《京东&Gartner:2023京东零信任安全建设实践白皮书(33页).pdf》由会员分享,可在线阅读,更多相关《京东&Gartner:2023京东零信任安全建设实践白皮书(33页).pdf(33页珍藏版)》请在三个皮匠报告上搜索。
1、京东零信任安全建设实践白皮书实现京东供应链生态安全防护核心五要素第1期2 26 33京东零信任安全建设实践白皮书Gartner的研究:7个有效的零信任实施步骤网络访问关于京东2京东零信任安全建设实践白皮书实现京东供应链生态安全防护核心五要素前言数字经济是继农业经济、工业经济之上诞生的新兴经济模式,2021年我国发布“十四五规划”加快数字化发展,强调了数字化转型的战略高度,企业数字化转型政策集中出台并在各产业取得显著效果。京东集团通过聚合商品供应链、服务供应链、物流供应链和数智供应链形成“数智化社会供应链”效应,以数据资源为关键生产要素,驱动数智化社会供应链业务,推动赋能实体经济,创造更大的社会
2、价值。京东集团在数字化演进的过程中秉承敏捷、高效的原则,逐步从“边界防护”的网络安全防护理念转向基于零信任治理架构,在保护供应链各类资产安全的基础上,安全能力不仅主动与大数据、人工智能、区块链、云计算等新兴技术深度融合,更能按照发展的需求精准投入,及时有效地应对多变的全球环境与市场需求。企业为应对面临的数据安全和隐私保护挑战,在业务打造一套健全的安全防护体系过程中通常会遇到安全风险在哪里、安全风险如何治理、治理效果如何评估、安全建设优先级如何建立四大难题。京东零信任框架能够有效应对企业数字化转型过程中的安全难题。为了帮助用户深入了解零信任技术在京东的发展与应用场景,帮助组织和企业更好地构建基于
3、零信任的安全防护体系,京东对企业数字化、零信任模型、安全框架等实现技术进行了分析研究,撰写本白皮书,旨在通过京东零信任安全的实践经验,为数字化企业构建企业安全能力提供参考,帮助降低安全部署成本,提升数据安全治理效果,落实国家安全法律法规中企业在安全方面需履行的相关义务。本白皮书由京东集团撰写,特别感谢业界专家们对编制工作提供的指导与支持。由于撰写时间有限,本白皮书内容难免存在疏漏,不足之处恳请各位专家、同仁批评指正。白皮书编制组特别鸣谢(按姓氏拼音排序):陈志杰、邓二平、丁丽萍、弓峰敏、何艺、killer、kkqq、lake2、陆宝华、Lenx Wei、聂君、TK、Tony Lee、谭晓生、王
4、伟alter7、吴云坤、叶晓虎、周群专家顾问:何成锋、耿志峰、李欣、陶大程、郑瑜、刘明浩、熊壮、宋留坡、冯娜、何淇丹、尹承、沈华林、田欣、陈玉杰、高春燕、段阳阳参编人员:秦波、姚兴、赵波、徐看、李然、王红飞、张靖雯、蒋学、刘宇、罗达、李龙、张寒晖、王崇茗、杜凡、鲁一锋、杜航、杨鹏版权声明本白皮书版权属京东集团所有,并受法律保护。任何转载、编撰或其他方式使用本白皮书文字或观点,应注明“来源京东零信任安全建设实践白皮书”。违反上述声明者,将追究其相关法律责任。3目录前言 2第一章 企业安全建设的必要性 4第二章 企业数字化安全能力建设的挑战 5第三章 京东特色的数字化业务安全实践 京东零信任 6第
5、四章 零信任全链路动态持续鉴权 74.1 全域资产数字化是一切安全的基石 74.1.1 已知资产自动管理 74.1.2 未知资产智能识别 74.2 全域资产身份化是零信任的基石 84.2.1 全类型资产身份管理 94.2.2 身份的安全性 104.3 多元化零信任卡点是资产的贴身卫士 104.3.1.账号卡点 104.3.2 终端设备卡点 114.3.3 网关卡点 134.3.4 应用卡点 134.3.5 服务器设备卡点 144.3.6 数据卡点 144.4 多元化的策略中心是零信任的大脑 154.4.1 构建行为安全基线,支撑访问控制模型 154.4.2 基于访问控制模型,实现动态持续认证与
6、响应 154.4.3 联动安全卡点能力,实现安全联防联控 16第五章 资产数字化的零信任驾驶舱 165.1 京东安全风险数字量化与风险治理的决策依据 175.2 零信任驾驶舱构建ROI评估体系,是安全投资决策依据 18第六章 京东集团特色零信任实践 186.1 电商行业业务安全落地实践 196.2 金融行业安全落地实践 206.3 物流行业数据安全落地实践 226.4 健康行业数据安全落地实践 236.5 供应链生态数据安全落地实践 24第七章 展望 24参考文献 254第一章 企业安全建设的必要性国家层面积极推动信息安全法律法规出台。数字经济蓬勃发展,数据成为信息生产要素,我国数据安全领域的
7、法律数据安全法于2021年9月正式施行,与网络安全法、个人信息保护法等一起构建了信息安全法治化发展的基本体系。近5年来部委、地方省市以及各行业监管部门关于信息安全已至少颁布50部相关法律法规,信息安全外延的不断扩展,监管机制的不断完善,企业违规使用用户数据的治理力度也在不断加强。根据工信部网站统计,截止目前工信部总共通报26批次,共计通报了2300余款APP,下架了500余款APP。消费者自身的数据合规意识不断提升,安全合规已经成为影响用户品牌认知的核心要素。规模化“黑灰产”威胁企业安全。随着安全领域技术体系的不断升级和健全,来自“黑灰产”的攻击呈现了体系化的演进趋势,攻击对象不仅包括企业核心
8、数据,更有互联网服务平台的用户福利、活动优惠等活动,各“黑灰产”攻击方经常联合起来进行多点精准打击实现“0元购”。相比“黑灰产”规模化的联合攻击,企业防守方依旧处于相对孤立、不成体系的弱势地位,从基础设施到业务应用不同环节暴露出防护疏漏,内部数据安全管理与外部攻击防御尚未联动,给予“黑灰产”可乘之机。数据安全事件 频发为企业带来经济损失。根据Verizon数据泄漏调查报告显示,2018年全球数据泄漏事件为2216起,2019年为2013起,2020年 为3950起,2021年为5258起,2022年为5212起,82%的数据泄漏违规行为涉及人为因素。根据IBM安全7月发布的新版2022年数据泄
9、漏成本报告,2022年数据泄漏成本达到历史新高,平均为435万美元,该数字相比去年增加了2.6%,2021年数据泄漏成本为424万美元。而相比2020年的386万美元,2022年的数据泄漏成本增长了12.7%。京东集团以“数智化社会供应链”践行企业数字化,主动应对安全趋势变化自我迭代升级,践行保护用户数据安全的使命。京东数智化社会供应链包含了商品供应链、服务供应链、物流供应链和数智供应链1四个部分。目前,京东已经形成了以数智化社会供应链为核心的技术体系,搭建数智化开放平台,持续优化垂直行业供应链的成本、效率与体验,实现从消费端到产业端价值链各环节的整体优化与重构,有效调动各价值链环节的社会化资
10、源,提升敏捷响应与匹配效率。京东高度重视用户信任,在与消费者、云租户、商家、供应链等众多参与方共同开展全球化业务的同时,根据商业数据安全、用户隐私保护、数据安全监管合规等诉求,预测未来黑灰产愈发规模化以及国家监管愈发严格的态势,深刻意识到传统的安全防护方案不能帮助企业应对未来的安全挑战。因此京东安全主动拥抱安全形势变化,不断迭代数据安全与隐私保护的顶层设计,主动提升安全防护方案,致力构建值得用户信赖的企业,踔厉践行成为业务发展最值得信赖的信息安全服务者的使命 愿景。1 数智化供应链:以数据资源为关键生产要素驱动数智化社会供应链业务,以人工智能、物联网、区块链、先进计算等技术为基础,以零售、物流
11、、金融、健康、城市等全场景为驱动,连接和优化社会生产、流通和服务的各个环节,打造数智化社会供应链,实现社会数字化转型。5第二章 企业数字化安全能力建设的挑战企业为应对面临的数据安全和隐私保护挑战,打造一套健全的安全防护体系过程中通常会遇到安全风险在哪里、安全风险如何治理、治理效果如何评估、安全建设优先级如何建立四大难题。企业数字资产管理不足,难以定位安全风险。数字资产的全景画像是保障业务发展的前提条件。企业在数字化业务建设初期面临信息资产不全面且频繁变更的问题,存在传统基础设施资产梳理有遗漏,数字化资产界定不清晰的情况。导致数据分类分级难、管理体系不健全、技术工具不完善等问题。业务数据全生命周
12、期面临安全风险,采集、传输、存储、使用、共享、销毁各个环节管理缺失,整体未形成体系化管控能力。缺乏面向复杂链路访问请求的持续验证能力,难以推动安全治理。随着日趋复杂的网络基础架构、IT资产数量的指数级增加以及数字化业务的多样化,传统边界安全防护已经难以满足无边界网络的安全需求。企业数字化业务的数据链路覆盖访问用户、终端设备、业务主机、业务应用等,数据流动的链路节点分散在企业内网、公有云、私有云、混合云等异构基础设施上。请求可能来自不同网络位置,数字化企业的安全能力需要去适配业务空前复杂的技术架构,需要用能支持持续鉴权的卡点解决传统边界安全的局限与不足。全链路资产风险评估体系成熟度亟待提升,难以
13、评估安全治理效果。我国市场优势为企业数字化发展提供了完备的产业链条和丰富的综合应用场景,业务场景从局部单元级扩展到全产业链、全要素级别。业务场景中最具价值的部分是业务链路上的数据。但链路上信息流动与其关联的资产关系极其复杂。在数字化初期阶段,企业对数据资产全链路风险评估体系尚不成熟,对资产的安全风险无法全量评估,企业安全负责人缺少风险评估方法与管理工具,风险量化评估体系的不成熟极易导致风险盲点从而造成业务损失,全链路资产风险评估体系是保障企业内部与生态供应链之间数据流动安全的前提。企业安全建设缺少合理的ROI评估体系来指导业务统筹发展与安全精确投入,以及确定安全建设优先级。企业决策者需要依据安
