发展的必要条件,并成为当代人们生产生活的常态。刚需之下,我们看到了传统 VPN 网络在远程办公访问重压下的苍白,设备瘫痪、利用漏洞绕过验证、设备失陷等等。边界防御在业务和安全的双重重压下备受挑战,“可信网络”成为传统安全防御架构演进的严重瓶颈和障碍,“零信任”成为探索新基建网络安全建设的重要理念和实践。本报告中部分图表在标注有数据来源的情况下,版权归属原数据所有公司。安全牛取得数据的途径来源于厂商调研、用户调研、第三
3、方购买、国家机构、公开资料。如不同意安全牛引用,请作者来电或来函联系,我们协调给予处理(或删除)。报告有偿提供给限定客户,应限于客户内部使用,仅供客户在开展相关工作过程中参考。如客户引用报告内容进行对外使用,所产生的误解和诉讼由客户自行负责,安全牛不承担责任。引 言免责声明 本次调研发现,78.9%国内用户认为零信任还处于概念热度期,但对运用零信任安全相关解决企业数据中心远程访问、云计算服务访问、边缘计算、5G、新兴互联网等场景下的安全问题充满信心。超过 80%的调研用户表示有零信任应用计划,其驱动因素包括有外来的互联网风险、业务发展及疫情影响。零信任构架是融合了网络安全、认证、加密、计算环境
4、安全、数据安全等技术构建的基于熵减的开放的安全系统。构建零信任网络的核心组件和支撑组件都可以因地制宜,但身份验证是所有零信任实践的基础。访问策略决策点前置,其安全能力和信任策略的可用性、有效性、可靠性将会成为新挑战。基于云的零信任访问方案可以快速构建企业安全能力,帮助企业降低安全部署成本。零信任技术可以将安全延伸到端,将成为未来端、边、管、云融合协同应用中端到端连接的新安全赛道。目前用户认为零信任还没有技术/行业标准支撑,没有标准化的信任基线和通用的访问控制模型,企业规划没有可衡量的尺度,是零信任体系建设的主要挑战。另外,安全产品缺少开放标准,不同厂家的产品之间没有开放接口和互联互通,尽管市场
5、上产品非常丰富,但多是各自孤立的系统,难与零信任核心组件有机融合。部分用户认为零信任体系建设周期长、开发成本高,零信任投产上线后防御能力的增强和引入的风险不清晰,其效益无法量化评估,建设是否能得到公司领导层的有力支持是个挑战。最后,零信任架构技术复合度高,安全运维的复杂度也是用户担心的主要问题之一。报告关键发现 第一章 零信任(Zero Trust)简介.1 1.1 基本概念.1 1.2 驱动因素.2 1.3 发展历程.3 1.4 市场调研分析.4 1.5 技术成熟度.8 1.6 标准化现状.9 1.7 总结.9 第二章 核心能力和技术实现.10 2.1 零信任架构.10 2.2 技术实现.1
6、1 2.3 能力模型.16 2.4 总结.16 第三章 典型应用场景.17 3.1 云计算应用.17 3.2 远程办公应用.18 3.3 远程会议/协同应用.19 3.4 特权访问应用.20 第四章 企业零信任能力构建指南.22 4.1 企业零信任需求评估.22 4.2 遵循的基本原则.22目 录 4.3 架构设计的建议.23 4.4 旧系统迁移的建议.24 4.5 新系统的建设建议.24 第五章 行业应用实践.26 5.1 银行远程办公的零信任应用.26 5.2 制造企业权限管控的零信任应用.28 5.3 流动数据管控的零信任应用.30 第六章 建设的挑战.32 6.1 政策环境.32 6.
7、2 安全效益.32 6.3 系统融合.33 6.4 实施过程.33 6.5 运维管理.33 第七章 演进趋势和未来展望.34 相关参考文献.35 附:行业代表性零信任安全厂商.36 A 奇安信科技集团.36 A.1 产品简介.36 A.2 系统架构.36 A.3 系统特色.36 A.4 方案价值.38 A.5 典型组网框图.38 A.6 综合能力说明.39B 深信服科技有限公司.39 B.1 产品简介.39 B.2 系统架构.39 B.3 系统特色.40 B.4 典型组网框图.41 B.5 综合能力说明.42C 新华三集团.42 C.1 产品简介.42 C.2 系统架构.42 C.3 平台特色
8、.43 C.4 典型组网框图.43 C.5 综合能力说明.43D 深圳竹云科技有限公司.44 D.1 产品简介.44 D.2 系统架构.44 D.3 平台特色.45 D.4 典型组网框图.46 D.5 综合能力说明.46E 数篷科技(深圳)有限公司.47 E.1 产品简介.47 E.2 系统架构.47 E.3 系统特色.48 E.4 典型组网框图.49 E.5 综合能力说明.49F 中兴通讯股份有限公司.50 F.1 产品简介.50 F.2 系统架构.51 F.3 系统特色 .51 F.4 综合能力说明.521 零信任(Zero Trust)简介1.1 基本概念Forrester是最早提出零信
9、任(Zero Trust,ZT)概念的组织。其定义是:零信任是专注于数据保护的网络安全范式。面对边界安全的局限性,它提供了一组相对折衷的安全思想:在信息系统和服务中对每个访问请求执行精确的且最小的访问权限,来最小化数据访问风险的不确定性。默认不授予任何访问信任,而是基于对访问程序的不断评估动态授予执行任务所需的最小特权,从而将资源限制为那些仅需要访问的资源。来源:NIST 800-207 Zero Trust ArchitectureNIST 定义了零信任架构(Zero Trust Architecture,ZTA)。认为零信任架构是基于零信任原则建立的企业网络安全架构,包含了组件、流程和访问
10、策略。旨在防止数据泄露和限制内部横向移动,是企业实现数据端到端安全访问的方法。内容来源:NIST 800-207 Zero Trust ArchitectureGartner 进一步发布了零信任网络访问(Zero Trust Network Access,ZTNA)建设指南。将零信任网络访问定义为是一种围绕应用程序或一组应用程序创建基于身份和上下文的逻辑访问边界的产品或服务。在零信任的网络访问中应用程序是隐藏的,不会被发现,并且通过信任代理对访问的客户资源进行限制。代理在允许访问或禁止网络中其他位置的横向移动之前,验证指定参与者的身份、上下文和策略的遵从性。这在公网可见性中隐藏应用程序资产,可
11、显著减少攻击面。在2020年的ZTNA的市场指南中,增加了用于应用程序访问的传统VPN技术,消除了以往允许员工和合作伙伴连接和协作所需要的过度信任。建议安全和风险管理的高级管理层使用ZTNA快速扩大远程访问,或作为安全访问服务边缘(Secure Access Service Edge,SASE)战略的一部分。内容来源:2020 Gartner Market Guide for Zero Trust Network Access综上,网络安全范畴里的“信任”等于“权限”,零信任的实质是通过在网络中消除未经验证的隐含信任构建安全的业务访问环境。“从不信任,始终验证”是零信任的核心思想,权限最小化是
12、基本原则,在不可信网络中构建安全系统是零信任的终极目标。图 1 零信任概念演进21.2 驱动因素在国家“新基建”政策的推动下,云计算、大数据、物联网、移动通信等新兴技术快速发展,互联网应用场景变多。千人千面的业务需求下,海量的人、设备、应用接入了互联网,用户类型、设备种类、应用端点越来越多。设备管理难度增加,访问关系变得极度复杂,各种身份的人、各种类型的设备、应用程序在不同环境下错综复杂的糅合在了一起。云计算颠覆了传统的边界防御架构。互联网技术发展使基于数据中心、云服务的数据共享成为企业战略新的业务范式,开放的应用和数据部署在本地及多云计算中心的虚拟机上,不再全部运行在企业自己的硬件设施上。用
13、户访问云计算中心开放的 IaaS,PaaS 或 SaaS 服务,业务数据从云延伸到端,使得边界难以划分,边界防御实施越来越难。因此每一个应用和数据的安全访问成为了企业关注的重点。图 2 边界防护安全模型数字化转型使业务的暴露面越来越大。数字化转型带来的是资源开放和共享,越来越多的企业应用部署到云端,企业数据通过云服务共享,资产暴露面变大,受攻击维度也就越多。外部严峻的网络威胁态势。随着业务数据含金量提高,黑客不再满足低效的网络层的流量劫持和 DDOS攻击,转而采用效力和隐蔽性更强,针对特定对象、长期、有计划、有组织的定向攻击方式。2018 年以来全球 APT 攻击持续高发,勒索事件高居不下,大
14、量的 APT 攻击利用电子邮件进入员工主机投毒、安装恶意代码、注入木马,通过反连、控制、加密等手段使该主机失陷。其攻击能力已超越了传统网络安全的防御能力,黑客可以很容易绕过网络访问策略进一步攻击应用程序基础结构。基于位置进行内网访问不再可信。访客、供应商、合作伙伴甚至企业自己的员工携带 BYOD 设备访问企业网络以完成必要的任务,使企业内网的风险持续升高。如,众所周知的棱镜门事件,2018 年的特斯拉生产系统机密数据泄露事件,2020 年的 Twitter 账号劫持事件,都有效说明“最坚固的堡垒总是从内部攻破的”,访问位置不能说明访问可信。企业内部,子网划分安全域的隔离方式不能满足细粒度业务访
15、问的安全需求。利用网络策略漏洞渗透到内网的恶意软件,通过对同网段的主机端口扫描在网内横向移动获取特权账号登陆凭证,提权后窃取敏感信息。3另外,对多个应用部署在同一物理机上的情况,黑客利用某个应用的 WEB 或数据库漏洞向系统植入恶意代码,会影响系统内其他业务的安全运行。因此,仅依据网段划分安全域的隔离方法不能有效抵御这类横向渗透攻击,需要更细粒度的隔离手段。内外威胁夹攻之下,2020 年的新冠疫情使远程办公、远程协作成为刚需。在远程访问连接的重压之下,传统的 VPN 不堪负重,且多业务场景中的细粒度访问需求无法满足,利用 VPN 漏洞的成功攻击层出不穷。在上述众多因素的重重重压下,“可信网络”
16、成为边界安全防御架构演进的重要瓶颈和障碍,“零信任”成为探索新基建网络安全建设的重要理念和实践。1.3 发展历程零信任的理念源于美国国防信息系统局(DISA)和国防部的一个称为“黑核”(BCORE)的企业安全战略,其目标是从边界安全转移向单个事务的安全。1.3.1 国际的发展历程2004 年,Jericho 论坛基于网络位置和单一信任局限性正式提出“消除边界”的思想;2010 年,Forrester 升华了“消除边界”的理念,正式提出 zero trust;2014 年,Google 在;login:杂志上陆续发布了 BeyondCorp 论文,全面介绍 BeyondCorp 的架构和谷歌从
17、2011 年至今的实施情况;2017 年 7 月,O Reilly 出版了 Zero Trust Networks;2018 年,Forrester 发布零信任拓展生态系统 Zero Trust eXtended(ZTX)研究报告;2019 年 9 月,NIST 发布 SP800-207 Zero Trust Architecture(草案);2020 年 5 月,CSA 发布了 Software Defined Perimeter(SDP)and Zero Trust;2020 年 7 月,Gartner 发布了 Market Guide for Zero Trust Network Acc
