1、 序 推荐序 随着远程办公等应用的爆发,零信任安全理念得到迅速发展。中国产业互联网发展联盟零信任产业标准工 作组集结业界优势机构,基于实战经验和研究积累,研制和推出本白皮书,希望能为零信任产业发展带来新动 能。中国产业互联网发展联盟秘书长 雷晓斌 本白皮书基于产业实践,给出了详细的技术实现和应用案例,为安全从业者提供了很好的借鉴。随着零信 任理念在国内的快速普及和落地,相关产品和解决方案要更加重视合规要求,这是安全管理的需要也是能被市 场��������������认可的基础。公安部第三研究所(国家网络与信息系统安全产品质量监督检验中心)副主任 顾健 零信任实战白皮书的发布,期待能为企业安全管理者、技术研发和运维等人员提
2、供有价值的参考。腾讯基 于超大型企业网络安全建设实战和诸多客户环境部署经验,贡献了架构方案、技术实现和大量应用场景案例。 基于实战,面向未来。腾讯企业IT部副总经理 黄李明 网络安全是没有硝烟的战场,攻防无异于一场场战斗。而现实的战争模式一直在进化,从一战的堑壕战到 二战的立体化运动战,跟不上进化节奏的一方将会一败涂地,如同二战初期,贯彻运动战思想的德军横扫还抱 着堑壕������战思想的法军。类比一下,传统的划分区域的安全防护模式就如同堑壕战,想依赖几条防线来挡住各种 层出不穷的攻击形式已经力不从心了,而基于零信任原则的安全防御则相当于立体化运动战、机动防御,这样 才����能在越来越复杂的网络攻击形势下建立起
3、稳固的安全阵地。 腾讯游戏CROS助理总经理 刘栖铜、陈冬 零信任产业标准工作组成立后,短时间就推出白皮书这一工作成果。我相信,白皮书能够促进产业界各方 交流,指导相关产品研发。我期待,对企业客户,白皮书能够普及零信任�������安全理念,加快零信任应用实践,从 而在整体上提升企业安全等级。绿盟科技副总裁 李晨 网络安全攻防的发展是拉锯式的,双方的成败都是在此消彼长之间,因此不存在“绝对的安全”,也不存在 “无法防御的威�������胁”,网络安全从业者在不断的实践中找寻解决方案,希望能够为有价值的目标提供持续动态的 防护。天融信高级副总裁 杨斌 零信 任 实 战 白 皮 书序 零信任产业标准工作组 编制组自序 零信任
4、产业�������标准工作组(以下称“工作组”)作为国内率先提出将零信任产业化与标准化相结合发展的专业 组织(截止本白皮书发布时间,成员单位已包含国内22家零信任产学研用的权威机构),工作组的使命和目标 是:以标准化为纽带促进零信任产业规模化发展,为用户提供标准、可信赖的零信任产品和服务。 零信任实战白皮书作为工作组第一项正式发布的研究成果,以国内产业界的工程实践和依托零信任架 构开展的真实攻防实战经验为基础,全面且详细地介绍了零信任理念、零信任与传统边界安全理念的关系、零 信任参考架构、零信任实现方案、零信任应用场景、零信任落地指引、行业客户案例、探索和展望等方面的内 容,供所有对零信任感兴趣的读者交流和
5、参考。 由于零信任理念在业界处于快速普及和发展的阶段,本书内容仅代表编制组专家们的理解和实践经验。大 部分编制组专家平时专注于技术研究和产品研发,并非专业的“写手”,专家们牺牲了大量个人休息时间对白皮 书内容进行研制和讨论,希望尽可能准确和完整的呈现基于实战的零信任理念全貌。即便如此,由于时间仓 促,编制过程中也难免存在理解不准确或者文字表达谬误之处,欢迎读者们多提������宝贵意见。 零信任实 战 白 皮 书序 零信任产业标准工作组 本白皮书版权属于零信任产业标准工作组,并受法律保护。转�����载、摘编或利用任何其他方式使用白皮书文 字或观点的,均应注明“来源:零信任产业标准工作组”。违反以上声明者,工作组将
6、保留追究其相关法律责任 的权利。 编制单位 腾讯科技(深圳)有限公司、完美世界控股集团有限公司、北京天融信网络安全技术有限公司、公安部第 三研究所、绿盟科技集团股份有限公司、北京蔷薇灵动科技有限公司、中国移动通信集团设计院有限公司、任 子行网络技术股份有限公司、上海观安信息技术股份有限公司、中孚信息股�����份有限公司、深圳市网安计算机安 全检测技术有限公司、国家计算机网络应急技术处理协调中心、北京芯盾时代科技有限公司、腾讯云计算(北 京)有限责任公司。 蔡东赟、何艺、龙凡、刘治平、陈妍、刘弘利、李小鹏、杜雪涛、张晨、赵蓓、王先高、谢江、王卫峰、 洪跃腾、程建明、赵芸������伟、李凯、黄超、刘海涛、翟尤、曹静
7、、孙少波、谢仪頔。 编制人员 版权声明 零信 任 实 战 白 皮 书版 权 声 明 零信任产业标准工作组 零信任概述 1.1������ 产生背景 1.2 零信任原则 1.3 标准化进展 零信任与传统边界安全理念的比较 2.1传统边界安全理念 2.2 零信任理念 2.3 零信任与传统安全产品/设备的关系 零信任参考架构 3.1 SDP架构概述 3.2 NIST零信任架构概述 3.3 通用参考架构 零信任实现方案 4.1用户对资源访问模式实现 4.2 服务之间调用模式实现 零信任应用场景 5.1 办公安全 5.2 数据中心内部访问 5.3 大数据 5.4 物联网 5.5 多云安全访问和混合云服务器运维 5.