14、全资源效用(ROI)评价结果动态调整安全投入与战略规划。安全资源投入产出率能够辅助决策者判断安全防护能力接入的关键节点,确保企业有限的安全资源能够最大化利用,同时可使业务的安全效果客观有效地反馈至决策者。这保证了快速变化业务场景下安全运营机制与流程制定的及时性、有效性。但目前数字化企业缺乏安全资源效用(ROI)评价工具与统一标准。6第三章 京东特色的数字化业务安全实践 京东零信任 面对企业在安全体系建设中遇到的种种难题,京东集团经过大量的调研和不断尝试,从资产盘点开始,再将资产身份化,梳理清楚资产之间的主客体关系和数据流动链路,对全域资产进行敏感等级分类分级,结合多元化的安全卡点和策略中心进行
15、持续的风险识别和风险管控,最后将自身已有的安全技术和零信任理念相融合,形成了京东零信任体系。京东零信任体系是以传统零信任的“永不信任,持续验证”为核心指导思想,搭建以身份为基础的动态持续访问控制体系。在传统零信任三要素中身份、安全卡点、持续访问控制的基础上,把全域资产数字化和零信任驾驶舱加入了零信任体系,全域资产数字化提供了一个全面的资产数据仓库,而零信任驾驶舱则为企业提供了一个全域风险量化的平台,同时还可以为企业安全建设提供指导依据和ROI评估。京东零信任体系以全域资产数字化为基础,实现资产可知、可见、可管理,并基于资产数字化梳理业务流程。同时为企业账号、设备、应用、数据赋予资产身份标识,绘
16、制资产大盘和资产关系图谱。在资产数字化和身份化的基础上,基于业务流程和请求链资料来源:京东图 1 京东零信任体系路布局了多元化的零信任安全卡点,实现动态持续风险评估和资产数据收集。并由零信任策略中心根据业务场景安全行为基线进行统一评估与响应,实现资产风险可知、安全可控。在零信任动态持续访问控制体系的底座之上,通过零信任驾驶舱对京东集团整体安全风险进行量化评估与可视化呈现,帮助企业CEO/CSO评估安全建设ROI,规划安全建设与风险治理路径,最终实现企业风险管理的目标。见【图1】。基于身份的零信任动态持续鉴权。通过为资产主客体身份建立资产安全基线,同时基于安全基线进行资产风险的动态持续评估,并通
17、过安全卡点实现资产的准入、准出鉴权与访问控制。通过京东零信任策略中心完成资产风险分析并自动编排、下发分级响应策略。资产数字化的零信任驾驶舱。京东通过零信任驾驶舱,使各参与方不仅能从宏观把控集团整体安全态势,也能从微观上跟踪安全风险,保障每一个决策都落地执行到位。京东零信任安全风险量化模型明确定义出账号、设备、应用、数据四类资产的安全能力覆盖指标、安全达标指标以及安全风险治理的要求。搭建了企业风险量化评估体系帮助企业实现风险数字化管理。7第四章 零信任全链路动态持续鉴权 4.1 全域资产数字化是一切安全的基石清晰的资产是一切安全的基石,更是安全建设的第一步。但当前企业在进行安全建设的过程中往往忽
18、略了全域资产数字化的重要性,直接建设安全能力。企业的安全事件与资产管理的数字化程度不高密切相关,全域资产数字化的缺失意味着在企业视线外资产存在的安全问题直接被忽视。因此京东选择在建设零信任安全卡点之前,首先进行资产数字化的建设,梳理资产全貌、明确全部保护对象。京东基于自身数字化转型的经验,梳理了用户登录终端(PC、移动端、IoT)设备、终端设备访问应用、终端设备访问服务器、应用访问数据库等请求链路,基于访问链路主客体关系有效将企业资产划分为访问主体的账号资产、设备资产和访问客体的应用资产和数据资产四大资产域。资产数字化需要京东自身IT基础设施与京东安全协力共建,基于企业IT基础设施打造已知资产
19、管理体系,并通过建设未知资产智能识别能力实现未知资产主动发现,通过未知资产治理,推动资产数字化的完善。4.1.1 已知资产自动管理京东零信任与京东IT基础设施合作,搭建了已知资产管理系统。通过零信任账号管理系统,针对京东ToE、ToB、ToC各类账号体系的账号注册、变更、封禁等实现统一管理,能够全盘看到各个账号体系及全部账号的标识信息。依托京东集团固定资产管理系统,对主机和终端设备资产的新增、退还、废弃等信息进行统一跟踪。此外,通过应用发布平台,为应用资产的上线、变更、删除、下线等状态进行统一的登记和管理,实现应用资产数字化。并基于企业元数据管理平台,实现全域数据源信息统一管控,与各生产库管理
20、平台对接,实现数据源注册、查询、更新及使用赋权的统一授权及信息同步更新。实现账号资产、设备资产、应用资产、数据资产的全盘管理。4.1.2 未知资产智能识别全域资产数字化中,未知资产的发现和梳理是所有企业都会遇到的一个难题,特别在京东集团这样的供应链企业中,供应链中的各个环节都是不同的公司主体,基础设施建设又不统一,如何在这种复杂的环境中发现大量的未知资产也是一个很大的挑战。结合我们长期以来在安全建设过程中的经验,我们对于不同资产,采用了不同的识别方式,完美地解决了未知资产发现的难题。未知账号发现:基于请求Header特征定位未知账号体系。在零信任网关流量中主动识别请求流量中的Header特征,
21、针对不符合京东账号体系Header特征的流量和对应应用进行标记,识别未知账号体系,定位未知账号体系部署应用用于后续治理。未知设备发现:基于多源日志定位未知设备。京东零信任在京东内部的主机设备和终端设备均部署了零信任安全客户端,通过客户端采集设备日志,并与网络DNS日志、流量日志相结合,自动化捕捉已知资产与未知设备的通信行为,如发现已知终端设备访问未知主机IP等。并对未知设备的IP、部署位置等特征进行记录,发现未知设备 资产。8 未知应用发现:基于资产关系识别未知应用。京东基于主机设备与应用资产关系,搭建了未知应用资产发现体系。基于每台主机均部署一个应用的部署规定,零信任通过内网扫描和主机日志监
22、控,获取全量主机IP信息,智能捕捉未绑定应用关系的主机或容器IP,定位未知应用资产的部署位置。未知数据发现:基于数据流动链路识别生产网、办公网中的未知数据。京东数据流动链使用服务链路追踪工具采集应用数据调用关系,结合数据源同步规则构建数据来源、数据出口的映射关系,经由数据关联分析引擎,构建应用与数据直连、应用间调用、用户基于应用查询数据的完整链路关系。呈现从数据源头到目标数据表的数据生产过程。实现从一个数据表追溯上级数据源头,逐层展开数据全链路路径,呈现源头特定字段变更对下游数据表的影响。见【图2】。图 2 数据流动链路资料来源:京东零信任在识别未知资产的IP、部署位置、数据流动链路信息等特征
23、后,配合零信任资产身份化技术、零信任动态卡点和人工运营,对未知资产进行进一步的梳理、排查和整改。4.2 全域资产身份化是零信任的基础身份是零信任动态持续鉴权的基础。数字时代资产的标识在不同场景下是动态变化的,资产数字化不足以帮助企业应对复杂的安全问题,企业需要知道这些资产到底是谁才能对资产进行有效保护。为了解决资产在数字世界中“到底是谁”和统一身份后“不被仿冒”的问题,京东通过丰富的业务场景和大量的实践探索出全域资产身份化。京东通过全域模型为资产赋予身份标识,实现资产在数字世界中不同场景下的身份标识Mapping,标识出“唯一”身份。通过资产全域框架结合MFA2、可信技术、签名等实现全域资产身
24、份的不可篡改。2 MFA:Multi-Factor Authentication 多因子认证9图 3 不同场景下资产ID不同资料来源:京东4.2.1 全类型资产身份管理资产身份化指对资产进行数字化标识,使其具备唯一的、不变的、可映射的身份ID,为资产颁发身 份证。企业在推进资产安全风险控制时经常会遇到身份信息混乱的问题,资产仅有数字身份是不够的,还要考虑到相同用户在不同渠道下使用账号不同或在不同设备间登录等情况。例如员工“张三”在登录集团公司内部系统时的身份标识为ERP账号,登录企业邮箱时的身份标识为邮箱账号,登录电商平台进行下单活动时的身份标识为账号、手机号、微信号;同一应用,在代码仓库内的
25、标识为部分代码签名,上线发布场景下会注册应用名称,在访问服务器时的身份标识是域名或IP+协议端口。京东针对不同类型资产,采用不同的技术手段实现资产身份化管理。见【图3】:账号身份:京东通过ToC和ToB用户注册时填写的手机号或邮箱等信息,以及ToE用户数据平台配置账号时填写的基础信息,通过算法为用户赋予唯一的账号身份标识。设备身份:京东针对企业内部的设备通过零信任客户端采集PC终端和主机设备的SN号、主板号、操作系统、内核版本等信息;并与企业IT固定资产管理系统中的设备归属人ID相结合,为设备资产赋予唯一的数字身份。同时为移动端设备和IOT设备生成设备ID,赋予设备身份。应用身份:京东以应用发
26、布DevOps平台数据为基础,通过结合可信技术、数字证书为京东应用及应用接口赋予唯一数字身份。数据身份:京东在传统账号、设备、应用身份的基础上,为数据赋予了身份。通过数据身份为数据精细化权限管控打下基础。通过企业元数据管理平台,数据资产以数据内容、数据存储位置、数据类型等元数据属性为基础。结合京东敏感数据发现技术与数据分类分级标准,通过“扫描、识别、标注”三步策略,自动化扫描结构与非结构数据,采用精准的敏感信息识别算法进行敏感数据识别,并且使用人工和机器标注相结合的方式,依据京东集团数据分类分级标准对数据进行标注。将元数据属性与数据分类分级结果相结合,生成“数据存储方式.数据库名称.表名称.字
