《零信任专场-伏明明-零信任访问控制模型及落地演进(19页).pdf》由会员分享,可在线阅读,更多相关《零信任专场-伏明明-零信任访问控制模型及落地演进(19页).pdf(19页珍藏版)》请在三个皮匠报告上搜索。
1、演讲人:伏明明组织:中通快递零信任访问控制模型及落地演进01.背景介绍02.03.04.目录CONTENTS访问控制模型落地演进总结背景介绍关于我完整落地中通零信任30w+终端用户动态实时信任评估免密登录近千应用全球接入无VPN背景介绍零信任概念访问主体访问主体人员人员设备设备应用应用服务服务控制平面信任评估引擎动态访问控制数据平面可信代理访问资源访问资源应用应用服务服务权限权限数据数据设备设备不可信不可信可信可信安全基础设施安全基础设施威胁情报环境感知安全审计流量分析身份管理认证管理基础安全资源管理公钥基础设施安全的本质是关于信任治理的灰度哲学零信任的目标是尽可能地消除隐式(默认)信任并重构
2、和治理多维动态信任所有能实现这一目标的方法都是零信任零信任访问控制模型定义一套基于策略进行认证、授权和鉴权的业务访问管理框架零信任访问控制模型变量关系以资源为中心动态评估信任度;基于动态信任度生成动态策略;基于动态策略持续访问控制自变量:身份、资源、网络、操作、环境、会话、设备、行为偏好等因变量:信任度、策略等尽可能地消除隐式(默认)信任,重构和治理多维动态信任目标模型三要素零信任访问控制模型注意点兼容传统的访问控制模型如ACL、RBAC等04基于不同类别身份从对应信任根开始构建信任03全面身份化,如人员、设备、应用等02不仅仅基于网络边界构建信任,而是把网络作为环境的一部分01零信任落地演进
3、以终为始123问题域方法论落地方案零信任落地演进问题域常规的各类安全攻击如勒索、挖矿病毒等APT、社工内鬼内外勾结零信任落地演进方法论构建信任评估环路构建信任评估点构建信任评估链路Trust PointTrust ChainTrust Loop零信任落地演进落地方案构建信任点全面身份化零信任落地演进落地方案构建信任点生成信任根人员身份设备身份应用、服务身份MFA、实人校验、活体检测TPM、可信启动可信源码、可信编译零信任落地演进落地方案构建信任点基于策略的动态信任评估零信任落地演进落地方案构建信任点基于策略的统一认证零信任落地演进落地方案构建信任点基于策略的授权和鉴权零信任落地演进落地方案构建信任点基于策略的持续访问控制零信任落地演进落地方案构建信任链路串联多层软件定义的边界,逐层传递信任零信任落地演进落地方案构建信任链路以资源为中心在边界实施微隔离策略零信任落地演进落地方案构建信任环路联合业务系统如审批工作流等形成闭环对资源的每次操作的全流程进行管理闭环和联动检测010203获取资源时,检测是否满足前置条件,如是否获审批、是否具备权限、是否符合行为偏好及其他基于资源的条件策略处理或者消费资源时,实时监测是否按照申请或者原定方式处理,即时推送相关信息至干系人操作或者消费资源结束后,实时监测是否完成既定的善后动作并推送干系人,新需求发起新申请