8、6 私有机房对外访问入口的安全防护 零信任落地指引 6.1 实施概述 6.2全新建设实施指引 6.3已有网络架构升级实施指引 目录 01 05 13 17 38 52 零信任实 战 白 皮 书目录 零信任产业标准工作组 行业客户案例 7.1 某全球综合性互联网公司案例(腾讯) 7.2 某大型多分支游戏公司案例(完美世界) 7.3 某大型互联网金融������企业数据中心案例(蔷薇灵动) 7.4某政务应用案例(天融信) 7.5 某集团多级分支机构案例(天融信) 7.6 某大型央企数据中心内攻防演练中的应用案例(蔷薇灵动) 7.7 某政府单位案例(绿盟) 7.8 某保险金融集团案例(腾讯) 7.9 某公安实战
9、平台案例(任子行) 7.10 BeyondCorp案例(谷歌) 零信任探索和展望 8.1 合规性探索讨论 8.2 5G应用场景探索讨论 8.3 展望 附录 76 81 56 �������零 信 任 实 战 白 皮 书目 录 零信任产业标准工作组 01零信任概述 1.1 产生背景 对于资源的访问保护,传统方式是划分安全区域,不同的安全区域有不同的安全要求。在安全区域之间就 形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的 各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。在边界安全理念中网络 位置决定了信任程度,在安全区域边界外的
10、用户默认是不可信的(不安全的),没有较多访问权限,边界外用 户想要接入边界内的网络需要通过防火墙、VPN等安全机制;安全区域内的用户默认都是可信的(安全的), 对边界内用户的操作不再做过多的行为监测,但是这就在每个安全区域内部存在过度信任(认为是安全的,给 予的权限过大)的问题。同时由于边界安全设备部署在网络边界上,缺少来自终端侧、资源侧的数据,且������相互 之间缺乏联动,对威胁的安全分析是不够全面的,因此内部威胁检测和防护能力不足、安全分析覆盖度不够全 面成为了边界安全理念固有的软肋。甚至很多企业只是非常粗粒度的划分�������了企业内网和外网(互联网),这种 风险就更为明显。 另外,随着云计算、物联网以及移
11、动办公等新技术新应用的兴起,企业的业务架构和网络环境也随之发生 了重大的变化,这给传统边�������界安全理念带来了新的挑战。比如云计算技术的普及带来了物理安全边界模糊的挑 战,远程办公、多方协同办公等成为常态带来了访问需求复杂性变高和内部资源暴露面扩大的风险,各种设备 (BYOD、合作伙伴设备)、各种人员接入带来了对设备、人员的管理难度和不可控安全因素增加的风险,高 级威胁攻击(钓鱼攻击、水坑攻击、0day漏洞利用等)带来了边界安全�������防护机制被突破的风险,这些都对传统 的边界安全理念和防护手段,如部署边界安全设备、仅简单认证用户身份、静态和粗粒度的访问控制等提出了 挑战,亟需有更好的安全防护理念和解决思路
12、。 传统边界安全理念先天能力存在不足,新技术新应用又带来了全新的安全挑战,在这样的背景下,零信任 的最早雏形源于2004年成立的耶利������哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网����� 络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任;美国国防信息系统局(DISA)为了解决 GIG(全球信息栅格,是美军信息化作战规划中极其重要且宏大的基础设施)中,如何实时、动态地对网络进 行规划和重构的问题,发起了BlackCore项目,将基于边界的安全模型转换为基于单个事物安全性的模型,并 提出了SDP(Software Defi ned Perimeter)的概念,该
13、概念后来被云安全联盟(Cloud Security Alliance)采 纳。2010年,由著名研究机构Forrester的首席分析师John Kindervag最早提出了零信任(Zero Trust)的概念, 并由Googl���������e在BeyondCorp项目中率先得到了应用,很好的解决了边界安全理念难以应对的安全问题。 零信任代表了新一代的网络安全防护理念,并非指某种单一的安全技术或产品,其目标是为了降低资源访 问过程中的安全风险,防止在未经授权情况下的资源访问,其关键是打破信任和网络位置的默认绑定关系。 在零信任理念下,网络位置不再决定访问权限,在访问被允许之前,所有访问主体都需要经过身份认证和