27、段名称.数据分类.数据敏感等级”的ID标识,使数据获得固有的、唯一的身份标识。10要实现安全数字化的管控仅为资产赋予身份是不够的,还必须要知道资产在不同形态下的关联关系,还要实现全域资产的ID映射,通过各种技术手段将不同来源的数据识别为同一个对象或主体,来建立资产的“唯一”的“身份号码”,避免“盲人摸象”。京东结合自身的业务特点采用的方案,结合各类账户、各类设备间的映射关系和用户数据画像,通过自然人信息关联技术、资产部署平台数据通融等关联起各个“孤岛”的数据,形成“ID映射”,识别出是否属于同一人,建立不同资产间的图谱关系,确保安全业务分析的全面性。在ID映射的基础上,企业能够基于资产关系映射
28、业务流,将安全与业务紧密结合 起来。4.2.2 身份的安全性当各类资产都拥有了“身份证”后,就需要通过技术手段达到确认是“本人”、未被仿冒的效果。账号、设备、应用访问主体身份的不可篡改性是授权、访问控制等安全机制的基础。为了实现资产身份的不可篡改,京东针对不同类型资产采取不同的方式。账号是人最常用的身份标识,京东通过生物信息、动态口令、MFA、个人签名等,结合零信任安全策略,输出不同场景动态调整的认证组合,从而提高用户整体身份的安全性;设备层面,通过MFA、数字签名、指纹技术、硬件芯片技术、可信技术TEE3实现;应用层面通过软件指纹、签名技术、可信技术、数字证书技术、密码技术、应用认证技术确认
29、身份的不可篡改性;数据层面通过统一的数据库平台配合数据指纹、算法等校验内容完整性,确保身份不可篡改。4.3 多元化零信任卡点是资产的贴身卫士安全卡点是企业资产的贴身卫士。安全卡点离保护对象越近意味着可信区域就会越小,资产的受攻击面也就越小,资产也就越安全。传统的零信任安全体系往往注重网关卡点,但它离受保护对象距离较远,仅仅依赖网关卡点是不够安全的。为了进一步缩小攻击面,京东基于资产数字化和身份化中梳理的业务请求链路关系,在整个请求链路中的不同位置部署多元化的安全卡点,联动零信任策略中心和一系列的安全能力,在整个资产生命周期去保护资产的安全。在全域资产身份化的基础上,京东零信任体系多元化的安全卡
30、点实现了动态持续访问控制能力。基于访问链路的主客体搭建了零信任卡点体系,在用户登录终端(PC、移动端、IoT)设备、终端设备访问应用、终端设备访问服务器、应用访问数据库等请求链路中建设了卡点,实现了各个访问环节的数据采集、行为监控与权限控制,实现了账号资产、设备资产、应用资产、数据资产的风险评估与零信任动态持续访问控制。见【图4】。4.3.1.账号卡点账号卡点立足用户可信身份,围绕用户身份生命周期,依托统一身份认证以账号准入为控制手段,将账号准入请求以及环境信息上报至零信任策略中心进行实时风险分析,持续检查账号的风险行为、异常信息,并针对不同场景和风险等级输出不同的动态认证方式再交由账号卡点执
31、行。实现正常账号、风险账号、敏感账号不同等级的验证与响应。3 TEE:Trusted Execution Environment 的缩写,即可信执行环境11资料来源:京东图 4 访问链路卡点资料来源:京东图 5 终端设备卡点 身份认证:统一身份认证依托企业信息化部门提供的基础单点登录服务,消除账号信息系统的业务孤岛和数据孤岛。京东搭建了面向个人用户(ToC)、面向企业客户(ToB)、面向京东员工(ToE)的账号体系并扩展至LDAP等外部认证源。在用户登录时,身份认证服务对当前用户的网络环境、浏览器指纹进行分析,将分析数据上报至零信任策略中心。零信任策略中心的认证引擎结合设备卡点上传的设备信息、
32、受访问应用的敏感等级以及当前用户的敏感属性,自动下发扫码、人脸识别登录、第三方联合登录、无密码登录等多种账号身份认证手段至身份认证服务,实现不同风险采用不同安全登录方式,提升身份认证安全性。如用户在公司内网访问非敏感系统时,使用账号密码认证;在使用非本人设备访问敏感系统时,则需使用扫码登录。4.3.2 终端设备卡点终端设备卡点依托于零信任PC客户端与零信任移动端SDK。零信任客户端以One-Agent4的形式实现了在设备入网前、运行中和网络活动的全过程对设备身份进行动态持续认证、授权与响应。通过多种终端安全能力,进行多样化风险感知和攻击行为捕获,上报至零信任策略中心进行风险分析与安全策略自动下
33、发,严格限制不安全设备的访问行为,实现设备访问全链路智能风险评估。见【图5】。4 One-Agent:统一插件底座12 入侵检测与阻断能力:能实时动态地监控和发现异常网络链接、异常进程、高危命令执行及敏感文件操作,结合文件沙箱技术与京东自有威胁情报库,自动触发安全告警。针对产生的高危告警,经由零信任策略中心实时下发止损动作,联动终端防火墙和网络准入能力,终止有害程序入侵PC终端,必要时禁止中毒等高风险设备进入企业内网,快速的响应并处置设备风险。终端数据防泄漏能力:京东数据防泄漏(DLP)主要是针对企业核心数据违规流出行为的预防、阻断和审计。通过在零信任客户端构建对终端敏感数据识别以及磁盘和外接
34、设备的安全管控能力,结合文件、数据分类分级,实时检测、分析敏感数据流动情况,将数据泄漏风险行为上报至零信任策略中心,并进行阻断响应,如当文件拷贝至外接设备时、打印敏感文件时限制功能使用并对用户进行弹窗警示,实现了敏感数据治理由被动响应转为主动预防。资料来源:京东图 6 网关卡点 基于安全基线检测的网络准入能力:京东基于终端安全能力部署、终端系统配置与补丁安装、终端远程操作等方面建立安全基线,在内网与外网、供应链网络等网络域建立了不同安全基线要求,并通过京东零信任客户端进行定期基线检测。当终端设备发起请求时,零信任客户端将请求数据传输零信任策略中心,策略中心对请求目标所属网络安全域与请求设备安全
35、基线进行综合评估,判断当前终端设备所部署的安全能力及风险等级能否访问目标网段,实现终端设备的网络准入。SDP准入能力:京东通过SDP(软件定义边界)技术,实现对终端设备及用户的安全准入访问管理,仅对符合安全标准的设备放行。SDP对访问用户的网络环境、设备指纹、用户信息等数据进行检测,判断用户访问环境是否可信,同时基于用户的登录访问行为快速识别终端风险,阻断不可信的登录行为。134.3.3 网关卡点京东零信任网关作为安全基础设施,为京东集团提供原生的网络安全卡点。零信任网关作为插件式网关,承载了零信任体系的核心分级响应与处置能力,同时实现了WAF5、API防护的安全能力,从网络层实现动态持续授权
36、与响应。见【图6】。动态持续鉴权与分级响应:零信任网关将包含账号卡点认证信息和设备卡点设备身份信息的访问流量封装成请求上下文信息转发至零信任策略中心,供零信任策略中心进行综合分析评估。零信任策略中心将基于行为安全基线结合请求上下文评估风险等级,根据不同风险等级,实现允许用户/设备正常访问资源、降低用户/设备的资源权限(如限制用户查询数据范围,限制用户使用功能范围等)、要求用户进行二次认证和禁止用户使用四种分级响应和处置能力。API防护与动态授权:在零信任网关卡点中集成了API鉴权、验签、反爬、风控、限流等API检测插件。API鉴权插件可实现API访问封装链路追踪、实时监控与鉴权;将API请求上
37、下文封装,供零信任策略中心分析,并对风险行为实施流量限制、熔断降级、灰度分流等处置措施。针对批量机器注册、薅羊毛等业务风控行为进行用户二次身份校验、拦截等响应方式。网络数据防泄漏能力:构建网络数据文件分类分级,通过检测、分析对邮件、网络、IM6软件识别出的敏感数据采取重定向、阻断、加密、审批后发送等能力。从网络层面防止数据泄漏。WAF能力:京东对提供Web服务的应用,部署WAF服务进行Web攻击防护、CC攻击防护、网页防篡改、访问控制等防护措施,同时基于AI+行为学习实现智能化安全策略,自动封禁攻击源IP请求流量,实现自动防护效果。4.3.4 应用卡点京东应用卡点立足安全左移理念,严格限制不安
38、全的应用发布。同时在应用使用过程中,通过应用卡点持续评估应用安全性,触发预置安全策略响应,并实施多重响应措施,或上报零信任策略中心进行决策。根据风险触发自动安全策略,进行请求拦截、流量过滤、API请求阻断等控制措施,实现用户访问应用、应用间相互访问的动态持续访问控制。应用权限管控:京东零信任在应用权限管控上,对请求主体安全性、请求客体安全性和访问环境安全性进行综合评估,分级授权。京东结合DevSecOps7理念在应用上线前基于安全编码框架SAST(静态代码安全检测)、SCA(开源组件漏洞检测)检测编码安全,限制不安全的应用发布。同时通过DAST(动态应用程序安全检测)能力在应用测试时和上线后持
39、续检测应用安全状态。当发现应用部分页面或功能存在安全漏洞或风险时,零信任策略中心将通过应用卡点采取限制部分功能的使用等响应措施。此外,当用户访问时,如应用存在安全风险,零信任策略中心进行统一分析,提升用户访问终端设备的安全基线要求,杜绝未安装安全补丁的设备资产访问不安全的应用。RASP(Runtime Application Self Protection,应用运行时自我保护系统):京东RASP结合应用的逻辑及上下文,通过内视的方式,对访问应用请求的每一段代码进行贴身检测,基于威胁建模分析,精准识别并拦截命令注5 WAF:Web应用防护系统6 IM:即时通信7 DevSecOps:安全研发运维
40、一体化14入、0DAY未公开漏洞利用、反序列化漏洞利用、敏感文件非法访问、反弹Shell等高危风险行为。并将入侵行为及时上报至零信任策略中心,由策略中心联动零信任各卡点,对发起入侵行为的账号、设备的权限进行限制,通过网关卡点阻断风险请求,实现多维度的风险阻断。Service Mesh东西向流量访问控制:京东零信任落地了应用Mesh化改造,为应用搭建服务网格(Service Mesh),并在各应用的服务网格中建立零信任卡点。通过服务网格采集东西向流量传输至零信任策略中心。策略中心将请求上下文与数字化资产库信息综合分析,将IP之间的访问关系转化为应用身份与应用身份之间的主客体访问关系,基于策略中心