18、ess;2020 年 8 月,NIST 发布 SP800-207Zero Trust Architecture 正式版;2020 年 10 月,美国国防信息系统局发声全军向零信任架构演进。图 3 国际的发展历程41.3.2 国内的发展历程2018年9月,在第六届互联网安全大会(原中国互联网安全大会),中国安全厂家首次提出“安全从0开始”的主题,其第一层含义是“零信任”架构;2019 年7月,零信任安全技术-参考框架作为行业标准在 CCSA TC8 立项;2019 年 8 月,Zero Trust Networks一书,首次由奇安信身份安全实验室翻译为中文,在国内引进出版;2019年9月,工信部
19、公开发布指导意见 关于促进网络安全产业发展的指导意见(征求意见稿)中,将“零信任安全”列入需要“着力突破的网络安全关键技术”;2019 年 9 月,中国信通院发布中国网络安全产业白皮书(2019 年)中,首次将零信任安全技术和 5G、云安全等并列列为我国网络安全重点细分领域技术;2020 年 6 月,在中国产业互联网发展联盟标准专委会指导下,成立了“零信任产业标准工作组”,并于 8 月正式对外发布国内首个基于攻防实践总结的零信任安全白皮书零信任实战白皮书;2020年8月,中国信通院联合奇安信集团,在网络安全新技术和应用发展系列发布了 零信任技术 报告;2020 年 8 月,由奇安信牵头的信息安
20、全技术零信任参考体系架构作为国家标准在 WG4 立项,成为首个零信任安全国家标准;2020 年 9 月,由腾讯主导的“服务访问过程持续保护参考框架”国际标准成功立项,成为国际上首个零信任安全技术标准。图 4 国内的发展历程1.4 市场调研分析1.4.1 用户调研本次调研通过对用户零信任能力、价值、应用场景、技术成熟度、驱动因素等维度的了解反映了国内零信任网络安全的市场期望。用户覆盖了金融、消费互联网、能源、制造企业、交通运输、政府/公共事业单位、电信运营商、教育等领域,其中 1000 人以上的大型企业占 60%,中、小规模企业各占 20%左右。5根据统计数据分析,我们看到用户对运用零信任安全能
21、力解决企业数据中心远程访问、云计算服务访问、边缘计算、5G、新兴互联网等场景下的安全问题充满信心,远程访问和交付安全、安全合规、行为追踪和事件溯源是主要诉求,但很少人(约 4%)会认为它能完全替代边界防护。其中,80%的调研用户表示有零信任应用计划,其驱动因素包括有外来的互联网风险、业务发展及疫情影响。如图 5 所示,调研用户 24%来自金融领域,14%来自安全行业,消费/服务、互联网及能源行业用户各占 10%,电信、政府和制造业的用户各占 8%,交通行业用户占 4%,教育占 2%,其它行业 2%。图 5 调研用户行业分布 如图 6 所示,用户认为零信任在访问控制、动态防御和规避传统 VPN
22、漏洞方面会有明显增强。图 6 能力和价值6 图 7 安全诉求 图 8 构建计划1.4.2 国际厂商根据最新的Zero Trust eXtended Ecosystem Platform Providers报告,国际处于领导者地位的零信任安全厂商以美国居多,主要有:Akamai、Appgate、Cisco、PaloAlto Networks、Illumio、MobileIron。其中,Akamai 是全球最早最大的 CDN 服务提供商,零信任能力的代表产品有 ETP,EAA 及 Kona Site 如图 7 所,用户对零信任的安全诉求会比较集中在资源安全访问、安全合规和事件回溯 3 个方向。企业
23、对零信任架构建设计划的调研,如图 8 所示。7Defender。Illumio,是美国网络安全初创企业,零信任能力的代表产品为 Illumio Core,Illumio Edge。Cisco,是传统网络设备供应商,零信任产品为 Duo Beyond,Tetration,SD-Access。Appgate,是一家 20 余年致力于远程访问安全解决方案的供应商,零信任产品为基于软件定义的 Ap-pgate SDP。MobileIron 是移动 IT 解决方案厂商,零信任产品为 MobileIron Zero Trust Platform。其它,Okta 是出身于云计算却致力于为云访问接入提供身份认
24、证管理平台,在零信任领域处于卓越表现者地位,代表产品为 Okta Identity Cloud。CyberArk,是以色列一家特权管理软件厂家,2019 年 5 月收购身份安全的初创厂家 Idaptive,致力于打造以身份为中心的零信任的解决方案。Citrix,是一家虚拟化技术为主远程接入解决方案的供应商,2018 年以来其产品 VPN、虚拟化桌面陆续暴露出严重漏洞。2020 年该公司加入了 Google BeyondCorp 联盟,在 Citrix Workspace 交付的应用程序中嵌入 BeyondCorp 的访问控制和执行策略,旨在为其代理的应用提供零信任访问。1.4.3 国内厂商零信
25、任在国内公开提出是 2018 年的互联网安全大会,会议主题是“安全从 0 开始”,其含义之一是“零信任架构”,默认不相信任何人、任何设备,哪怕曾经有过授权。国内厂商零信任产品化的起步时间相对国外滞后并不太多,但国内云计算产业发展略微滞后,身份信任领域的厂商较少,是影响零信任应用成熟度的主要因素。本次报告中,我们从用户反馈、公开技术信息、产品资料、研发能力等维度,评估筛选出 6 家有较完善零信任安全技术能力和方案特点的厂商进行调研,分别是奇安信、深信服、新华三、竹云科技、数篷科技、中兴通讯。分别代表了国内的网络安全厂商,传统通信设备厂商,身份管理厂商及安全技术创新企业。奇安信和深信服为代表的网络
26、安全厂商,零信任理念核心是以身份认证为基础、安全访问控制为目标,结合既有安全组件和能力的优势,构造了各具优势特性的零信任安全解决方案。如,奇安信的特点在于“持续信任评估和动态访问控制”,而深信服的特点是“智能权限、极简运维”。新华三和中兴通迅作为传统的综合通信设备厂商,利用通信设备在 5G、云计算、运营商、工业互联等领域生态建设的优势拓展新的领域,开启零信任安全架构在不同场景下的落地实践。竹云科技为代表的身份管理和访问控制厂商,利用全面身份化、融合认证、特权管理的优势能力,打造了细粒度持续验证鉴权的零信任访问控制解决方案。数篷科技为代表的安全技术创新公司,则以虚拟化和云计算相关技术为着力点构建
27、了计算环境隔离为主的零信任解决方案。81.5 技术成熟度1.5.1 国际零信任技术成熟度据 Gartner Hype Cycle for Network Security,2020报告,零信任的技术成熟度正在接近泡沫破裂期的谷底。根据曲线,未来 1-2 年内将越过谷底的拐点,市场泡沫衰退之后,零信任相关技术的应用会趋于成熟,产品成熟度将进一步提高并步入稳定增长阶段。图 9 Gartner2020 网络安全技术成熟度曲线1.5.2 国内的零信任技术成熟度根据安全牛调研,国内用户 80%认为零信任还处于概念热度期,20%认为已进入了稳步爬升阶段。这与国内企业的互联网化状态几乎一致,反映的分别是传统
28、数字化转型企业和新兴互联网企业的安全现状。在另一份调研中,我们看到国内部分用户已开始了零信任的研究和实践。整体来看金融行业步伐较快,走在了整个行业的前面,主要表现为投融资、消费金融和保险。如,中国银行在 2018 年已启动零信任的研究;全球化金融科技企业 AmberGroup 已从实践步入了常态化应用阶段。其次,带有强互联网基因的腾讯科技在2016 年左右就开始通过 iOA 系统践行“访问权限最小化”原则。而数字化转型中的传统企业如信息化基建、交通行业、智能制造行业还多处于观望和初级起步阶段。9 图 10 国内零信任的技术成熟度1.6 标准化现状1.6.1 国际标准2019-2020 年,NI
29、ST 推出 2.0 版本 SP800-207零信任架构1.6.2 国内标准2019 年 7 月,行业标准零信任安全技术-参考框架在 CCSA TC8 立项2020 年 8 月,国家标准信息安全技术零信任参考体系架构在全国信息安全标准化技术委员会WG4 组立项1.7 总结根据国外发展历程可以看出,尽管零信任概念提出得很早,但演进周期较长。以 Google BeyondCorp 为代表的探索和实践有力推动了行业零信任理念的落地、标准化和产业化。产业的真正快速发展是在 2019 年NIST标准化组织发布 零信任架构 草案之后,该标准的发布同时也助推了美国国防部下一代安全架构的演进。根据国内厂家、联盟
30、组织、标准化方面的进展情况,可以看出零信任已经引起了国家相关部门和业界的高度重视,行业涌现出的新兴厂家也较多。网络安全是国家空间安全战略的重要组成部分,政策、标准化是企业安全构架部署的重要依据。国内零信任的标准化已在路上,行业监管要求、产品能力的第三方验证评估、行业互通还有待产业生态的驱动和完善。10 第二章 核心能力和技术实现2.1 零信任架构从国外到国内零信任的架构演进出多个版本。根据分析,架构核心思想一致,核心组件和支撑组件根据国内外市场安全产品的成熟度有一些区别。美国国家标准与技术研究院 NIST 发布的 SP800-207 零信任架构中的框架,分为 3 大核心组件和 8 大支撑组件。
31、如图 11 所示,核心组件包括策略分析引擎、策略管理器、策略执行点;支撑组件有 CDM 系统、身份安全基础设施、安全事件管理系统、威胁情报、行为日志、合规性要求、PKI 系统、数据访问策略八个组件。图 11 NIST 零信任架构国内以信通院为代表发布的 零信任技术白皮书 中的架构,更具国内特色:核心组件中的策略执行点(PEP)具体化为访问代理,支撑组件以身份安全基础设施为主,安全分析平台列为其他。访问代理可以有多种工作模式,使用反代模式可以隐藏访问客体的真实身份,代替客体与访问主体建立连接,访问主体的原始流量不需要进入企业内网。图 12 CAICT 零信任架构总体框图11在 NIST 下属的
32、NCCoE(国家网络安全卓越中心)的实践中,我们看到 NIST 的核心组件未变,8 大支撑系统替换成 4 个:数据安全、端点安全、身份与访问管理(IAM)、安全分析,使零信任系统构建更具可行性。图 13 NCCoE 正式版架构(2020 年 10 月发布)所以 NIST SP800-207 的架构并非放之四海而皆准,但这一对比也给了我们一些思考,架构在实践中应具有指导性并经得起检验。2.2 技术实现基于应用远程访问的业务特性决定了零信任网络访问本身就不是某个点或某个网络的安全防护,而是基于业务完整性的、跨网络连接的立体范畴的防护。这也决定了零信任的构建无法依赖某一种特定的技术实现,而是融合了网
33、络安全、认证、计算环境安全、加密、数据安全等技术构建的基于熵减原则的开放的安全系统。零信任理念提出后,在业界引起了极大的关注,出现了多种技术实现。其中,“SIM”(SDP,IAM,MSG)是零信任理念践行中具有影响力的 3 种技术。为保证业务完整性,还需要包含与传输过程、访问环境、资源管理相关的必要的支撑技术,具体体现为流量加密和认证、资产识别和威胁感知。我们将其与 SIM 技术一起,搭建了目前阶段零信任网络构建的基础技术,如图 15 所示。图 15 零信任网络构建的基础技术122.2.1 基于 SDP 的 ZTA 实现SDP 是 2014 年由 CSA 联盟提出的软件定义边界,是 ZTA 实