41、的行为安全基线进行风险评估与动态授权,并由Mesh卡点执行放行、阻断请求等响应动作。见【图7】。4.3.5 服务器设备卡点京东零信任在服务器设备上部署了零信任主机客户端,通过零信任主机客户端为应用访问主机、设备访问主机、主机互访提供动态持续的访问控制。资料来源:京东图 7 Service Mesh示意图 微隔离:京东MSG(微隔离)基于资产数字化与身份化构建业务逻辑分组,并基于逻辑特征为流量建立主机行为基线。收集主机层面的网络通信流量,获取应用上下文数据,绘制流量主机、主机到端口、端口到工作负载的可视化访问链路,并搭建工作负载级别访问控制卡点。将流量数据上报至零信任策略中心,策略中心以主机安全
42、行为基线为基础,进行异常行为检测评估,将响应动作下发至工作负载卡点,在工作负载层级阻断异常的请求,实现东西向流量安全控制。4.3.6 数据卡点 京东零信任数据网关通过数据行权限控制与数据列权限控制相结合的机制,实现了精细化数据权限管控。根据授权规则限制查询的数据条目或数据内容,根据当前用户角色、部门、岗位、地域、查询时间等不同属性作为限制条件,实现用户之间的数据隔离以及用户查看敏感数据的梯度控制。行权限:限制当前用户查询的数据范围,避免用户查询与本人业务无关的的数据,同时对查询频次、单次查询数据量进行限制。15 列权限:限制当前用户查询的数据内容,针对用户无权限查询的数据字段,以置空、屏蔽、变
43、形、替换、随机、加密等多种方式进行脱敏,使用户仅能查看脱敏后的数据。实现精细化管控员工查询敏感数据的权限,规避数据泄漏隐患。4.4 多元化的策略中心是零信任的大脑京东安全把多元化的零信任策略中心作为零信任的大脑,什么样的行为是安全的、不安全的行为应当如何处置,这均由零信任策略中心定义。零信任策略中心基于安全卡点采集的数据形成安全行为基线,并基于安全基线建立多重访问控制模型与身份认证模型。对请求流量进行风险评估后,进行多重认证和分级访问授权,并将响应动作下发至卡点执行。见【图8】。4.4.1 构建行为安全基线,支撑访问控制模型京东通过零信任网关与客户端进行日志收集,采集高权限人员行为数据、接口调
44、用数据、主机和主机运行日志。从账号历史行为、接口调用数据、终端和主机请求日志进行观察并对风险行为进行标记,将用户行为画像、接口使用画像、终端运行画像等与企业业务流程结合,将企业的安全管理要求映射到业务流程中,结合行为的风险集合聚类和异常模型检资料来源:京东图 8 零信任策略中心测等方式,对行为进行风险建模和分析,为电商、金融、物流、健康、供应链生态、企业办公等多种业务场景建立不同的、符合业务流程的行为安全基线。将安全基线输入至零信任策略引擎,用于风险评估。针对所有请求执行默认拒绝原则,仅对符合安全行为基线的请求放行。4.4.2 基于访问控制模型,实现动态持续认证与响应零信任策略中心采用了多种访
45、问控制模型相结合的方式来实现零信任的核心能力动态持续鉴权,其中包括RBAC、OBAC、ABAC、PBAC、TBAC等访问控制模型。基于角色的访问控制(Role-based Access Control,RBAC):用户通过角色与权限进行关联,在用户集合与权限集合之间建立一个角色集合,为角色授权。如,允许物流站长访问运单大盘数据和运单详情数据,仅允许配送小哥访问运单详情数据,不允许小哥访问大盘数据。实现精细化权限控制。基于对象的访问控制(Object-based Access Control,OBAC):将访问控制列表与受控对象或受控对象的属性相关联,并进行授权。如,财务部门的财务系统等使用范围
46、仅限财务部内部。16此类数据敏感等级高的系统,通过OBAC模型可以实现仅当用户所属部门与应用归属部门一致时,允许用户访问的控制策略,降低权限滥用导致的数据泄漏风险。基于属性的访问控制(Attribute-Based Access Control,ABAC):通过实体的属性、操作类型、相关的环境赋予操作权限。如,京东供应商管理系统需要用户在京东内网环境下访问,且使用时间多为工作日。通过ABAC可以实现,限制访问主体用户的属性为京东内部员工、限制访问环境属性为内网且时间为工作日8:00-22:00,零信任网关仅对符合上述限制的请求放行。基于任务的访问控制(Task-based Access Con
47、trol,TBAC):对象的访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化。依据任务和任务状态的不同,对权限进行动态管理。如,外包人员仅在项目期间需要使用某些系统,通过TBAC模型可以将外包人员的权限与项目状态关联,项目结束自动回收权限,避免由于人工疏忽导致权限回收不及时而造成的权限滥用。基于策略的访问控制(Policy-based Access Control,PBAC):一种将主客体角色和属性与逻辑结合以创建灵活的动态控制策略的方法。如,当用户使用VPN接入公司内网时并尝试访问敏感应用时,若用户所处地理位置与用户常住城市不一致,则要求用户进行多因子二次认证;若用户所处地
48、理位置与常住城市一致,则允许用户访问。4.4.3 联动安全卡点能力,实现安全联防联控在用户的登录、用户/设备访问应用、应用访问数 据 的过程中,零信任 策略中心的两大引擎 对 请求数据进行综合分析,评估当前请求的风险类型、风险等级并下发合适的响应动作。认证引擎:当用户登录设备、用户登录应用时,基于身份卡点、设备卡点采集的认证体系数据、网络环境数据、设备身份可信状态数据、设备基线数据等信息,进行综合分析,评估当前应当采取何种认证方式并下发至账号卡点执行。账号卡点:基于认证引擎分析结果,执行帐密认证、扫码认证、生物信息认证、无密码登录、第三方认证等多重认证方式。访问控制引擎:通过安全卡点采集用户账
49、号、设备、网络环境等数据,并与访问客体的应用敏感属性和数据敏感等级相对比,实现用户访问/设备访问/应用访问数据的分级授权,通过设备卡点、应用卡点、数据卡点执行。设备卡点:基于访问控制引擎分析结果,执行限制终端设备入网、限制终端设备访问、限制数据通过终端传输、限制跨边界访问等响应动作。应用卡点:基于访问控制引擎分析结果,限制不安全的应用发布、当设备访问存在安全漏洞的应用时提升设备安全基线要求、执行正常授权、降级授权、二次多因子认证和禁止访问等响应动作。数据卡点:基于访问控制引擎分析结果,对数据进行加密、脱敏、添加水印和限制访问权限等响应动作。第五章 资产数字化的零信任驾驶舱零信任驾驶舱是在传统零
50、信任三要素的基础上,纳入到京东零信任体系的一大特色。全域风险量化是零信任驾驶舱的重要组成部分,零信任驾驶舱通过打造全域风险量化管理体系,指导安全投资决策和安全建设,保障企业资产安全合规,保障企业业务可持续发展。175.1 京东零信任全域风险量化与风险治理的决策依据京东基于多年实践与积累,逐步形成“京东零信任全域安全风险量化模型”。全域安全风险量化模型以提升资产合规评分,降低安全风险与安全事件为目标,通过合规分数提升避免已知风险事件的发生,通过尽早发现和治理安全风险,减少安全事件的发生的同时对资产合规性进行复盘;通过安全事件的发现,对安全风险、资产合规进行复盘;形成环环相扣的风险量化,帮助企业实
51、现安全建设与风险管控的整体评估。见【图9】。资产合规评分:基于资产落实安全措施成熟度与安全措施覆盖率,计算资产合规评分,反映企业资产整体安全水位。安全风险治理:基于过往风险消除比例、风险是否及时消除、风险是否带来进一步事件、风险消除平均时长等指标,量化风险治理情况,反映企业存在哪些可能导致安全事件的风险和风险应对能力。安全事件管理:基于过往发生的安全事件平均止损时长、同根因安全事件重复发生次数等指标,资料来源:京东图 9 零信任驾驶舱建立安全事件的止损库与复盘库,帮助企业评估在安全事件快速响应的能力与止损措施有效性。零信任驾驶舱通过应用资产卡点、设备资产卡点、数据资产卡点、账号资产卡点对各类资
52、产进行数据采集,并根据资产安全评分模型为资产安全进行评分。同时通过驾驶舱安全运营平台收集、分析安全风险与安全事件。零信任驾驶舱基于安全风险量化模型搭建了全局的资产风险视图,以及每个业务的场景化资产风险视图,帮助企业进行定期安全风险研判,通过“资产安全评分模型”的数据反映企业当前在安全建设过程中存在哪些缺口,缺少哪些安全能力。针对“安全风险”与“安全事件”进行根本原因分析,找出安全隐患和安全事件是由于“资产合规评分”中哪个部分缺失而产生的。以员工数据泄漏事件为例,针对“安全事件”,京东安全专家结合资产风险视图在全域资产身份化的基础上,定位该员工的身份、使用的设备身份以及与泄漏相关的应用身份、数据
53、身份,并查看相关资产的安全评分,对安全事件进行根因分析,分析后发现该数据泄漏事件是由于“资产合规评分”中的该员工访18问权限过大风险、数据未进行加密、终端未部署DLP风险导致的。驾驶舱联动安全运营平台,自动化生成风险消除流程,对该事件进行跟进处置。同时,通过根因分析对企业风险进行研判,推进数据权限收敛、数据全链路加密与DLP的部署,对企业风险产生的源头进行治理,而不是仅关注风险本身。当安全治理实施后,通过安全风险数字量化模型评估安全治理效果,通过安全卡点收集的数据,自动评估“资产合规评分模型”的提升,以及“安全风险治理”和“安全风险管理”的下降,量化评价安全治理措施的有效性,验证安全治理效果。
54、5.2 零信任驾驶舱构建ROI评估体系,是安全投资决策依据在企业发展过程中,安全建设的价值往往由于缺少量化评估工具而难以体现。企业CXO8在进行安全决策时,由于无法了解当前安全资源如何投入,存在缺少明确安全目标的抓手,无从评估安全资源利用的有效性,导致安全投资不合理,在浪费安全资源的同时,为业务带来安全风险。而企业数字化转型则为安全投资体系提供了必要基础,在数字化的基础上,零信任驾驶舱基于安全风险数字量化模型帮助企业明确安全建设目标,并通过ROI评估体系辅助CXO进行合理安全投资决策,规划安全建设路径。从原有事后分摊安全建设成本转变为事前规划,降低资源浪费,提高安全建设收益,降低业务风险。驾驶
55、舱辅助确立安全建设目标:零信任驾驶舱基于安全卡点采集的数据,采用安全风险数字量化模型生成企业全局资产风险视图。通过资产安全评分以及企业威胁面分析,帮助企业识别当前评分模型中分数最低安全建设缺口,研判安全隐患与事件的深层根因。同时结合行业属性与业务特点,利用历史安全事件数据与专家系统评估安全建设缺口对业务的影响,基于业务影响程度自动生成安全治理建议,辅助CXO制定安全建设目标。保障安全建设目标符合业务发展,做到安全建设来源于业务,服务于业务。构建安全投资数字化ROI评估体系:通过安全建设ROI评估体系,帮助企业CXO理解安全建设价值与收益。在CXO明确安全建设目标后,京东通过数字化ROI评估体系
56、对安全项目进行进一步拆解,确保安全项目与企业安全建设目标一致,实现资源利用最优解。安全投资数字化体系首先明确了安全项目的定义与类型,京东将安全建设项目分为安全能力建设、安全风险治理、安全产品打造、安全服务四个类型,并为每个类型项目构建了完整的评价指标体系:从项目资金收入、项目成本、效率提升、体验提升、技术影响力五大维度30余个指标对项目进行评估,全面考虑了项目在资金收入、人力/资金/时间/运营/资源成本、管理/运营/流程效率、业务体验方面的影响,并针对不同项目类型选取了差异化的评估指标,为每类项目组建指标池,用于评估单个项目ROI。在安全项目立项启动前,首先明确项目商业模式,如安全能力建设类项
57、目商业模式为提升API安全爬虫检测准确率,从而减少外部灰黑产利用,提升零售业务收益;基于项目商业模式和企业安全建设最终目标选择IT资源成本、信息及时性、由于反爬虫策略导致的投诉率、差评率,以及策略可靠性、性能作为核心评估指标。根据ROI(项目建设收益-项目建设成本)/投资总额)测算并评估当前项目与安全建设目标吻合度以及项目的投资收益,并进行最终安全投资决策,实现安全投资体系化、数字化评价。基于安全建设项目ROI评估,帮助企业规划实现安全目标的安全建设路径。第六章 京东集团特色零信任实践京东特色零信任理念已在集团零售电商、科技金融、物流、健康、供应链生态等场景落地应用。8 CXO:指企业CEO、
58、CTO、CSO等企业安全建设决策者19资料来源:京东图 10 电商零信任实践方案6.1 电商行业业务安全落地实践1、业务场景京东零售作为电商行业的头部企业,拥有着丰富的业务形态和庞大的生态体系,营销风险是京东零售在一系列商业活动中面临的最主要的安全风险。企业为拉取新用户、促活沉默用户、增加老用户复购率等推出一系列营销优惠活动,黑灰产利用不当技术手段进行非法获利,直接影响营销活动效果,对企业造成损失。见【图10】。2、技术实施和效果1)识别保护对象,盘点电商业务系统:针对零售电商行业的营销安全风险,京东首先依托ToC统一账号体系,搭建C端个人用户的账号身份,保障用户在主站、京喜等各业务系统均拥有
59、唯一的身份标识。为保障用户隐私、满足监管合规要求,C端场景下的零信任采用无端模式,通过浏览器指纹技术构建用户端的可信身份,实现了用户和设备身份关联。维护了用户和设备身份ID映射关系,落实了资产身份化。202)结合业务流,部署身份卡点和应用卡点:在身份化的基础之上,依托账号卡点和应用卡点在黄金流程9各环节所涉及的系统集成零信任卡点能力。如在用户注册和登录环境部署零信任身份认证卡点,实现用户身份验证与授权。在电商业务系统部署应用卡点应用权限管控、在用户商品浏览、评论、优惠券领取、下单和支付等功能接口部署零信任网关卡点的API防护与动态鉴权、分级响应能力。3)绘制安全行为基线,实现访问控制与动态授权
60、:依托零信任卡点采集的数据,在零信任策略中心搭建电商风控场景的安全行为基线,结合专家经验和机器学习生成账号身份的风险画像和异常行为指数,依据京东零信任访问控制模型进行风险处置,例如利用统一身份认证卡点对异常账号限制登录,对抗黑产撞库、群控机群等手段的攻击。4)基于卡点采集数据及零信任策略中心的评估结果,生成零信任驾驶舱的电商业务视图,帮助电商业务负责人及安全负责人了解电商业务当前的整体安全合规状态、风险大盘及潜在的薄弱环节,及黑灰产的攻击者画像。由安全部门与电商业务部门合作,进行针对性的安全治理目标规划与落地有效性评估。京东零售电商零信任安全体系,通过先进的零信任访问控制模型和业务全链路安全卡
61、点实时布控,实现对黑产精准识别、实时处置,有效避免羊毛党刷取平台优质稀缺品倒卖牟利、机刷流量、裂变骗取平台和商家补贴等风险。6.2 金融行业安全落地实践1、业务场景金融业务复杂、迭代速度快,基于攻击请求特征黑名单拦截防护的传统安全防御手段已不能完全满足金融科技的安全防护需求。如何保障金融业务安全的运转,抵抗外部攻击者的觊觎,是金融行业面临的主要安全挑战。见【图11】。2、技术实施和效果1)识别需求,明确金融科技业务重点保护系统:京东金融科技业务选择采用零信任的安全防御体系满足企业用户在金融业务中的数据需求。基于零信任的永不信任持续验证的核心原则,京东首先在金融业务使用了京东统一ToC与ToB账
62、号体系,为个人用户与企业客户赋予唯一身份。2)结合业务流,部署零信任卡点:首先在金融的业务系统中部署了应用卡点,基于零信任的应用权限管控能力,严格限制不安全、不符合金融监管要求的应用发布。同时将自研的RASP卡点通过注入安全疫苗的方式嵌入到应用内部,在不依赖请求特征的情况下,实现对攻击行为的免疫防护,自动化阻断攻击请求。依托于云原生能力,零信任安全体系与业务有机融合,作为基础设施的一部分对业务实施持续性免疫防护,实现了对业务透明无感。零信任卡点下沉到容器镜像和Pod10、网格层,贯穿服务的开发、发布、上线、运行全流程:在服务开发时,持续性代码安全性扫描和供应链安全检9 黄金流程:指消费者购物时
63、经过的商详、购物车、结算等与交易相关且价值非常高的环节的统称。10 Pod:Kubernetes基本调度单元21资料来源:京东图 11 金融零信任实践方案查保证了代码的可信可控,并对上游供应链风险进行及时响应和处置,例如对上游FastJson等高风险组件实施零信任加固改造,消除风险源头;在服务发布时,容器镜像安全扫描和加固严格限制不安全、不符合金融监管要求的应用发布,对容器逃逸攻击面进行消除,并自动将RASP等防护能力嵌入应用内部,实现对攻击行为的细粒度防护;在服务上线时,服务默认无任何网络权限,在服务所在Pod与发布上线平台通过PKI11体系完成认证并授予身份后,基于Service Mesh
64、的零信任网格卡点模块依照最小权限原则,对服务的网络和数据访问进行鉴权、控制、加密和监控,实现对服务的微 隔离。在微隔离方式之外,得益于eBPF12技术的成熟和运用,安全得以在内核视角以更灵活精细的方式实现同样的零信任防护,实现进一步的多层纵深 防护。3)绘制安全行为基线,实现访问控制与动态授权:京东在金融科技业务中采用微隔离卡点能力进行服务器卡点,零信任策略中心根据业务系统的敏感等级制定了服务器设备安全基线要求,并通过零信任网关的动态持续鉴权与风险响应能力,根据主机请求自动分析授权。如当金融业务边缘非敏感系统相互访问时,如果请求主机部署了防火墙则允许相互访问;当非敏感系统访问核心高敏应用时,若
65、请求主机仅开启了防火墙,未安装指定安全补丁、未部署堡垒机则阻断主机的访问。防止攻击者利用服务器之间的请求进行横向渗透,由此进入高敏系统,为金融业务系统提供原生安全能力。同时当用户在金融系统中访问敏感数据时,零信任也依托数据网关卡点进行了数据权限的精细化管控,使用降低风险用户可查询的数据条目;根据用户网络环境、浏览器指纹以及用户历史行为风险对敏感数据进行脱敏、加密等精细化权限管控措施。11 PKI:Public Key Infrastructure,即公开密钥基础设施12 eBPF:extended Berkeley Packet Filter,即扩展的伯克利包过滤器22资料来源:京东图 12
66、物流零信任实践4)基于卡点采集数据和零信任策略中心的评估结果,生成零信任驾驶舱的金融业务视图,帮助金融业务负责人及安全负责人了解金融业务当前的整体安全合规状态、数据流转情况及潜在的薄弱环节,及外部攻击者画像。由安全部门与金融安全技术部门合作,进行针对性的安全治理目标规划与落地有效性评估。京东金融科技零信任安全体系,护航京东金融科技业务系统历经多次实践检验,保障京东科技上亿级用户隐私数据的安全流转。6.3 物流行业数据安全落地实践1、业务场景 京东物流拥有国内企业中罕见的员工规模,物流仓拣配一线员工超30万,遍布全国7大区域。同时京东物流有着错综复杂的自营业务线,快递、快运、大件、冷链、3PL1