34、现的一种标准方法。它是一种基于身份验证和授权的网络访问控制架构,要求端点在获得受保护服务器的网络访问之前先进行身份验证,根据授权在请求系统和应用程序系统之间创建加密连接。SDP 架构包括 SDP 主机和控制器两部分,访问流程如图 16 所示。技术特点:采用控制面和数据面分离的模型,基于身份验证授权主体访问的资产范围。SDP 将应用与不安全的网络隔离开来,为应用程序所有者提供了边界的防护能力。在网络被访问之前,每个企业资产都会隐藏在远程访问网关设备后,用户必须向该设备提供身份验证的授权凭证,才能看到授权服务并提供访问。其优势具体体现在:通过控制面和数据面的分离,保护企业资产和基础设施不被黑客攻击
35、,减少攻击面 默认启用“deny-all”策略,对未授权用户隐藏所有资产,在允许访问资源之前必须进行身份验证 单包授权策略,提供细粒度的访问控制 提供一种基于安全架构的连接,在控制连接基础上还可以预先审查连接,如,从哪个设备连接到哪个服务、基础设施等 可追溯审查攻击过程,通过 SDP 对连接的集中控制可以改善合规的数据收集、报告和审核 增强 IT 系统操作敏捷性,使业务响应和安全需求变得更敏捷风险点:SDP 类似一个柔性的访问控制网关,访问一旦被授权,请求主体与被访问资源间建立直接链接,访问流量进入企业内网,随之也会给内网带来一定风险。因此,应用中需要考虑终端的访问是否安全及是否在安全的环境下
36、发起访问连接。另外,部署和建设中需要考虑单点故障,以免引起整个企业资源无法正常访问。如,最近谷歌的云访问控制器由于 ACL 策略配置故障引起洲际断网,在主要故障恢复后仍造成 VPN 用户长达 8 小时停运。图 16 软件定义边界132.2.2 增强身份治理的 ZTA 实现增强身份治理的 ZTA 是基于参与访问主体的身份创建访问策略。通常采用基于网络可访问的身份认证服务或系统,其网络层对所有访问用户是可见的,但企业资源的访问权限仅限于具有适当访问权限的主体。与传统 IAM 的区别在于:访问者本身的权限需结合使用的设备、资产和环境状态等因素计算,综合判断是否授予最终访问权限,其中每一个因素都可以直
37、接影响主体的信任分值甚至最终的授权。该方案在网络层连接上有个缺点,由于总是会有恶意行为攻击者试图进行网络层的侦察,或者有不可信的第三方从网络内部发起拒绝服务攻击,所以,基于该方案部署零信任的企业仍然需要在网络层采用相应的防御措施对这些行为进行监视和应对。图 17 增强身份治理2.2.3 基于微分段的 ZTA 实现微分段与网段的概念相似,是基于权限最小化的思想将安全域延伸到虚拟化部署环境中。采用虚拟化部署的方式将一个或一组资源放在隔离的空间中实施保护,核心能力是通过微分段将安全策略精细化的实施到具体的应用,避免东西向非必要和未经允许的横向流量。基于微分段技术的组件可以是传统的网络隔离设备,如交换
38、机、防火墙、网关设备,也可以是安全容器、安全沙箱等虚拟化技术。作用都可以实现应用程序间的防护,区别在于技术实现方式不同,前者是采用虚拟化和访问控制技术,将应用与周边的访问流量旁路到虚拟化安全组件,从而监管应用间的横向数据流动,与应用14程序独立部署。安全容器和沙箱采用微分段和虚拟化融合的内生安全技术,在计算环境层面上使操作系统或应用从宿主机中分离出来,使受保护应用和数据在一个相对独立且受控的系统内运行,多以虚拟机或容器的方式部署。根据形态不同,该安全组件可以是单个组件也可以是网关和 agent 组合的多个组件。前提是需要有一个基于身份治理的系统对这些组件进行管理、配置和策略下发。因此,微分段的
39、设备多应用在策略执行点上。优势在于:适用范围广,能在网络、终端、服务器上部署,实现不同安全域、服务间的隔离,用户可根据资源的划分由粗到细逐步细化。风险可能会存在于:黑客通过非隔离系统渗透后启动恶意软件对物理内存等硬件组件进行旁路攻击是导致隔离系统数据泄露和被盗的风险之一。图 18 微分段&安全沙箱2.2.4 重要的支撑技术(1)流量加密和认证数据在网络传输过程中的机密性、完整性和可用性是网络安全的基础要素,没有流量安全就不能构建零信任网络。因此,端到端数据面连接的认证和加密对零信任是非常必要的。通过认证和加密提供的数据完整性、不被篡改和抗抵赖特性可最大化提高数据流动过程中的信任指数。策略执行点
40、与访问主体和客体间如何建立安全的数据面连接,网关模式还是代理模式、采用隧道还是传输层加密、哪种认证和加密算法、密钥如何保护或交换,根据应用场景和安全需要有不同组合方案。密码技术能为零信任可信能力构建提供多种方案。15(2)资产识别资产识别的目的是通过资产量化为用户建立可信资产清单,是权限最小化策略执行的基础。企业资产数量庞大并且变更频繁,硬件增加或销毁,服务器上下线,证书失效或更换对零信任策略的有效执行、安全运维、业务运营都有直接影响。资产识别自动化与零信任策略管理的有机融合是保障零信任架构落地的重要手段。(3)威胁感知威胁感知系统类似零信任系统的神经元,它利用采集、监测、比对、分析等技术手段
41、对访问过程中各环节的安全风险进行检测和识别,量化个人行为、网络环境、资产的风险变化。控制组件依据威胁输入信号、设置的策略、授权计算模型自动计算访问权限,适时调整授权的决策,同时将决策执行精确到具体的人、设备和某一个/部分业务系 统,保证企业资产的暴露面始终处于相对安全的访问环境。没有感知系统的情报输入,零信任系统感应不到企业面临的环境威胁,动态策略执行缺少依据,就无法完成企业安全决策。威胁感知系统的建设要根据企业资产不同维度风险的权重具体定制。实现上可以采用企业现有的事件分析、威胁检测、态势感知类的设备或系统,将风险结果作为输入信号反馈给零信任评估引擎,系统按照预置的策略和计算模型执行自动化动
42、态控制,持续保证授权决策在可控的风险范围。与威胁感知系统组合联动,能帮助企业实现更高效的零信任安全,是零信任架构安全能力的重要体现。图 19 零信任的感知系统162.3 能力模型零信任提出的初衷是解决互联网环境下端到端连接广泛应用场景中,传统边界防护架构中默认信任引入的安全隐患恶意代码可以无障碍的穿透防火墙通过横向移动向企业内网渗透。根据技术实现,可以看出多种技术手段和管理方法组合共同构建了零信任的价值,如图 14 所示:特权访问控制、减少资产暴露面、避免恶意代码横向移动、数据安全访问是零信任的核心价值。零信任是一个开放的系统,它可以随云、大、物、移等新兴互联网技术的发展持续演进,这也是零信任
43、理念非常重要的隐性价值。图 14 零信任能力模型2.4 总结通过以上零信任架构和技术实现可以看出,构建零信任网络的核心组件和支撑组件都可以因地制宜,但身份验证是所有零信任实践的基础。另一方面,访问策略决策点前置,其 安全能力和信任策略的可用性、有效性、可靠性将会成为新挑战。17 第三章 典型应用场景在新基建引领的数字化转型的互联网业务场景中,零信任的应用具有普适性。根据调研,零信任的典型应用中,远程办公和云计算应用的占比相对其它场景有明显增加。图 20 典型应用场景我们总结了以下几个典型应用进行说明:云计算环境的安全访问 员工远程办公 企业分支机构或异构组织间远程协同 企业内部资源特权访问3.
44、1 云计算应用云计算赋能企业创新,业务云化迁移成为企业重要的商业战略,企业业务不再部署在自己拥有的服务器上,资产的风险和暴露面逐渐变大。首先,云计算环境下基础资源共享,不同商家的业务在共享的虚拟化系统上部署,但底层就可能与不安全的应用部署在同一台物理服务器上,恶意代码很容易通过横向移动进入相邻的业务系统中。其次,业务在云端共享后访问主体的类别变得复杂,根据2020 年云安全报告的调查,未经授权的云访问成为云平台的 4 大威胁之一。不同身份的访问用户,商家不同角色的管理者,云平台的配置人员,系统间开放的 API 都需要独立的访问权限,权限划分需要更加细致和安全。18零信任能很好帮助企业构建云业务
45、的安全交付网络,是云计算的原生安全解决方案。如下图所示,在云服务环境下,用户访问请求不会直接连接到云业务的目标服务器,而是在云数据中心边界,采用 CDN 网络构建的分发节点代理目标服务器与请求用户建立连接,由云端访问控制器对访问请求进行验证、最小化授权,保证访问用户只能看到授权范围的服务页面,最后由缓存服务器响应用户的访问请求。在 CDN 分发网络中,最小访问权限原则能保证每一个访问权限范围与其角色匹配,减少资源过度开放,减少攻击面,减少交叉配置错误导致服务异常。在云数据中心,应用部署时利用虚拟化和微隔离技术,保证应用在一个相对安全的计算环境中运行,阻止不同应用之间的数据流动,避免恶意代码在东
46、西向横向渗透。图 21 云计算的零信任模型3.2 远程办公应用 远程办公是零信任架构标准化的应用场景。2020 年全球疫情驱动远程办公常态化,企业不同分支的员工协同工作,需要远程访问集团内部的办公系统、资源服务器,需要企业通过互联网开放更多的敏感资源和应用,以完成企业的商业战略。这种应用场景中,员工的访问行为会遵循公司专属的办公行为曲线,访问模型简单,访问策略相对固定,19零信任实现比较容易。(一)安全识别用户。包括用户的组织名称、角色、权限,不同部门不同岗位角色不同,权限要因人而异。不管内网还是外网访问,每个员工都要配发一套完成工作的最小访问权限,同时根据业务的不同敏感级别考虑采用多因素对身
47、份有效性持续验证。(二)安全识别设备。可通过设备是配发的、BYOD 的、移动的及操作系统是否符合要求等识别设备安全性,确保员工正在使用安全的设备访问企业资源。(三)识别访问环境因素。办公场景中访问行为会遵循某一时空特性,登录的位置和访问时间是判断企业员工是否正常访问的重要依据。图 22 远程办公的零信任框图BeyondCorp 的实践就是基于受信任的设备和用户而非网络本身构建的移动办公应用的零信任安全架构,不需再通过传统的 VPN 连接进入企业网络。3.3 远程会议/协同应用远程协同与远程办公的访问模型相似,但相比远程办公的应用在身份验证和权限分配上有自己特殊性。如线上学术交流、培训,上下游厂
48、商的临时协同,其特性表现在访问主体的身份、角色、所用设备、访问权限、甚至接入人数都不固定,没有特定的规律。这类临时的、动态的、时效特性强的场景无法采用静态策略进行验证授权,临时身份的验证,临时设备的管理,临时权限的发放和及时收回,留存数据清理都是远程协同访问场景中安全管理的挑战。对于临时和动态接入的场景,不能完全依赖静态策略自动授权,可以通过递进验证的零信任策略,如自动准授权+人工验证组合。20(一)环境特征可作为静态策略进行准授权,包括:有效工作时间、人员地域特征、行业特征、设备系统属性等。如,外包协同时可以将接入设备类型、系统类型作为接入安全的过滤条件,对非手机终端,非android 系统