67、3、同城业务。如何在这复杂业务场景中做好数据资产盘点、敏感信息分类分级、数据加密传输、精细化权限管控,是京东物流在数据安全建设工作中面临的主要挑战。见【图12】。2、技术实施和效果面对京东物流在数据安全建设中遇到的挑战,京东零信任给出了解决方案:1)资产全面盘点,明确物流业务重点保护对象:首先通过零信任智能资产识别能力与京东资产管理系统合作,梳理出了物流复杂业务场景下的全量账号资产(如一线物流配送人员、分拣人员、仓库人员、货运司机等)、设备资产(如配送站PC设备、移动设备、手持一体机设备、IOT设备等)、应用资产(如物流订单、运单、仓库管理、配送管理系统等),并为以上资产涉及的数据资产进行分类
68、分级、为四类资产赋予了唯一身份。在数据流动过程中通过敏感信息识别能力准确识别资产身份和受保护的对象,从而实现安全和高效的平衡。13 3PL:Third-Party Logistics,即第三方物流232)基于业务流,部署零信任身份认证卡点、应用卡点和数据卡点:首先绘制京东在物流的运单系统、订单系统和仓配系统部署了零信任ToE身份认证卡点,并结合应用权限管控卡点和数据网关卡点采集物流业务下不同岗位的数据访问行为,绘制了一条人到应用到数据的可视化请求链路。3)绘制基于不同角色的安全行为基线,实现访问控制与动态授权:基于请求链路形成了快递员、快递站长、货运司机、货运组长、仓库管理员、仓库负责人等各一
69、线岗位的数据访问环节的安全行为基线,定义了每个岗位可使用的查询功能、可访问的数据条目、运单数据所属的地理区域、可访问的用户PII信息,依托数据网关卡点实现初步的数据授权。同时零信任策略中心结合当前用户使用的设备类型和设备身份信息进行动态授权,如当物流员工使用京东统一发放的手持一体机和京东登记的PC设备访问业务系统时,允许用户查询正常数据;使用个人PC或移动端设备访问时,限制数据条数、并对数据进行进一步的脱敏与加密,实现数据的精细化权限管控。4)基于卡点采集数据和零信任策略中心的评估结果,生成零信任驾驶舱的物流业务视图,帮助物流业务负责人及安全负责人了解物流业务当前的整体资产安全状态、数据权限大
70、盘及潜在的薄弱环节,以及一线人员安全行为画像和攻击者行为画像。由安全部门与物流治理部门合作,进行针对性的安全治理目标规划与落地有效性评估。当前京东物流依托线上化平台已建立完善的物流员工安全基线,实现动态持续访问控制和数据脱敏,极大的节约安全治理成本,每年可以实现数十万人的敏感权限精细化管控。6.4 健康行业数据安全落地实践1、业务场景随着京东健康在互联网医院、家庭医生、智慧药房、健康城市(智慧医疗一站式服务)等数智化创新业务场景的持续发展,用户的健康数据在分级分类、数据鉴权、数据存储与传输方面迎来新的安全挑战。2、技术实施和效果1)识别需求,明确健康数据身份:京东互联网健康选择采用零信任的安全
71、防御体系满足企业用户在健康业务中的数据需求。基于健康业务在数据安全工作中面临的挑战,京东零信任管控体系首先通过元数据管理中心统一管理业务系统涉及的数据资产,将用户身份证号、手机号等结构化数据资产以及如药品处方、诊断说明等非结构化数据资产与问诊场景、人员相关联,针对业务身份、人员身份进行访问校验。2)基于业务流,部署应用卡点:京东将数字资产身份化技术嵌入健康业务系统,在数据产生环节对数据进行分类分级;零信任应用卡点集成了ACES14数据加密能力,通过应用网关自动化识别未进行敏感数据加密存储的应用,限制未进行存储加密的应用 发布。3)绘制基于不同角色的安全行为基线,实现访问控制与动态授权:数据使用
72、环节基于在线医生、医生助手、药剂师、患者等角色建立安全行为基线,例如用户主动使用医生助手进行科室选择或转诊服务时,仅展示用户的年龄区间和用户填写的病情描述,用户的真实姓名会进行脱敏处理,并使用HTTPS加密协议进行数据传输;另外针对涉及敏感数据传输的浏览、导出等功能,依托数据网关卡点,根据用户选择的不同问诊服务,进行数据分级,实现初步的动态授权和权限精细化管理。4)基于卡点采集数据和零信任策略中心的评估结果,生成零信任驾驶舱的健康业务视图,帮助健康业务负责人及安全负责人了解健康业务当前的数据资产盘点情况、数据存储及安全性评估分数、攻击者行为画像。由安全部门与健康技术部门合作,进行针对性的安全治
73、理目标规划与落地有效性评估。目前京东健康依托线上化平台已建立完善的敏感数据保护机制,实现每年保障数亿活跃用户在智慧问诊、智慧购药等多个环节的敏感数据机密性、完整性和可用性保障。同时,京东健康零信任安全体14 ACES:Access Control based Encryption Service,即基于访问控制的加密服务24系护航健康业务系统获得信息安全领域的数十项权威认证,是中国互联网医疗领域首批通过BSI认证,被授予ISO 27799个人健康信息安全管理体系认证证书的企业。6.5 供应链生态数据安全落地实践1、业务场景京东拥有着覆盖数十万平台商家、供应商、独立软件开发商、广告商等的供应链生
74、态体系。在业务合作方面,如何保障必要大量数据交互和共享的安全性,如何高效治理遍布各地、基数庞大、安全性参差不齐的生态系统,如何协调业务流程与体验动态变化带来的阻力,是京东供应链生态数据安全治理面临的主要挑战。京东针对以上挑战不断调整,逐步形成多维度的安全解决方案。2、技术实施和效果京东持续输出零信任数据卡点、应用卡点和设备卡点能力,助力“生态伙伴安全成本最小化”和实现“京东数据安全性最大化”。1)识别需求,生成零信任SDK:京东为庞大的供应商提供了供应商业务系统,同时提供了零信任SDK帮助供应商自建系统通过SDK集成京东零信任的应用卡点、数据卡点安全能力,降低供应商的安全建设成本的同时,落地零
75、信任。2)基于业务流,部署数据卡点:数据离开京东时:京东建立了严密的数据审批机制,由数据卡点为审批通过的数据增加透明水印标识。当数据离开京东时,零信任统一对外数据网关将检测特殊水印标识是否存在,针对通过审批的数据根据业务需求进行加密、脱敏,同时,自动阻止未经过审批的数据离开京东。数据达到供应商后:京东以零售商家管理系统为底座,通过数据网关卡点为零售业务供应商提供基于数据脱敏能力的面单、打印和虚拟号等工具,实现商家在订单管理等业务环节无需触碰到原始用户隐私数据便可正常开展业务,极大减少数据在非安全环境泄漏的风险;同样,京东零信任为京东物流运单管理系统提供了数据网关卡点,实现数据脱敏,保障运单隐私
76、信息在运输过程中的高安全性。3)绘制覆盖数百个角色的安全行为基线,实现访问控制与动态授权:京东的零信任策略中心构建了基于供应商管理人员、供应商运营人员、仓管管理员、第三方快递员、第三方客服等数百个角色的安全行为基线,结合终端设备卡点能力,实现百万级人员在复杂应用场景下,保证高效工作的同时,持续性以最小权限收敛并进行访问控制和风险评估。在人员角色转换、调岗、离职时也对权限进行自动化回收和重新赋权评估。4)基于卡点采集数据和零信任策略中心的评估结果,生成零信任驾驶舱的供应链业务视图,帮助京东业务负责人及安全负责人、生态伙伴了解当前合作业务的整体资产安全状态、数据资产大盘及潜在的薄弱环节,以及攻击者
77、行为画像。由安全部门、业务部门与合作方技术部门,进行针对性的安全治理目标规划与落地有效性评估。京东供应链生态零信任体系和业务深度融合,在帮助生态伙伴降低安全建设门槛的同时,保障京东数据安全合规的同时,发挥业务价值。目前处理敏感数据的三方系统均已接入京东零信任体系,安全风险显著下降。第七章 展望助力更多企业落地零信任安全体系:京东将自身丰富的实践经验与京东特色的安全管理、安全技术能力相结合,总结出一套可复用的零信任体系。企业在安全建设过程中,可以参照京东零信任的实践之路,以零信任的“永不信任,持续验证”为核心指导思想,打造安全治理的闭环。京东希望通过京东零信任体系能够帮助更多的企业解决在业务快速
78、发展与数字化转型过程中遇到的信息安全问题。25构建紧跟时代变化的零信任安全基座:未来京东零信任安全体系将持续集成安全单点能力,将零信任平台改造成一个通用的标准底座,通过一系列的行业标准的制定,实现京东零信任与业界第三方安全能力插拔式互通,实现安全数据统一分析、安全策略统一编排部署、安全风险统一处置、达到联防联控的效果,将安全能力的价值最大化。在最大程度上降低企业安全建设成本的同时,使企业自建或采购的安全能力持续发挥作用。通过零信任体系持续提升业务运行效率与用户体验,构建一个具有持续旺盛生命力的零信任安全体系,帮助企业在信息时代下能够有效应对数字社会复杂多变的安全挑战。以零信任思想建设企业全方位
79、安全:京东零信任体系将是信息安全、业务运营安全、监管安全与法律安全的技术底座。在全球经济合作的发展趋势下,伴随大合规时代的来临,京东致力于将零信任的思想体系扩大到各个安全领域,将传统的发现问题解决问题的安全管理方针转变为零信任的动态治理安全预防思想。京东未来将通过零信任思想服务于企业业务运营安全,在业务运营环节搭建运营卡点,通过卡点自动化采集业务运营数据,并搭建业务合规安全基线。同时基于京东法律知识库与监管合规要求,绘制企业安全合规矩阵,构建京东零售、电商、物流、金融、保险、医药、广告等各业务的合规评价模型,并通过卡点采集的数据实现自动合规评价与合规治理,限制不合规的资产与业务对外发布。在此基
80、础上,京东将基于各安全领域的特性构建评价指标,建立安全风险评价体系,通过京东安全驾驶舱绘制出企业全局安全合规视图,为企业CEO提供安全合规的全局视角,帮助企业负责人能够快速、高效、可视化的了解企业大合规现状,提升企业合规治理效率、降低企业合规成本。帮助企业在实现自身合法合规与企业健康运转的基础上,为社会提供蓬勃稳定的服务能力。参考文献1 Lawrence.Orans,Best Practices for Implementing Zero Trust Network Access J,Gartner,2021.2 Scott.Rose,Zero Trust Architectur M,NIST