49、,或者必需在安全隔离域内发起的访问连接进行准授权;学术交流会议场景下,时间、位置、职称特征更具代表性。(二)对给了准授权的访问人群再进行人工筛查,对无法枚举的个体特征进行二次身份识别,如单位名称,人工评估与访问资源和会议的匹配度,从而拒绝不符合条件的访问请求。(三)最后,可结合外部威胁等级和企业原有的风险情报系统与图 23 的零信任基础设施融合组成风险反馈的一体化动态访问控制系统。图 23 递进验证授权的访问流程3.4 特权访问应用特权管理的安全与企业生存息息相关,远程访问需求越多,特权资产的开放度也会越高。如,运维人员掌管着公司信息化系统配置特权,高管掌管着公司的机密文件的密钥权限,研发的配
50、置管理员掌管着公司代码库的更新和维护。这些权限遭到攻击或被提权,都会给企业造成严重的经济损失甚至是致命的影响。特权访问(Privilege Access Management,PAM)的应用场景是对公司内部重要/核心资源的访问管理,敏感度越高的资源对访问主体身份验证的要求就越高。传统的特权访问使用共享的特权账号访问,在访问者切换到该特权账号后,就会丢失访问主体原始的身份信息,无法追溯访问者的真实身份。零信任的特权保护,首先收回所有特权应用的访问密码放在 PAM 的密码保险箱内,再将公司重要/核心资源的访问验证交给 PAM。PAM 密码保险箱中的密码会定期轮换,以保证对认证通过的访问请求采用一次
51、一密的方式授予特权访问凭证。PAM 通过“无密码化”确保没有人能掌握特权应用的密码,避免特权滥用;对利用 APT 攻击提权的行为21能起到很好的防御;同时经 PAM 执行的所有访问都将被记录和审计,有效提高整体零信任架构的安全性。特权访问作为 IAM 系统的增强,是“永不信任,持续验证”原则的一种体现。图 24 PAM 特权的访问流程22 第四章 企业零信任能力构建指南万物互联的安全态势下,零信任架构的优势相对传统边界防护是显而易见的,并且是经过国内外互联网用户实践,被产业验证过的安全理念,它将引领企业的下一代网络安全架构。4.1 如何评估企业需要零信任安全没有银弹,任何一种架构都没有办法解决
52、所有的网络安全问题。建设前,用户需要先评估企业是否需要零信任的安全架构。首先,零信任建设必需要与企业的数字化转型保持同步。顺应企业发展的需求会事半功倍。关注企业的新型业务,会更容易发现传统架构安全能力的瓶颈。对传统安全防御的痛点尝试运用“零信任”的理念。比如,在远程办公的应用场景中,寻求比 VPN 更灵活和细致的替代方案。其次,正确识别企业内部的业务场景,保证安全建设能更好服务于企业业务。安全需求属于企业分支互联、远程办公、远程协同、互联网用户远程访问、特权访问、移动终端管控、固定资产的管理等。分析具体场景中的网络风险带给企业的影响,对必需消除或抑制的风险,评估是否可以通过“拒绝所有,允许例外
53、”方式消除或控制。再次,基于业务识别外部威胁。结合行业属性,按业务先主次、数据价值高低、应用场景范围分别识别数据暴露面,包括业务部署方式、访问用户规模、访问方式、数据敏感程度、被攻击概率及严重级别等。评估外部威胁是否可以通过“拒绝所有,允许例外”的方式消除或控制。企业依据以上在战略、业务、风险三个方面的评估,可以规划符合自已数字化转型的零信任体系建设规划,包括架构设计、覆盖范围、建设方案、建设周期、分步实施计划等。4.2 遵循的基本原则架构设计中,以下零信任的基本原则需要遵循:原则一从不信任,始终验证默认对所有互联网的访问请求或连接执行 deny,拒绝所有、允许例外。对从内网发起资源访问的请求
54、也要求按零信任的原则强认证。原则二 以可验证的信任作为授权凭证通过增强身份验证、多因素验证技术构建访问主体的“信任”策略。不能再单一依赖人的身份信息,还要考虑到设备信任、应用信任、流量信任、环境安全因素。原则三 以访问权限最小化原则实施访问策略以数据为中心,对被访问资源实施细粒度权限划分和管控策略,权限的分配以完成工作所需的最小集为原则,避免不必要的资源暴露。如,只授权应用层访问权限,而不授权底层网络的访问权。23原则四 以安全的方式发起业务访问请求业务安全访问是零信任理念的隐式原则。以安全的方式发起访问请求,并采用数据加密的方法保证端到端数据在不同网络传输过程中不被窃听、篡改,是保障数据机密
55、性、完整性和可用性的重要手段。原则五 辅助威胁检测和识别技术动态调整访问策略通过侦听、检测、情报比对、行为分析等技术手段持续监测访问过程中是否存在可疑活动并评估安全风险,给访问控制引擎提供决策依据,动态调整访问权限。4.3 架构设计的建议不同行业面临的风险不同,安全防御能力的要求不相同,相同行业具体的业务模式有差别,企业内部的运营流程更是千差万别。对零信任架构设计,我们给出以下建议供参考:(1)架构先行,做好全局规划无论是全新架构建设还是旧系统迁移,都需要做好全局规划,包括未来需要支持业务的安全能力,不能头痛医头,脚痛医脚。(2)架构设计务必要结合企业的业务模式和发展战略因地制宜依据自身业务的
56、评估,遵循零信任的基本原则,参考行业经验案例,设计符合企业发展战略的零信任架构。架构设计优先考虑核心组件,再考虑支撑系统。核心组件需要区别选用代理模式还是网关模式。面向消费类用户的服务,访问请求量大,群体复杂,请求主体的信任特征不明显,建议采用反向代理的方式代理访问请求和响应,避免访问流量直接进入目标服务器。对远程办公这类访问主体可验证的企业用户,访问的业务除 WEB 服务访问外,可能还需要考虑 PC 客户端应用和主机的远程访问,这种情况采用网关模式部署会更方便,经过强认证后将数据转发到内网与目标服务器直接通信。云或企业数据中心内部,业务部署需要考虑东西流量的隔离和可视化。如,采用微分段技术对
57、虚拟化或容器进行安全隔离和流量控制,对东西方向的横向渗透攻击进行监管和控制。中心与边缘设备或服务的连接,需要考虑南北流量的传输安全,采用满足业务安全级别的认证方式、加密算法或隧道模式保证通信传输安全。移动或非授信设备应用场景中,数据的安全可考虑基于计算环境安全的沙盒技术,保护敏感应用或数据在非授信环境下的安全和合规使用。威胁的维度决定了支撑系统的复杂度。访问负载大小决定了系统性能的要求。24(3)架构设计要遵循经济学原理安全是业务发展的保障,任何网络安全的建设都要遵循经济学原理,安全投入和企业效益要务必平衡。企业可以参考业务的覆盖范围和支出成本评估自建或者选择零信任的 SaaS 服务来构建企业
58、的零信任安全能力。4.4 旧系统迁移的建议传统企业数字化转型是企业发展的必经过程。这些企业多数传统的边界防御设施也还有效,老旧资产沉重,同时新业务要持续增长,网络安全架构迁移会显得更加复杂。根据调研,主要会有两个方面问题:(1)旧业务如何平滑迁移;(2)旧架构能力如何与新架构能力融合。首先,传统安全架构的基础设施也是新架构能力必要的支撑组件,如身份认证系统,检测/防御系统、日志审计系统等,与传统安全系统的有机融合能最大化网络整体的安全能力。其次,罗马不是一天建成的,同样零信任架构的能力也不是一蹴而就的,策略和与业务在运行中需要经过磨合、调整才能同步演进。具体建议包括:(1)可以考虑以合理的成本
59、采用新旧系统双模架构运行,如构建零信任核心组件,同时保持原有安全架构和新的安全架构;(2)关注新业务场景,从新业务的安全需求着手。新的应用采用新的安全架构,或寻找最佳时机将某个业务迁移到新安全架构上试运行;(3)对旧的业务或应用,需要 case by case 逐个施加到零信任的安全能力上;(4)在过渡期设定试运行时间,在该时间段确保旧业务可通过新的安全架构访问,同时在此过程中识别和修复不符合迁移要求的业务;(5)确定业务在新架构的策略下稳定运行后,再考虑将原有的安全设备作为零信任能力增强的支撑组件融合到新架构上,逐步完善形成可共同演进的有机整体。4.5 新系统的建设建议对于新兴互联网企业,传
60、统防护设施不多,陈旧资产包袱不那么重,业务权限梳理清晰后,可以考虑直接过渡到零信任架构。在新赛道上安全保障比传统企业的步伐走的快些,能有效支撑企业业务快速发展甚至弯道超车。以下几点建议,供新系统建设的企业用户参考:(1)遵循零信任原则,根据业务场景做好全局安全规划,划分好业务安全级别,分步骤落实。(2)核心组件选择有几以下个要点:技术先进性。选择具有代表性的先进技术,保持技术领先性,这一点对企业新系统建设很重要,如系25统支持基于属性的访问控制(Attribute-Based Access Control,ABAC),能支持与主流的 SSO,CAS,Oauth2 等第三方身份认证系统对接。核心
61、组件的最小业务容量。控制面和数据面需要分别评估,控制面参考访问请求的用户数量,数据面参考共享业务或应用的数据流量。根据业务增长系数留有一定比例的冗余,以保证潜在的或未来一段时间内业务扩容的需求。抗DDOS攻击的能力。访问决策点前置后会直接接收访问请求流量,控制系统抗D能力是需要考虑的,该指标需结合业务受攻击的概率和行业内相似访问规模企业受网络攻击的经验值。核心组件的可靠性。可靠性的评估对企业零信任体系建设非常重要。零信任架构与传统防御架构一点重要区别是:传统的安全设备可以旁路,但零信任架构需要与业务强融合,要将业务流量串联到系统里,其可靠性会直接影响业务的正常运营,需要考虑避免出现单点故障。产
62、品结构上控制面和数据面是否分离是企业选择产品时需要考虑的。部署的方式的考虑。选择基于云服务的零信任架构还是自建基础设施,要根据业务的分布方式和部署方式决定。(3)支撑组件的选择参考企业业务的暴露面和外部的攻击风险综合评估。(4)最后,需要注意的是零信任的架构是一组安全产品有机组合的系统,不是靠某一款设备实现的。安全产品的开放性决定了与核心组件及未来规划的支撑组件融合的有效性。26 第五章 行业应用实践在行业的应用和实践方面,国外 Google BeyondCorp 研究论文、NIST NCCoE 发布的实现零信任架构,都有实践经验的分享。调研中,我们也收集了国内企业在零信任应用中的实践案例,并
63、做了分析,供用户参考。5.1 银行远程办公的零信任应用5.1.1 案例背景某银行行内主要是以办公大楼内部办公为主,员工通过内网访问日常工作所需的业务应用。为满足员工外出办公的需要,之前主要的业务流程是:用户申请 VPN+云桌面的权限,在审核通过后,管理员为员工开通权限范围内的应用;远程访问时,员工采用账号密码方式登录 SSL VPN 客户端及云桌面拨入行内办公网络,访问行内办公系统。随着该行业务发展以及数字化转型的需要,远程办公已经成了行内不可缺少的办公手段,并日渐成为该行常态化的办公模式。同时,经过新冠肺炎事件影响,使得行内有些业务必须对外开放远程访问。为了统筹考虑业务本身发展需求以及类似于
64、此类疫情事件影响,该行着手远程办公整体规划设计保证远程访问办公应用、业务应用、运维资源的安全性。图 25 客户业务现状其安全挑战体现在:(1)用户远程访问使用的设备存在安全隐患员工使用的终端除了企业统一派发的终端还包括私有终端,安全状态不同,存在远控软件、恶意应用、病毒木马、多人围观等风险,给内网业务带来了极大的安全隐患。(2)VPN 和云桌面自身存在安全漏洞VPN 和云桌面产品漏洞层出不穷。尤其是 VPN 产品,攻击者利用 VPN 漏洞极易绕过 VPN 用户验证,直接进入 VPN 后台将 VPN 作为渗透内网的跳板,进行肆意横向移动。27(3)静态授权机制无法响应风险当前的网络接入都是预授权