81、 Special Publication 800-207,2020.3实战零信任架构J,CSA云安全联,2022.4 软件定义边界(SDP)标准规范2.0S,CSA云安全联盟,2022.5 Jeff.Peck,Migrating to Beyond CorpJ,Usenix.org,2017.6 零信任系统技术规范S,中国电子工业标准化技术协会,2021.7 Data Breach Investigations Report J,Verizon,2022.8 2022年数据泄露成本J,IBM,2022.资料来源:京东26Gartner的研究7个有效的零信任实施步骤 网络访问如今,企业通常会部署
82、零信任网络访问来取代远程访问VPN,但是过于复杂的策略阻碍了其采用。安全和风险管理部门负责人必须采用连续生命周期方案来进行远程访问管理,才能取得成功。概述主要发现 传统架构行为在远程访问买家中保持一致,这种行为差距导致“零信任网络访问”(ZTNA)的采用存在挑战。ZTNA并非一种“一劳永逸”的技术,它在本质上依赖于连续的迭代过程,该过程要求随着业务和风险级别的变化而调整访问策略。一些最终用户组织报告指出,他们已经完全用云托管型ZTNA解决方案取代了传统VPN,但是在实施过程中遇到了策略制定方面的挑战。ZTNA可能比传统VPN更有优势;但是,其部署应符合企业的零信任策略,满足企业负责人对其用户群
83、的远程访问要求,并采用基于风险的方法来进行以优化企业的安全态势。2022年,在商业环境中实施零信任战略的强烈兴趣和趋势仍在持续。与2021年同期相比,在2022年的前6个月,对此主题的咨询量增长了34%。建议负责基础设施安全的安全和风险管理负责人应:使用连续生命周期方案,以更清楚地了解远程访问风险级别和必要策略要求,并能够根据企业的风险偏好来调整访问策略。利用零信任原则与企业负责人开展重要对话,这样将能够在实施任何ZTNA技术前提供指导并帮助实现其业务目标,而不是将该技术作为孤立的解决方案。基于用户、设备、应用程序和数据分类,构建策略治理范式,以帮助规定“谁有权访问什么内容”。从身份和访问要求
84、着手。定期进行评估以确认受保护资源的隔离状况,并验证用户对资源的访问权限。简介作为一种为用户提供最低业务应用程序权限的方案,ZTNA产品越来越受欢迎,其已取代传统的远程访问VPN。传统的远程访问VPN仍主要用于许可证更新和网关升级场景。但是,这些成熟的VPN技术将继续存在,以应对ZTNA产品组合无法满足集成技术要求的情况,或者ZTNA试点程序尚未说服重要决策者的情况。虽然许多客户和供应商已将ZTNA整合到通过云交付的安全服务边缘解决方案中,但是Gartner仍注意到此ZTNA功能被部署为一些特定用例的独立解决方案,例如:用于确保负责远程维护运营技术(OT)或物联网基础设施的外延工作人员获得安全
85、的远程访问,或者用于需进行特定受监督会话管理的应用程序访问的情况。尽管ZTNA具有安全方面的各种好处,也持续稳定地得到采用,但最终用户组织仍难于制定适当策略来成功部署ZTNA。本研究报告阐述了一种适用于企业的实用方法,以帮助安全和风险管理负责人避免陷阱,并更加顺利、更有效地完成ZTNA实施。ZTNA实施要求连续生命周期方案,此方案可以分为七个步骤,它们对成功的部署至关重要。这些步骤在图1中进行了概述,并将在后面的“分析”部分中进行详细说明。27图 1 “零信任网络访问”生命周期分析与企业负责人一起确定目标和范围要有效实施ZTNA,其中一个需应对的更大挑战是,管理企业负责人和最终用户群体的期望。
86、一些企业负责人会担心ZTNA实施过程本身,及其对最终用户体验、策略管理员或变更管理流程产生的影响。安全和风险管理负责人必须与企业负责人合作,以了解后者的目标,从而制定强有力的基础性零信任策略。为了帮助实现业务目标与最终目标(选择、实现和配置ZTNA技术解决方案以实现预期结果)之间的最终映射,与企业负责人开展协作是“必要”基础。在与企业负责人协商时,应强调ZTNA将如何降低业务风险,同时提高可用性和可管理性。告知这些企业负责人,相比于传统访问方法,新ZTNA模型可以更安全地连接到资源,同时为企业建立更强大的安全态势。ZTNA解决方案中的安全性可以得到增强,并且可以灵活地进行策略调整,将有助于缓解
87、关于过渡到这项新技术的担忧。在初始概念验证期间,制定结构化的范围,其中包括一组核心应用程序、用户和设备(通常从“简单用例”开始),就像完全以远程方式工作的知识工作者一样。然后,与企业负责人一起确定该组中最复杂的用户,例如,进行远程维护的特权承包商,或远程工作的本地管理员。在确定ZTNA用户范围的两端和部署复杂性后,安全和风险管理负责人将设定关于过渡步骤和时间框架的适当期望。在初始项目中,该小组将制定用于衡量进度的基准,并应确定将包括和不包括的应用程序(例如,大型机等不适合ZTNA的旧技术),以及将包括哪些用途。这种结构化分组将贯穿本研究中描述的每个部分,并且企业将随着时间的推移使用更多应用程序
88、和用户进行迭代。在选择ZTNA技术供应商之前,最好不要与企业负责人进行策略规划。策略规划将最终生成功能需求,并有助于选择针对潜在ZTNA技术供应商的评估指标。然而,Gartner已经发现一些例子,在其中,与ZTNA提供商进行的小规模试点程序帮助改善了预期,并丰富了内部知识。如果已经购买ZTNA产品,28请按照本研究中的建议进行,并根据产品的功能调整业务期望。使业务目标与零信任策略保持一致零信任是一种策略性方案,旨在以持续评估的显性信任取代隐性信任。它基于由安全基础设施提供支持的身份和环境,可适应组织的风险偏好,以提高安全成熟度。在最高的业务层面,零信任的几个关键原则如下:在假定的折衷模型上运行
89、。将身份和环境用为访问决策的基础。绝不使用隐性信任;在允许访问之前始终进行 验证。仅提供对资源的足够访问权限。取消隐性信任;实施显性信任。静态和动态数据加密。实时监控并验证所有操作。最终,零信任可以安全地将用户与应用程序连接起来。安全和风险管理负责人必须在企业的安全和每个业务部门的业务目标之间实现平衡,并制定能够提高业务生产力的策略。例如,根据极易变化的环境设置持续信任评估,或者采取二态(阻止、允许)操作,都会导致最终用户感到沮丧。ZTNA必须依靠高质量的信号来建立可靠的信任评分,并向最终用户提供良好的环境和消息传递功能,以说明访问被限制或阻止的原因。该方法将根据行业类型、业务规模、监管要求、
90、云采用路线图和内部数据分类而有所不同。零信任策略的构建块如下:通用的身份管理结构,将定义:需访问目标的用户(帐户)要用于访问目标服务的设备(源端点)一组旨在规定权限的自适应访问控制,其需要:与身份结构整合 建立与需要访问的用户相关联的设备环境 识别和发现将作为目标的工作负载、系统和应用程序 基于风险承受能力的适当访问控制在部署ZTNA和可能符合零信任原则的任何其他相关技术时,安全和风险管理负责人应将此方法及其原则作为指导。1关注身份和适当的访问一些最终用户组织报告指出,他们已将ZTNA配置为允许用户访问所有应用程序,这与其传统VPN系统的配置类似。该做法存在的问题是,企业无法获得ZTNA的全部
91、好处和价值。为了成功实现ZTNA的全部好处,企业应确定ZTNA将能够在其中产生最大影响的“用户-应用程序-数据”用例(例如,控制对敏感应用程序和数据的访问,或向承包商等特殊用户群授予访问权限)。此外,还应对企业内需要安全访问的相应领域应用特定策略。访问用例在业务访问策略中定义,访问策略应是用户和/或设备身份的组合,并且与支持背景数据相关联。然后,这将根据业务的安全风险偏好映射到一系列控制措施或权限。身份和背景成为推动决策过程的关键元素,用例将基于它们来获得应用程序和数据的访问权限,以及被授予的访问或权限的级别。ZTNA在很大程度上依赖于身份访问管理,后者由多个管理时和运行时支柱提供支持,分别包
92、括“身份治理和管理”(IGA)以及“访问管理”(AM)等等。IGA和其他管理时身份安全态势工具(如云基础设施权限管理)一起构成了基本要素,可减少攻击面并 29确保相应身份只具有必要的权限,既不多,也不少。然后,在使用资源时,这些身份可以在运行时使用,由AM工具提供服务,用于执行身份验证和授权。相关ZTNA技术依赖于在执行时AM所传递的信息(即帐户权限、用户行为和通过身份会话计算出的其他风险),以确定是否允许、拒绝访问,或设置针对该ZTNA工具范围内的受保护资源的身份验证。在开始ZTNA实施前,记录并制定应用程序的用途许多组织在等到实施ZTNA解决方案后才开始研究用户和应用程序之间的关系。他们首
93、先使用ZTNA供应商提供的应用程序发现工具,或者使用其他现有的数据流映射工具。然而,一些早期采用者指出,他们在实施ZTNA解决方案之前就开始了发现流程,从而“实现领先”。Gartner观察到下列两种主要方法:1.全面但很耗时:在实施前通过映射应用程序和用户来定义策略。如果计划基于ZTNA部署来部署与零信任相一致的其他技术,则这是首选方法。示例:微分段或基于身份的分段。2.战术性和渐进性:有目的地确定孤立的小型应用程序组,以及最先开始为其提供服务的小型用户团队。在评估所需总时间,以及工作流管理和文档记录流程的稳定性时,将其作为基准。利用最初与不同部门(市场、财务、销售等)的业务负责人合作进行的工