65、机制,在应用访问过程中发生用户使用非常规的设备、地理位置、访问频次、访问时段进行异常操作、违规操作、越权访问、非授权访问等行为时,无法及时阻断访问降低风险。5.1.2 解决方案为应对上述安全挑战,同时满足客户远程访问的要求,基于“从不信任、始终验证”的零信任理念,构建了“以身份为基石、业务安全访问、持续信任评估和动态访问控制”的核心能力。从设备、用户多个方面出发,采用立体化的设备可信检查、自适应的智能用户身份认证、细粒度的动态访问控制、可视化的访问统计溯源、模型化的访问行为分析,为客户提供按需、动态的可信访问,最终实现访问过程中用户的安全接入及数据安全访问。同时,结合客户现有安全管控的能力,与
66、客户现有的网络安全分析系统进行安全风险事件联动进一步提供动态访问控制能力。图 26 远程访问的零信任解决方案如图 26 所示,可信终端通过 agent 对访问请求终端全方面安全扫描(设备信息、病毒扫描、漏洞扫描、补丁检测、运行软件)和持续监测,不满足检测要求的终端禁止访问。可信应用代理 TAP 将云平台中数千个桌面云彻底“隐身”,不对外暴露桌面云的 IP、端口。同时,TAP 采用 SPA 单包授权技术,默认情况下全端口全隐身(连不上、ping 不通),只对合法用户合规终端开放网络端口。访问策略上,遵循最小权限原则,基于场景化应用对业务人员进行细粒度的访问控制。基于角色、访问上下文、访问者的信任
67、等级、实时风险事件动态制定访问策略。通过自适应多因子认证能力,根据人员、终端、环境、接入网络等因素动态调整认证策略,兼顾安全与易用,访问过程中,根据风险情况,持续验证用户身份是否可信。最后,通过在零信任产品内置的 WAF 能力,有效避免漏洞注入、溢出攻击等威胁,内置 RASP,可抵御基于传统签名方式无法有效保护的未知攻击,同时具备基于自学习的进程白名单和驱动级文件防篡改能力。285.1.3 方案价值(1)将业务隐藏在 TAP 之后、收缩暴露面,减少了攻击目标和漏洞利用;(2)按需授权、细粒度访问控制,避免不必要的资源暴露;(3)根据环境变化 持续验证访问用户身份是否可信,避免账号被提权;(4)
68、与现有的网络安全管理融合形成联动,提升了动态访问控制能力;(5)通过可信终端检查确保终端所处的环境安全;(6)通过应用安全手段进行主机安全加固,防止设备被打穿。5.1.4 案例点评案例来源:奇安信科技集团该应用场景是在远程访问常态化背景下帮助用户迈出零信任第一步的有力抓手。采用乐高化的场景扩展和能力叠加设计理念,聚焦了业务安全需求和端到端风险,立足零信任架构的“以身份为基石、业务安全访问、持续信任评估、动态访问控制”四大关键能力,顺应数字化转型时代的远程访问需求:确保任意人员、任意终端、从任意时间、地点、场景访问任意业务。为企业提供更安全、更易用的远程访问体验,满足企业日益复杂的远程访问业务需
69、求,能有效助力企业数字化业务开展,同时对云计算、大数据中心、物联网等新兴互联网应用场景也具备普适性。5.2 制造企业权限管控的零信任应用5.2.1 案例背景国内某双创试点高科技生产制造企业,在数字化转型的过程中,也逐渐暴露出了信息安全建设方面的薄弱环节,包括:(1)业务快速发展,信息化部门迅速扩张,部门几乎全员超级权限,缺少有效权限控制机制,存在敏感数据泄密风险;(2)权限维护机制流程繁琐,外包、实习等人员为了方便办公,可通过获取高权限账号并共享等方式访问关键业务,造成权限逃逸;(3)缺少对数据泄露、权限滥用等行为的追溯及治理,企业迫切需要对数据资产安全全面稽查;(4)缺少对终端环境访问、敏感
70、协议(如 RDP、SSH 等)访问的防护机制,需要制定有效的安全基线来保障数据访问安全。5.2.2 解决方案29(1)针对信息化部门权限放大带来的安全风险,提供精细化的授权模型,通过自动化的权限梳理工具,实现访问权限的流程化自动梳理,帮助客户在最短的时间,实现每个用户的最小权限化;同时也帮客户解决了原计划落地零信任架构时,碰到的梳理暴露面太难的首要障碍,有效缩小内网暴露面;(2)权限逃逸的问题上,通过权限规范化机制,在保障为每个用户的申请完成工作的最小访问权限同时对账号制定相应的安全基线,对权限的授予、使用、回收进行全生命周期的管理,执行账号权限逃逸稽查策略。在鉴权控制中,对账号登陆使用的设备
71、信息、位置范围、访问频次、时间等制订安全基线检测策略,设置异地登录限制或者进行二次认证等;在权限管理中,识别分析账号权限过大、访问空闲占比异常、转岗异动等行为,通过自动回收+决策建议辅助权限回收进行管理,如冷权限定期回收、异常权限及时分析提醒等。(3)数字安全方面提供轻量级的数据防泄漏能力,如 Web 水印、越权防护等;(4)在数据访问安全方面,零信任提供的安全基线工具,可基于终端环境、敏感协议访问等进行多维的评估。制订应用级的准入基线,可针对不同敏感粒度的应用,制定多维且不同安全级别要求的安全策略,达到持续评估,实时调整,实现最小可信;(5)方案能够灵活拓展应用到如移动办公、内外网统一访问控
72、制等场景。图 27 权限管控的零信任应用5.2.3 用户价值(1)帮助企业为内部应用建立了规范化的权限访问机制。该案例中采用了权限基线梳理的工具,通过学习采集、最小化权限收敛、自助申请的方式比较好的将权限进行了最小化收缩,又不至于影响到业务人员的使用;(2)实现了数据访问安全。为不同敏感度业务提供不同准入和安全控制策略,保护特权数据,有效减少高敏数据非法访问;(3)该安全架构与企业业务扩展可以同步演进,能有效支撑企业数字化转型过程中业务的高速发展。305.2.4 案例点评案例来源:深信服科技有限公司大型企业在数字化建设的过程中,内网的权限管理成为越来越突出的问题,特权账号、超级账号、临时账号给
73、企业的管理代来了极大的挑战。该项目发现了大型企业在数字化建设中的痛点,帮助用户实现权限自动梳理和权限最小化,缩小了访问权限,减少业务暴露面,同时有效规避了权限滥用问题。5.3 流动数据管控的零信任应用5.3.1 案例背景国内某大型金融券商,在全国各地都设有分支网点,雇用大量外包员工,工作涉及到跨组织机构,跨地域的人员协同。该场景下如何信任建立,数据资产如何保护成为企业关心的重要问题。另一方面,因业务需要,业务人员需要携带终端设备为客户采集个人隐私信息开办账户。采集过程中终端设备暴露于各种环境中,面临物理风险、人为过失、网络入侵等诸多高危风险。综合来看,企业数据面临着跨组织、跨终端、跨地域的流动
74、需求,数据已经不仅仅存在于企业内部,而是广泛地存在于整个网络空间里,流动数据保护成为难点。5.3.2 解决方案上述场景涉及 2 个安全诉求,一是外包人员需使用企业提供的或 BYOD 终端访问企业内网,企业敏感数据会随之留存在个人终端上不能及时清除,外包人员不在企业管辖范围,无法保证数据不被非法利用;二是员工外场采集的个人敏感信息留存在移动终端上容易通过网络或物理接口外发到不应出现的场合。下述方案使用了终端安全空间的技术,将企业的网络边界延伸到终端和用户,实现了对终端敏感数据的精确访问控制和有效隔离管控。终端安全空间的方案中包括服务端和客户端两部分。企业管理者可以根据业务需要在服务器端创建、编辑
75、一个新的终端安全工作空间,例如案例中的外包员工工作空间、数据采集工作空间;再通过软件定义的方式对该工作空间可访问的应用范围进行配置;然后,将外包员工加入创建的工作空间。外包员工在个人设备上下载终端安全空间的客户端,使用客户端程序登录,即会在终端系统上自动创建出属于该工作空间的安全计算环境。客户端验证用户身份并对终端环境进行检查,登录成功后外包员工即可访问属于该工作空间的特定企业资源。在安全空间访问的企业资源或数据下载后,会存储在该终端的安全空间里,与终端原生的操作环境隔离。工作完成后企业只需关闭账号,员工终端上的安全计算环境随即销毁,无需担忧数据泄露风险。31 图 28 流动数据管控的零信任应
76、用同样,针对数据采集的场景,在终端设备上安装安全工作空间的客户端,员工通过强认证进入安全工作空间后采集数据,这样数据在采集时便落入安全空间内,该安全空间与操作系统深度隔离,安全空间内的数据无法通过微信、邮件、U盘、复制粘贴等任何方式转移出去,保证数据不泄露,使客户信息得到全生命周期的保护。5.3.3 用户价值(1)通过终端安全空间为企业解决了使用非授信网络环境或使用非授信设备访问内网时,数据留存到不可管控终端上的风险问题,避免用户的敏感信息在动态流转中被非法利用;(2)解决了企业现场移动终端数据采集时数据安全管控问题,避免了流动数据泄露。5.3.4 案例点评案例来源:数篷科技(深圳)有限公司该
77、方案基于新一代沙箱的微隔离技术,集成强认证、高性能网络隧道、软件定义边界、AI 安全策略引擎等核心技术,将企业的零信任的网络边界延伸到终端和用户。支持员工随时随地安全访问企业内网,保证数据“可以用,但不可以拿”,在任意时间点可将数据回收,达到“阅后即焚”的效果。满足了企业终端应用的零信任访问安全需求,在此基础上还帮助企业实现了数据流的安全管控和流动设备的数据管控,有效地控制数据的流向和使用范围。32 第六章 建设的挑战尽管零信任在行业的实践已经开始,但大部分企业在应用落地中仍存在诸多困难。根据用户方的调研,挑战来源有以下几个方面:图 29 应用挑战以下从政策环境、安全效益、系统融合、实施过程、
78、运维管理几方面结合厂商的调研针对建设挑战分别进行分析。6.1 政策环境国外零信任架构对国内企业实践的指导性不强,国内各厂商零信任架构又过于个性化,零信任的规划安全还缺少标准化支撑,企业实施缺少依据。安全牛:2019 年开始,零信任安全已经引起了国家相关部门和业界的高度重视。9 月,工信部公开征求对关于促进网络安全产业发展的指导意见(征求意见稿)的意见,零信任安全首次被列入网络安全需要突破的关键技术;同月,中国信息通信研究院发布中国网络安全产业白皮书(2019年),首次将零信任安全技术和 5G、云安全等并列列为我国网络安全重点细分领域技术。2020 年 8 月,全国信息安全标准化技术委员会组织的
79、国家标准信息安全技术零信任参考体系架构,已经正式获得立项。6.2 安全效益根据调研,部分用户认为零信任体系建设周期长、开发成本高,系统投产后防御能力带来的效益和新架构上线后引入的风险不清晰,其效益无法量化评估,建设是否能得到公司领导层的有力支持是个挑战。33安全牛:安全没有一劳永逸,零信任架构也不是一蹴而就的,试图从点解决面会给后续带来一系列的兼容和改造成本。所以,零信任架构的构建推荐做好全局解决方案,整体规划,然后从小规模起步按基础能力、增强能力、全面转型三个阶段分步实施。在方案实施中根据用户体验调整适配,能有效规避风险,运营和决策层的压力也会比较小。6.3 系统融合单个产品不能形成整体的零
80、信任方案,国内不同厂家的产品之间缺少开放接口和互联互通的标准,系统的有效融合是个挑战?安全牛:在调研过程中,我们看到了有部分零信任厂商开放了自己产品的零信任安全框架,通过 SDK和 API 开放了部分零信任核心能力,通过对接测试推进与支撑系统的互联互通,促进行业内的深度融合。6.4 实施过程实施中,陈旧资产识别和合理的权限划分是很多传统企业数字化转型的难点。专家建议:访问权限最小化划分原则需要从企业的业务和安全需求出发,确定访问主体应该有哪些资源访问权限:(1)首先用户访问可细分为应用级访问、功能级访问、数据级访问,然后基于场景化和业务需求构建静态权限基线,同时结合主体属性构建动态权限策略;(
81、2)针对访问客体,则可将业务划分为不同的安全等级,安全级别高的业务采用多因素强认证,安全级别低的业务身份验证要求低;(3)针对访问主体,将访问者的身份属性、设备属性和上下文通过综合分析和计算,评估其信任等级;(4)最后,通过 ABAC 的访问控制方式配置主体信任等于或高于客体信任等级时,才允许访问,否则拒绝访问。安全牛:为更好实现零信任架构落地,缩短企业的建设周期,提高运营效率,企业需要依赖智能辅助工具帮助企业进行资产和业务分类、分级,如业务流程学习、网络资产发现等;其次,零信任与业务强耦合的特性,相比传统安全架构的建设在实施中需要更多公司业务部门的支持。因此,实施前务必要得到公司高层、决策者
82、的支持,通过相关沟通机制取得业务相关人员的信任和理解。6.5 运维管理大多企业安全运维能力有限,零信任需要与业务强耦合,因此安全人员即要具备一定水平的技术能力,又要熟悉业务逻辑。因此,需要依赖厂商积极的配合,才能使零信任架构为企业运营发挥更好的价值。安全牛:新业务上线、旧业务更新、下线、注消等使资产状态变更频繁,是企业普遍存在的现象,同样设备也会有新增或销毁需求带来启用/停用的变化,这类资产生命周期的管理与零信任的策略有直接的关系。良好的运维体验在这方面能有效提高安全管理人员的工作效率,帮企业减少运维成本。因此,资产状态的管理、安全事件管理、甚至政策环境与零信任策略管理按合理的逻辑建立关联关系
83、,并能自动化执行对零信任网络的有效运维很重要。34 第七章 演进趋势和未来展望零信任是随互联网广泛应用而衍生的具备可持续演进能力的安全框架。它增强了传统 VPN 技术的应用访问能力,消除了员工和合作伙伴之间连接和协作的过度信任。根据调研,有 28%国内用户认为零信任会影响传统的 VPN 产品。44%用户认为会替代传统的用户身份的访问控制,41%用户认为会与传统的安全防护并存,15%用户认为零信任与未来 SASE 会很好融合。图 30 零信任演进的调研在应用上,自动化、智能化技术能更好提升零信任的用户体验毋庸置疑。因此,更好的利用人工智能、大数据建构提升零信任能力将会成为发展趋势之一。在方案上,
84、对接入容量和带宽需求波动较大的用户,基于云的零信任访问方案可以快速构建企业安全能力,降低安全部署成本,对用户来讲也是非常经济的一种选择。数字业务转型是个全球性话题,边云协同发展是必然趋势,零信任已将安全延伸到端,必将成为未来端边管云融合/协同应用中端到端连接的新安全赛道。35 相关参考文献NIST.SP.800-207-Zero Trust Architecture SDP_Specification_1.0Software-Defined-Perimeter-and-Zero-TrustThe Forrester Wave :Zero Trust eXtended Ecosystem Pla
85、tform Providers,Q3 20202020 Gartner Market Guide for Zero Trust Network Access谷歌 BeyondCorp 研究论文合集零信任网络:在不可信网络中构建安全系统36 附:行业代表性零信任安全厂商A 奇安信科技集团A.1 产品简介云计算和大数据时代,信息技术得到了快速发展,但同时也给信息安全带来了新挑战:企业内部外部威胁愈演愈烈,导致传统的边界安全架构正在失效。奇安信零信任身份安全解决方案,通过“以身份为基石、业务安全访问、持续信任评估和动态访问控制”这四大关键能力,应用身份管理与访问控制、访问代理、端口隐藏等技术,基于对
86、网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限进行调整,最终在访问主体和访问客体之间建立一种动态的信任关系。A.2 系统架构 图 31 奇安信零信任架构模型A.3 系统特色奇安信零信任身份安全解决方案,通过全面化的身份认证能力、动态化的用户授权、传输数据的加密与攻击防护能力,智能化的访问行为数据分析能力,全方位、全时地保障企业数据访问的安全性;以自动化的方式实现统一的身份管理、用户认证与授权能力,减少了企业 IT 人员工作量及人为出错几率,大大降低了安全运维成本;同时解决方案为用户提供了可随时随地访
87、问业务数据能力,同时通过终端环境自动感知、一站式门户访问、单点登录,减少用户访问认证的繁琐操作,实现无缝式的访问体验,有效提高用户工作效率,有效提升了体验与安全的平衡。37(1)以身份为基石零信任的本质是以身份为基石进行动态访问控制,全面身份化是实现零信任的前提和基石。基于全面身份化,为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程。(2)业务安全访问在零信任架构下,所有的业务访问请求(包括用户对业务应用的访问、应用 API 之间的接口调用访问等等)都应该被认证、授权和加密。(3)持续信任评估零信任架构认为一次性的身份认证无法确保身份的持续合法性,即便是采用了强度较高
88、的多因子认证,也需要通过度量访问主体的风险,持续进行信任评估。例如,主体的信任评估可以依据采用的认证手段、设备的健康度、应用程序是否企业分发、主体的访问行为、操作习惯等等;环境的信任评估则可能包括访问时间、来源 IP 地址、来源地理位置、访问频度、设备相似性等各种时空因素。(4)动态访问控制在零信任架构下,主体的访问权限不是静态的,而是根据主体属性、客体属性、环境属性和持续的信任评估结果进行动态计算和判定。传统的访问控制机制是宏观的二值逻辑,大多基于静态的授权规则、黑白名单等技术手段进行一次性的评估。零信任架构下的访问控制基于持续度量、自动适应的思想,是一种动态微观判定逻辑。图 32 奇安信零
89、信任身份安全解决方案典型架构基于以上四大核心特性,奇安信零信任身份安全解决方案进一步将安全理念落地为具体的安全能力,为企业提供构建零信任安全体系的基础产品组件和整体解决方案,助力企业迁移到零信任安全架构。38A.4 方案价值(1)革新安全架构,树立行业标杆奇安信零信任身份安全解决方案,采用领先的零信任安全架构,重构企业信息安全边界,从根源上解决了数据访问的安全性问题,帮助客户树立行业实践标杆。(2)提升安全能力,应对实时风险解决方案通过全面化的身份认证能力、动态化的用户授权、传输数据的加密与攻击防护能力,智能化的环境安全状态、访问行为数据分析能力,全方位、全时地保障企业数据访问的安全性。(3)
90、实现自动管理,降低运维成本以自动化的方式实现统一的身份管理、用户认证与授权能力,有效减少了企业 IT 人员工作量及人为出错几率,大大降低了安全运维成本。(4)提高工作效率,提升用户体验为用户提供了随时随地的访问企业内部数据能力,同时通过终端安全自动感知、一站式门户访问、单点登录,减少用户访问认证的繁琐操作,实现无缝式的访问体验,有效提高用户工作效率。目前,解决方案覆盖了政企行业用户的典型应用场景,如远程访问场景、数据交换场景和服务网格场景等;在大型部委、金融、央企等头部行业,奇安信零信任身份安全解决方案已经全面落地。A.5 典型组网框图 图 33 典型组网框图39A.6 综合能力说明 奇安信集
91、团在大数据与安全智能技术、终端安全防护技术、安全攻防与对抗技术、安全运营与应急响应等领域,取得了多项技术成果,产品和服务覆盖 90%以上的中央政府部门、中央企业和大型银行等行业和领域。奇安信在零信任安全发展方向做出的领先投入,填补了国内网络安全在该领域的空白,契合国家对于新基建的政策要求。奇安信集团作为国内先进的零信任架构的践行者,拥有专注“零信任身份安全架构”研究的专业实验室奇安信身份安全实验室,致力于解决国内“企业物理边界正在瓦解、传统边界防护措施正在失效”的新一代网络安全问题,并推出“以身份为基石、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信零信任身份安全解决方案。该团队结合
92、行业现状,大力投入对零信任安全架构的研究和产品标准化,牵头发起了首个国家标准信息安全技术零信任参考体系架构的制定工作,并积极推动“零信任身份安全架构”在业界的落地实践。目前,该奇安信零信任安全解决方案已经在在政府、部委、金融、能源等行业进行广泛落地实施,为客户的大数据中心、核心业务资产等进行保护,支撑整体安全架构的变革,得到市场、业界的高度认可。B 深信服科技有限公司B.1 产品简介深信服作为国内较早探索零信任应用的企业之一,致力于零信任安全解决方案和产品的研究。深信服零信任安全方案基于“以身份为中心,构建可信访问、智能权限、极简运维”的理念,通过网络隐身、动态自适应认证、全周期终端环境检测、
93、动态业务准入动态访问控制、多源信任评估等核心能力,帮助用户实现流量身份化、权限智能化、访问控制动态化、运维管理极简化的新一代网络安全架构转型。B.2 系统架构 图 34 深信服零信任系统架构40该架构分为控制器、安全代理网关、客户端软件三大主要组件,也可与公司的统一身份管理平台、安全感知平台、终端检测与响应平台等产品联动形成组合型方案。其中核心组件 aTrust 产品采用了 SDP 控制面与数据面分离的架构,既增强了架构的安全性,又提供了可扩展性,对于多云、多数据中心场景可实现分布式部署和安全代理网关的灵活扩展。终端侧由 aTrust 客户端(仅隧道应用必须)进行数据引流、加密传输和终端环境检
94、测与准入。网关侧,由 aTrust 安全代理网关实现代理访问、票据检查、数据采集、策略动作执行等。控制中心实现策略管理、信任评估、权限管理、自适应认证等功能。B.3 系统特色(1)更安全的身份安全认证能力。深信服零信任安全解决方案以身份为中心,结合多因素身份认证,具备高强度身份认证机制,同时也可与第三方统一身份认证平台平滑对接,默认支持 OAuth2、SAML、CAS 认证协议,支持与 AD/LDAP 服务器进行认证对接。采用动态自适应身份认证,实现认证安全增强。根据零信任的基础“先认证、再连接”使得业务服务器隐藏,保障了用户接入的安全性。其次,根据一些机制设置动态认证能力,如当用户访问使用弱
95、密码时需进行增强认证;当用户在异常时间段登录时需进行增强认证;当用户在异地登录时,必须进行增强认证。在登录时使用智能图形校验码防爆破,同名用户连续登陆错误锁定用户,同IP用户连续登陆错误锁定IP地址。同时,实现安全与体验的最佳平衡,如用户在授信的终端上登录可以免辅助认证、采用客户端一键登录,不需要再输入访问业务地址和账号密码。更全面、更动态的认证机制,对接入的用户进行身份验证。(2)动态可信访问保护核心业务对终端环境实施全周期地实时动态检测,包括用户登陆时、登录后访问业务期间;还可根据业务的重要程度制定高要求的终端准入规则,如访问官网等非敏感业务不需要安装杀毒软件,而访问财务系统必须安装EDR