94、作,确定您的团队需要访问哪些应用程序,包括承包商(如果有)。然后,安全负责人能够制定理论上的访问策略和相关的工作档案。工作档案应规定远程工作访问的功能,以及相关的安全要求(参见图2)。图 2 员工远程工作档案的重要组成部分30安全团队的目标应是:收集足够的信息,以了解基于用户角色和团队的远程工作策略。列出每个用户类别的主要应用程序和计算模型。确定数据私隐要求。通过基于员工角色的现有风险评估来映射这些远程工作档案。访问策略和工作档案应基于对零信任策略的支持,并且应与企业的访问期望保持一致。这将为企业的每个团队提供一组标准,从而确定将允许哪些应用程序,以及应授予对应于相应风险的哪种访问权限级别。这
95、使安全团队能够更快地进行ZTNA部署。早期采用者报告指出,在部署ZTNA之前执行应用程序映射有助于验证策略。应用程序映射工具可确定谁将使用每个应用程序以及如何访问应用程序;可以映射应用程序之间的依赖关系。ZTNA项目经理报告指出,即使他们有可用的应用程序发现工具,在确定哪些用户需要访问哪些应用程序时也需要进行大量工作。一种建议是反向进行,确定单个应用程序,然后映射用户。建议尽早开始这项工作,然后根据需要使用更多应用程序进行迭代。许多ZTNA供应商在解决方案(如果以“开放”或“监视”模式部署)中提供此功能,并且一些采用者已经利用了其优势。其他一些方法,如使用已在组织中部署的工具集,可以协助进行此
96、过程。对应用程序执行基于工具的映射并非必需步骤;但是,如果有可用工具,这确实有助于完成ZTNA部署过程。通过排除流程,安全负责人可以利用这些映射工具来验证所制定的理论策略是否满足企业负责人的访问期望。在此流程中确定可能未在开发访问策略期间被发现的其他访问用例,是很正常的行为。通过首先建立策略并随后验证应用程序使用情况,企业可以将理论与实际情况相映射并进行记录。这将有可能弥补任何未预见到的差距,或者为企业没有意识到的用例建立新策略。该方法将为产品确立强大的战术地位,以满足组织在整个企业中部署零信任技术这一主要目标。清理应用程序访问在发现和映射阶段,可能需要对很多现有应用程序访问策略进行调整和调优
97、。这是一个很好的机会,可取消不再相关的应用程序访问权限和权利。在流程中的此阶段,安全负责人应深入了解:哪些用户或系统需要访问应用程序和数据源 哪些已建立的业务数据源受应用程序的保护,以及需要访问的数据的分类 用户应如何以及在何处访问应用程序和数据 谁已获得授权或者正在使用特权访问,以及出于什么目的 哪些资源已由企业批准,以及验证用户是否以预期的方式使用这些资源 哪些应用程序未被批准,以及为什么要使用这些应用程序 哪些应用程序或工具应被取消或限制使用一些组织已向Gartner报告称,他们将其远程访问升级与应用程序和服务现代化的总体路线图保持一虽然许多组织都没有用于修改访问策略的流程,但这样做很有
98、必要。在最初,使访问策略相对宽泛,然后随着时间的推移,根据企业的风险偏好提高策略的粒度。这样,将缩短在部署过程初始阶段的操作周期和故障排除时间。避免一劳永逸策略。31致。这促使企业推迟了对某些应用程序的访问的更改,因为已计划将应用程序迁移到SaaS模型。多个早期ZTNA采用者报告指出,他们能够改变或取消已经过渡到不同角色或已经离开公司的用户的访问权限,这是用户生命周期管理不善的一个例子。一些早期采用者还报告说,他们终止了不再与之有业务关系的相关方(承包商)的访问权限。在这一应用程序清理过程中,应遵守IGA指南和访问策略,并在必要时进行更新,以便基准业务策略不与所实施的变更脱节。准备好应对运营开
99、销和复杂性安全性是连续的生命周期;它始终在演变,对ZTNA策略采取“一劳永逸”方案是不现实的。在ZTNA部署方面富有经验的组织报告称,他们正在不断调整策略。随着新应用程序或数据源(包括季节性应用程序)的部署,ZTNA团队将需要增加新的访问策略以适应业务的变化。随着应用程序或数据源(类型)的演变,或者当安全负责人发现需要更加细化或更高限制性的策略时,也可能需要修改现有的访问 策略。如果服务台或ZTNA实施团队没有做好准备,并受困于大量访问请求(要求开放以前可能可以访问的其他资源的访问权限),这也可能影响到对流程的更改。应充分利用ZTNA工具的功能,以促进和记录任何策略更改。ZTNA团队应采取这样
100、一种心态:随着时间的推移,随时需要改进和完善访问策略。很重要的一点是,要与应用程序和系统的所有者保持沟通,以了解:用户应访问业务部门中的哪些资源?哪些内部和外部用户需要访问权限,以及其应如何访问系统?业务部门内的哪些资源需要提升后的权限,为 什么?哪些应用程序或数据应被限制,或需由业务部门额外批准?是否有任何新项目或即将进行的重大变更可能导致需要修改策略?对这些问题的回答将有可能促使对已确立的访问策略进行修改,并推动在ZTNA生命周期内新修改、测试和验证访问策略这一过程。限制过多或粒度过细的策略最初会影响服务台团队或ZTNA实施团队,因此必须开发明确的例外流程来处理访问请求修改行为。企业必须确
101、定应授予支持团队多大的自主权以进行任何访问更改,以及允许进行什么级别的访问更改。在例外流程中,必须进行验证步骤,以便在访问策略被修改时,继续与业务预期保持一致,并且不会引入不必要的风险。ZTNA策略的部署可能会导致一些运营变化。例如,帮助台和IT支持人员应意识到,将需要为典型端点管理(可能依赖于对端点的第3层VPN访问,对应于打补丁或远程支持等任务)采用其他管理方法。许多ZTNA提供商在应用层(第7层)引导流量,因此可基于传统VPN成功完成的自动化更新任务在更新的ZTNA模式下可能不再有效。在实施ZTNA解决方案之前,与终端管理团队合作,以使端点管理现代化。验证访问控制和资源隔离零信任的一个关
102、键原则是,绝不使用隐性信任,而是始终进行验证。还应将该验证思路或原则应用于企业的内部安全控制集,并在整个企业范围内实施。32信息安全是连续的生命周期,其中包括战略、架构、实施、运营和验证。验证阶段经常被忽略;在此阶段,企业应评估自己的安全控制,并每隔一年确立已知的“原样”遵从状态。对安全控制的验证应成为ZTNA规划过程的一部分,并纳入整体安全计划。安全负责人应制定计划和流程,以测试和验证ZTNA策略的有效性。保 障 评 估 可 具 有 不 同 的 形 式,如 内 部 自 我 评估、ZTNA解决方案以及/或者提供控制测试服务的外部咨询公司内的安全报告工具。测试计划旨在了解两个方面:受保护资源的隔
103、离情况,以及确保系统中用户的访问权限符合组织的访问策略。这种验证确立了ZTNA环境的当前合规性状态,并揭示了可能需要弥补的任何潜在差距。建议在ZTNA技术已部署并实现相对稳定后,企业对ZTNA环境进行保障评估。诸如此类的安全评估应定期执行,主要由组织的风险偏好推动。通常,大多数组织将与外部或第三方安全咨询公司(这些公司的顾问精通现代攻击技术)合作以执行此步骤。依据本研究基于Gartner对ZTNA技术的多个早期和成熟采用者的采访。1 有关零信任成熟度模型的更多信息,请参阅美国网络安全和基础设施安全局的CISA零信任成熟度模型关于零信任架构的更多信息,请参阅美国国防部的零信任参考架构。来源:Ga
104、rtner调研报告,G00772715,Dale Koeppen、Neil MacDonald、John Watts,2022年10月3日33关于京东京东集团定位于“以供应链为基础的技术与服务企业”,目前业务已涉及零售、科技、物流、健康、保险、产发、工业、自有品牌和国际等领域。作为同时具备实体企业基因和属性、拥有数字技术和能力的新型实体企业,京东依托“有责任的供应链”,持续推进“链网融合”,实现了货网、仓网、云网的“三网通”,不仅保障自身供应链稳定可靠,也带动产业链上下游合作伙伴数字化转型和降本增效,更好服务实体经济高质量发展。京东集团奉行客户为先、诚信、协作、感恩、拼搏、担当的价值观,以“技
105、术为本,致力于更高效和可持续的世界”为使命,目标是成为全球最值得信赖的 企业。京东零信任安全实践白皮书由京东发布。由京东提供的编辑内容与Gartner的分析结果相互独立。使用任何Gartner调研报告须获得Gartner的许可,Gartner调研报告最初作为Gartner面向所有具备资格的Gartner客户的联合调研服务的一部分发布。2023 Gartner,Inc.和/或其关联公司。保留所有权利。使用或者出版本出版物中的Gartner调研报告并不表示Gartner认可京东的产品和/或策略。未经Gartner事先书面许可,不得以任何形式复制或分发本出版物。本出版物中包含的信息均取自公认的可靠来
106、源。Gartner不对此类信息的准确性、完整性或适当性做出任何保证。此处表明的观点随时可能更改,恕不另行通知。虽然Gartner研究可能会讨论相关的法律问题,但Gartner并不提供法律建议或法律服务,不应将其研究解释为或用作法律建议或法律服务。Gartner是一家上市公司,其股东拥有的公司或基金可能与Gartner调研报告中涉及的实体有财务利益关系。Gartner的董事会成员可能包括这些公司或基金的高级管理人员。Gartner调研报告是由其调研机构独立完成的,并没有受到这些公司、基金或其管理人员的介入或影响。如需了解Gartner调研报告的独立性和完整性的详细信息,请参阅其网站上的“Guiding Principles on Independence and Objectivity(独立性和客观性的指导原则)”。