96、 软件并且规则库更新到最新版本。另外可设置黑白名单,只允许终端上特定的进程接入访问业务,对终端进行一系列的动态控制,达到高安全终端接入访问。结合用户实时的身份信息、终端环境信息和应用敏感度,能实现对不同安全要求的应用,以及不同范围的用户进行不同安全力度的应用准入,实现动态访问控制。通过第二代 SPA 机制实现网络隐身,最大程度缩小暴露面,只有特定携带安全票据的客户端才能进行访问请求连接,可以避免对外暴露端口,防止任何人都可以发起访问链接,进而避免黑客的扫描探测、漏洞利用攻击等,降低入侵风险。支持 B/S 业务系统自动增加水印,水印内容可以包括用户名称、时间,用于防止截屏、拍照带来的泄密,并起到
97、威慑效果,提升员工保密意识。支持记录用户的访问日志,并支持通过 Syslog 日志服务器对接给审计服务器,实现安全审计。(3)细粒度的智能权限降低异常行为风险对业务进行智能权限梳理,确保最小化权限的同时,有效减少用户原本权限梳理的管理成本,并设置基于41业务系统细粒度准入规则,不同业务制定不同的准入基线,可以灵活地将业务与终端环境、用户行为、认证方式等进行配置,满足企业的安全诉求。当终端环境、身份、行为发生变化时可进行动态访问权限控制,可通过收缩或阻断用户的访问权限,降低被攻击入侵的风险,助力企业从区域边界粗粒度访问控制走向的细粒度访问权限控制,实现最小暴露面。通过 UEBA、提供 API 与
98、第三方安全能力集成,实现多源信任评估,更准确地识别异常行为和未知威胁,保护业务系统,形成统一的安全防护体系。针对异常的行为可以增加二次认证,实现灰度处置,不再只是直接阻断或者记录行为放行的粗暴方式。支持智能权限基线,对于远程办公人员众多的企业,利用权限基线工具,能够帮助 IT 运维人员更快速地梳理清楚各角色的访问权限,确保提供员工最小化权限的同时,也能有效减少IT 人员权限梳理的管理成本,不必过多进行重复繁琐的运维工作,为企业减轻压力。(4)极简的运维体验降低管理工作量在终端使用体验升级上,深信服零信任安全解决方案使用户访问 B/S 业务可以免除客户端登录,通过浏览器即可访问业务,提升使用体验
99、;业务从互联网收缩到内网后不改变用户原有使用习惯,不改变原有访问域名和访问体验,内外网访问一致体验,无论在何地办公,都能获得一致的访问体验,对于用户而言易用性高、上手快,同时也大幅降低 IT 人员在用户终端侧的管理和运维压力,也更易于整套远程办公平台的推广。针对WEB 应用技术改良、隧道应用技术改良,传输技术优化,保障更优的用户访问体验,减少更多的终端运维工作。同时,在权限管理上提供智能权限工具,如用户自助申请权限,大幅降低 IT 管理人员账号开通、权限审批等繁琐工作投入。提供终端自助工具对当前终端的基本环境进行扫描和一键修复,降低运维人员在终端的运维工作,提升运维体验。B.4 典型组网框图
100、图 35 深信服信任典型组网框图42B.5 综合能力说明深信服 2018 年即开始零信任的研究及布局,早期便孵化了 ISSP 业务,同步也在研究布局 ZTN、CASB 业务领域。深信服零信任业务研发团队骨干成员,来自于移动办公安全领域、终端数据安全领域、身份安全领域架构师、资深规划、开发人员。零信任整体解决方案,由多产品线共同投入资源,如终端安全部门、态势感知部门、身份安全部门、行为安全部门等,形成以 aTrust 产品为核心的零信任解决方案。深信服零信任方案及相关产品组件面向广泛客户、行业设计,力求构建尽可能通用化、标准化的零信任方案,并以此来降低各行业客户建设、实践零信任的难度。深信服零信
101、任方案按照分场景、分阶段建设的落地指导思路,已在金融、运营商、能源、教育、制造业、政府、医疗等多个行业落地了大量案例。深信服零信任产品的价值主张为“以身份为中心,构建可信访问、智能权限、极简运维的零信任安全架构”。产品研发设计理念围绕着“可成长、易落地、轻而美”的设计理念,帮助客户构建零信任安全防护体系。C 新华三集团C.1 产品简介新华三在 2018 年下半年就启动了零信任领域方案和产品的研发。以主动安全理念为指导,构建主动安全体系为目标,具体方案以用户需求为主,落地以质量管控为首,以最先进的 IPD 开发流程为支撑,为用户打造适合企业特点的零信任解决方案。新华三零信任安全解决方案基于持续性
102、分析检测、动态授权、最小化原则零信任安全的核心思想,利用自身在云、网络、安全、大数据、AI 方面的技术积累,开启了零信任安全架构在不同场景下的落地实践。C.2 系统架构 图 36 新华三系统架构43新华三零信任安全方案主要由三个部分组成:身份和权限系统、安全统一管理系统、可信业务控制系统。新华三可以为客户自研的提供身份和权限系统,同时可以通过改造客户已有的 LDAP、4A 系统来满足零信任建设的需求。安全统一管理系统是零信任的大脑。信任中心通过采集设备的环境信息,设备的日志信息,用户访问应用的行为日志信息等、通过大数据、AI 的技术手段,综合判定用户访问特定应用或业务资源的权限,并给出安全性评
103、分,作为策略系统是否建立用户与资源访问连接的依据。可信业务控制系统属于零信任的信息中枢。可信业务控制包含策略执行点和策略引擎,策略执行点负责完成应用的代理、策略的执行;策略引擎包含用户的认证、权限的检验。可信业务控制通过和身份权限系统、安全统一管理系统一起实现用户访问应用通路的建立或阻断。C.3 平台特色新华三零信任安全解决方案的核心优势在于以身份安全为基础构建可信网络,并辅以 AI 能力实现动态授权,时刻监测异常行为。同时,以攻防为视角,提升用户全方位的融合安全防护能力,做到安全问题的及时发现和及时处置,与整体安全防护体系形成统一策略联动。新华三也在零信任多场景应用方面进行了积极的探索,目前
104、新华三零信任安全方案支持数据中心场景、远程办公场景、智慧园区场景和云场景。C.4 典型组网框图 图 37 新华三典型组网框图C.5 综合能力说明为适应网络安全形势的变化,新华三集团依托完整的数字基础设施能力,云计算、大数据及 AI 的能力,以及创新开放的生态建设,构建了”主动发现、预知未来、协同防御、智能进化”的主动安全防护体系,实现44了”全栈感知”、”意图分析”和”使能驱动”。基于主动安全的理念,新华三集团已在零信任安全、5G 安全、物联/工控安全、多媒体内容安全、领域全面布局,展示出新华三的持续创新能力。目前,新华三在政府、金融、运营商、教育等诸多行业积累了丰富的应用实践成果,为客户提供
105、了多维度安全能力交付和等保合规安全服务,助力保障数字经济发展。D 深圳竹云科技有限公司D.1 产品简介竹云零信任安全访问平台将人、设备、服务、应用等不同类别的实体抽象为统一身份,实现全面身份化。并在身份统一自动化管理基础上,实现对风险动态发现和全面鉴权,从而实现风险度量化和授权动态完成。产品包含用户身份全生命周期管理、认证管理、权限管理、终端融合安全、可信环境感知服务、可信接入代理、业务审批服务、业务审计服务,该体系可以综合调度安全体系资源,并实现主动实时安全预警和防护。D.2 系统架构通过竹云零信任安全访问平台,以现代 IAM 技术打造零信任的全信任链条安全体系,并构建零信任智能决策中心,实
106、现数字身份全面化、业务访问安全化、信任评估持久化、访问控制动态化。图 38 竹云零信任安全访问平台系统框图45D.3 平台特色(1)现代 IAM 服务现代身份与访问控制管理(简称“IAM”)服务是将设备、人、应用等全面数字身份化,围绕身份、权限、环境、活动等关键数据进行管理与治理的方式,确保正确的身份、在正确的访问环境下、基于正当的理由访问正确的资源。(2)自适应风险识别服务通过自适应风险识别机制,对用户、设备、应用、流量进行持续、实时、全面的信任评估,对风险事件进行计算,并基于该计算模型主动收集相关数据进行建模分析,实时告知企业访问控制、身份、权限存在的潜在风险,真正意义实现事前智能风险防范
107、。(3)融合认证服务融合认证服务基于 PAM(Pluggable Authentication Module)插入式认证技术,认证服务即插即用,旨在为企业动态访问控制提供认证支撑,可根据不同的业务、风险等场景智能调度认证方式。(4)统一权限服务统一权限服务聚焦信息系统权限资源集中管控和统一鉴权。一方面提供信息系统静态业务权限的集中授权和鉴权管控能力,支持上百种差异化权限模型,能够快速实现企业内各类异构系统的权限整合,另一方面对零信任体系中的资源访问行为提供动态鉴权能力,持续评估当前访问行为的风险变化情况并动态调整访问者的访问权限。最终在一个一体化平台内解决信息系统权限“开通难、查询难、回收难、
108、管理难、建设难、动态风险管控难”六难问题,保障企业业务的安全访问。(5)安全监控大屏内置风险监控大屏,基于UEBA、用户画像技术,打造千人千面的监控模型,并以图形化实时展示风险态势,帮助企业实时掌握当前安全态势,为企业安全运营和安全决策提供客观依据。(6)安全接入网关安全接入网关接管包括 PC、浏览器、C/S 程序、服务器、移动设备等各类终端所有受保护的流量,对外隐藏应用和资源的访问方式,实现对流量加解密与解析,通过决策管理引擎的评估与可信代理控制服务,实现身份验证和鉴权并取得访问策略,按需分配资源并授予执行任务所需的最小权限。(7)终端安全代理终端安全代理将访问者通过终端访问应用和资源的流量
109、导向安全接入网关,建立可信访问连接,提供可信终端设备管理、终端设备的用户身份认证、多因素认证、本地凭证与令牌校验等服务,同时作为策略执行点执行控制中心下发策略,实现终端的可信访问。46D.4 典型组网框图 图 39 竹云典型组网框图D.5 综合能力说明竹云专注于零信任、身份安全与访问控制管理(IAM)以及云应用安全领域,完全自主可控的国产化技术。国内率先将 IAM 理念和方案技术产品推行落地的中国国家高新技术企业。具有全栈的 IAM 产品线,从 PC 端、移动端、互联网到云端,从 2E(Employees)到 2B(Business Partners)到 2C(Customers)到 2IoT
110、,平台产品具备很强易用性、兼容性、扩展性、可靠性,产品架构支持线下私有化、线上公云、线上专属云、混合云,多种选择,满足不同的业务场景客户需求。承担国家级平台建设,包括:国务院国资委、国家发改委、国家信息中心、信用中国、国家卫健委、生态环境部、国家市场监督管理总局、中国气象局、国家药品监督管理局、国家信息中心等国家部委以及众多政务领域项目。央企总部市场份额已超过 30%,中石化集团、中核建集团、中国五矿集团、兵器装备集团、中国中铁集团、中信集团、中检集团、三峡集团、国投集团、国药集团、中冶集团、华侨城集团、东风集团、中海油、东方电气、东方航空、南方航空等近 30 家央企。2020 年竹云“基于零
111、信任现代 IAM 技术的智慧城市安全管控平台”入选工信部智慧城市安全领域示范项目、竹云“基于安全大数据和零信任的工业互联网安全防护平台”入选工信部工业互联网安全领域项目。2016 年中石化替换 IBM,并以特大型企业统一身份治理方案获得中央企业网络安全与工业互联网十佳解决方案第一名,以及金融科技安全以及全球身份管理创新服务等行业众多重要奖项。是华为在全球 IAM 领域的供应商、战略合作伙伴,完成智慧城市以及一带一路国家项目建设,是华为安全联盟核心成员,牵头智慧城市IAM标准建设。承担国务院国资委在线监管平台统一用户与权限管理模块标准建设。CSA 大中华区 IAM 工作组组长单位,牵头制定国内
112、IAM 标准规范及技术白皮书。连续 2 年(2019、2020)上榜安全牛中国网络安全 100 强信息科技企业。47E 数篷科技(深圳)有限公司E.1 产品简介DataCloak 零信任终端安全工作空间(DACS)是业内领先的零信任安全解决方案。DACS 采用轻量可信计算、软件定义网络边界,以及 AI 技术,为企业打造软件定义的安全工作空间,在安全、效率、成本中取得极佳的平衡,确保企业数据安全的同时,可以有效降低部署的复杂度,降低企业的总体拥有成本,提升办公效率和用户体验。DACS 将安全防护边界从网络延伸到终端和用户,实现对敏感数据的精确访问控制及有效隔离管控,帮助企业一步提升到符合零信任架
113、构标准的最高等级零信任数据安全架构。E.2 系统架构 图 40 数篷 DACS 系统框架(1)终端管理层 终端沙盒模块。该模块运行于终端设备上,提供企业可自主管控的数据安全计算环境,它能保证数据应用在正常可用的情况下,数据无法逃逸出数据安全计算环境;同时,在终端安全计算环境内的所有数据计算过程被完全监控与审计。所有数据在沙盒环境内被高强度加密。终端网络边界管理 该模块运行于终端设备上,将终端沙盒模块内部与企业内网连通。它支持使用广域公共互联网作为承载网,提供安全计算环境到企业内网(端到端)之间的加密链路。同时,它可以管控各安全计算环境的网络可达范围,保障不同安全级别的数据安全计算环境可达的网络
114、区域符合企业安全策略要求。48(2)网络接入层该模块部署于企业内网入口处,负责与终端网络边界管理模块对接,提供企业内网对终端安全计算环境的接入功能,是端到端的加密链路进入企业内网的入口。同时,基于链路对端的终端安全计算环境的上下文信息,该模块可依据安全策略决策结果,对该链路限制可达网络范围,保障数据安全计算域边界的落地管控,实现零信任网关功能。(3)安全管理层该模块层是一系列平台后端核心功能模块,保障提供高效的安全服务,支撑整个平台的正常运转,包含零信任策略决策中心功能。该模块层包括:配置管理、账户管理、认证管理、权限管理、密钥管理、数据分析、加密网盘等。以图形化管理模式提供一系列应用支撑整个
115、平台的管理运营。E.3 系统特色(1)终端安全计算环境隔离DataCloak零信任终端安全工作空间(DACS)在终端运行客户端程序,创建企业自主管控的安全计算环境,在安全环境内企业数据业务进行正常的数据计算。安全环境内的数据无法通过任何手段逃逸出该环境,安全环境内的所有数据计算活动均被完整监控,计算活动可以进行事中及事后审计。DACS 保障环境内的一切活动均符合企业安全预期。而且,每个终端设备上根据业务需要可以同时创建多个企业环境,如:开发环境、财务环境、人力资源 HR 环境、企业外包环境等。(2)软件定义网络边界数据安全计算域的管理员在管理后端可以对该安全计算域可达的网络范围进行配置,如对I
116、P端口的方式、网段以及域名的方式进行配置。配置完毕后,各个终端上对应安全计算环境内的应用程序网络访问行为将符合上述网络边界定义的意图。一般情况下,只有在个人环境内,用户可以访问公共互联网,而在个人环境内,用户被禁止访问存储敏感数据的企业内部网络。通过采用软件定义的网络边界,企业敏感数据以自然方式落地存储于终端上的企业环境,而不是存储于个人环境,从而形成自然隔离。与此类同,企业内部的不同安全等级的数据安全计算域之间的数据流动也符合信息流安全要求。(3)终端安全持续验证DACS 实时监控数据安全计算域内的各种数据计算活动,同时支持管理员自定义各种类型的告警策略规则,以及智能发现异常。DACS 能够
117、对于各类疑似安全事件进行告警,并且支持与企业已有的告警流程进行对接。告警策略可根据企业需求制定,例如:暴力破解告警、高危程序运行告警、数据窃取企图告警、异地登录告警、非正常时间活动告警等。结合 AI 技术,DACS 还可以根据事件序列进行事件背后的意图分析。(4)AI 驱动自适应安全基于上述灵活细粒度的管控手段,DACS 可以获取到深度关键数据用于支持态势分析,如数据安全计算域49之间的东西向流量、安全计算环境内的数据计算细节等。这些高质量的数据对自适应安全策略的构建和自适应安全闭环的形成具有极高的价值。结合独特的 AI 引擎,DACS 对从状态信息采集监控到的安全事件进行分析处理,再更进一步
118、完成自主学习,最终形成自适应的主动免疫系统,智能地适应企业业务场景,随业务态势改变安全策略,主动式地发现问题,修复问题,驱动安全流程,形成整个安全管控的闭环。(5)强大的智能运营能力DACS 作为业内领先的零信任产品,其鲁棒性具有显著优势,可有效降低企业迁移成本,完成方案过渡,在过渡期可与传统架构有机融合。而且,为了应对千变万化的互联网环境和网络架构,数篷科技专门为管理后台建设了一套可视化的一键智能运营系统,可以合理高效智能地控制和响应风险变化,这也是零信任产品的硬核实力之一。E.4 典型组网框图 图 41 数篷科技零信任典型组网图E.5 综合能力说明(1)企业服务框架围绕公司产品和解决方案,
119、数篷服务团队提供售前、售中、售后、定制开发等完整服务,主要服务内容如下:信息安全系统咨询与测试服务50 信息安全系统集成与实施交付服务 信息安全系统软件开发服务 信息安全系统维护服务 信息安全运营与支持服务 信息安全行业扩展与培训服务 产品售后保障与支持服务 企业服务行业目前,我们的产品与解决方案已经在多个行业的若干应用场景中得到应用和验证。主要行业包括:银行与保险行业房地产与中介行业政府智能单位与军工单位游戏开发行业软件开发行业硬件制造与机器人行业医药化工行业旅游与餐饮行业 已经覆盖的应用场景包括:源码与机要资产保护跨区域远程协同办公数据安全采集与应用运维系统加固与优化呼叫中心防隐私泄露外包
120、服务与安全管控(3)企业服务网络目前数篷基于以北上广为中心,并向四周进行辐射的企业战略格局,建设了以深圳为主要研发基地,集合上海,北京等大城市作为产品销售与技术支持的服务网点,可以快速响应在中东部地区的客户需求。同时,我们采用灵活动态的人员组织架构,将技术人员进行资源优化配置,根据项目需要来适应和平衡地区客户需求的差异,为客户提供高效与便捷的专业技能服务。F 中兴通讯股份有限公司F.1 产品简介中兴通讯在 2017 年开始研究零信任安全技术,在 2018 年基于 FlashGate(闪门)创新技术启动零信任安全平台的研发工作。中兴通讯零信任安全平台面向云网融合和行业应用场景,基于“安全平面”的
121、新理念和“软件定义安全”的新型防御体系,采用三点一面的架构,由安全控制器、安全分析器、安全执行器组成,以资产为安全新边界,实现了网络和资源的全面数字化、风险可度量、授权动态化和管理自动化,构建可信网络,并基于动态化授权机制、动态防御机制打造的自适应安全服务。51F.2 系统架构中兴通讯提出零信任安全解决方案,其核心是中兴零信任安全平台。图 42 中兴零信任系统架构零信任安全平台采用“三点一面”的网络安全模型,旨在构建灵活、动态、可扩展的新架构,支持健壮、有序的安全网络。三点:根据网络安全功能的不同特性和角色,以及控制转发分离的思想,将网络安全功能分为安全控制器、安全分析器和安全执行器三个角色,
122、其中:安全控制器:安全策略集中管控、编排、协同控制单元,实现资产管理和以资产为中心确定安全策略,是全网安全控制中枢,实现端到端安全策略的自动下发,安全资源的动态调度,灵活组合以满足不同业务的需求。安全分析器:安全威胁、异常流量感知和分析单元,收集网络的安全事件,感知、实现全网安全事件集中处理,发现和定位各种攻击来源,并上报给控制器,通过策略联动,实现端到端的闭环控制。安全执行器:安全策略执行单元,在控制器的统一调度下,执行具体的安全功能,如vFW、vSSL等。在安全执行器中,还有一类比较特殊的执行单元,安全加速器,是安全功能硬件加速单元,如加解密加速卡、智能数据转发网卡等。通过三点,构成稳定的
123、安全铁三角,分工协作,完成一个特定、完整的安全功能。由于采用了转控分离的理念,并且引入安全分析器,形成闭环控制,提高系统的扩展性和灵活性,同时能够增强的准确性和及时响应性。一面:即安全平面,基于安全视角定义安全视图,按照安全策略实现有序的业务分割和管控,将散布在网络中的安全功能进行抽象,从资产价值、信任关系、业务权限等安全属性进行安全考量。在此基础之上进行自顶向下的网络连通性构造和网络安全设计,包括安全域的划分、网络连接的构建、服务的访问控制等。通过安全平面的抽象,以及安全定义网络的技术,不但可以使访问关系有序化,安全策略得到简化,同时也使得网络具备相应的内生安全防护能力。通过三点模型提供特定
124、的网络安全功能,同时作为网络安全平面的元素,以三点模型组建安全平面,从而由点及面,形成具有持续扩展能力的安全平面,从而构建一套以资产为中心,由安全策略控制、安全服务编排、安全功能执行、安全态势感知组成的零信任安全体系。F.3 系统特色中兴通讯结合自身对网络安全理解和积累,参考业界的研究,给出了对零信任安全的技术解读,提出了面52向资产的零信任安全的理念:“以资产为中心,按需最小授权,持续安全评估,动态访问控制”;以指导零信任安全解决方案和产品的研发,旨在为企业网络的复杂场景提供确定的网络安全服务。图 43 零信任安全技术特征相对于业界普遍提出的以“身份”为中心,我们提出以“资产”为中心,这里资
125、产除了通常意义的用户、设备等比较具体的资产以外,还包含更为广泛的资源,如切片、安全域、连接、数据等,其目的把复杂的系统进行分解,从而以资产为中心构建零信任安全,面向资产的零信任安全,首先采用化繁为简、化整为零的方式,将系统合理划分或抽象为资产,以资产为粒度,定义资产的属性和安全策略,对资产的行为进行管理和控制,打造零信任资产。然后在系统层面以零信任资产为元素,面向这个网络,进行统一管理和整体协作,筑造零信任安全平面,从而构建针对复杂系统的零信任安全体系,实现端到端的安全防护。同时方案具备足够的扩展性,满足分步部署、逐步建设的要求,并且具备不断演进的能力。F.4 综合能力说明中兴通讯是全球领先的
126、综合通信解决方案提供商之一,为全球 140 余个国家和地区的 500 多家电信运营商提供高性价比的创新技术与产品解决方案,并坚持以市场为驱动的研发模式进行自主创新,在安全领域重点关注 5G 端到端安全、云计算安全、云网融合安全和工业互联网安全,并不断拓展新的领域。在安全架构层面,持续加强创新思想、创新技术的研究,基于安全属性的全新安全设计理念和架构,实现安全与网络同行的设计模式,采用了“基于安全平面设计网络”的安全伴生思路,将安全设计融入到网络体系结构和运行流程中。在系统平台层面,对安全功能进行虚拟化和服务化重构,构建电信级的高速安全处理转发平台和软件定义安全资源池,创新型设计了面向电信云网的安全与网络融合编排体系,提出安全即服务的安全模型,对安全功能进行编排和调度,实现按需部署的业务链。在产品层面,基于安全平面设计网络的思路以及系统平台,提出三点一面的内生安全架构,并基于该架构构建零信任产品,实现动态、隐匿网络模型,按需构造隐藏的且只允许合法的用户以最小权限访问的网络。中兴通讯实施“以人为本”的人才战略,建立了一套引进、培训、使用、激励全球人才的机制,建立了专业化的安全人才队伍,为企业研发和在安全领域拓展提供了强大后盾。