14、 授权。身份认证不再仅仅针对用�������户,还将对终端设备、应用软件等多种身份进行多维度、关联性的识别和认 1.2 零信任原则 零 信 任 概 述零 信 任 实 战 白 皮 书 零信任产业标准工作组 2014年,国际云安全联盟CSA的SDP工作组发布了SDP Specifi cation 1.0(SDP标准规范1.0),描 述了SDP协议架构、工作流、协议实现、SDP应用等内容。2019年,由中国云安全������联盟(C-CSA)秘书处组织 CSA大中华区SDP工作组专家进行了中文版本翻译。 2019年7月,腾讯联合CNCERT、中国移动设计院、奇虎科技、天融信等产学研机构,发起CCSA零信 任安全技术参考框架行
15、业标准立项,率先推进国内的零信任标准研制工作,该标准主要解决零信任网络安全 技术的标准化、规范化等问题,帮助用户基于标准化的方式来评估其安全态势,重构网络与安全应用。 2019年9月,在瑞士日内瓦举办的ITU-T(国际电信联盟通信标准化组织) SG17安全研究组����全体会议上,由 腾讯、CNCERT、中国移动设计院主导的“服务访问过程持续保护参考框架”国际标准成功立项。该框架提供有 1.3 标准化进展 证,并且在访问过程中可以根据需要多次发起身份认证。授权决策不再仅仅基于网络位置、用户角色或属性等 传统静态访问控制模型,而是����通过持续的安全监测和信任评估,进行动态、细粒度的授权。安全监测和信任评 估
16、结论是基于尽可能多的数据源计算出来的。 我们总结了零信任理念的基本假设、基本原则如下: 1)零信任理念的基本假设 a) 内部威胁不可避免; b) 从空间上,资源访问的过程中涉及到的所有对象(用户、终端设备、应用、网络、资源等)默认都不信 任,其安全不再由网络位置决定; c) 从时间上,每个对象的安全性是动态变化的(非全时段不变的)。 2)零信任的基本原则 a)任何访问主体(人/设备/应用等),在访问被允许之前,都必须要经过身份认证和授权,避免过度的 信任; b)访问主体对资源的访问权限是动态的(非静止不变的); c)分�����配访�����问权限时应遵循最小权限原则; d)尽可能减少资源非必要的网络暴露,以减少
17、攻击面; e)尽可能确保所有的访问主体、资源、通信链路处于最安全状态; f)尽可能多的和及时的获取可能影响授权的所有信息,并根据这些信息进行持续的信任评估和安全响应。 零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风 险水平和投入综合考虑决定。 关持续身份安全和访问控制管理的标准化指导,成为国际标准组织中首个零信任安全相关的技术标准,对推动 零信任安全技术在全球范围规模商用的进程,加快零信任技术和服务快速发展与普及具有重要深远��������的意义。 2020年3月,“服务访问过程持续保护参考框架”国际标准草案正式提交ITU-T,也在SG17安全研究组全体会议 中得
18、到普遍认可并获继续推进。 2019年9月,美国国家标准技术研究所(NIST)发布了零信任架������构草案(NIST.SP.800-207-draft -Zero Trust Architecture);202��������0年2月,NIST对零信任架构的草案进行了修订;8月11日,标准正式 发布。该标准介绍了零信任的基本概念、体系架构的逻辑组件、部署场景、零信任与与现有联邦指南的可能交 互等内容。 2020年,奇安信公司牵头在全国信息安全技术标准化委员(TC260)申请的信息安全技术 零信任参考 体系架构标准在WG4工作组立项,该标准主要致力于提出可信的零信任架构,从概念模型开始,确定零信任 原则和技术框架,包括零
19、信任架构的体系、组件和基本工作流程等内容。 可以看出,2019年可谓是零信任标准化研制工作爆发的元年,这也侧面说明了零信任理念经过十余������年的发 展,相关技术和产品已逐步成熟。可以预见,未来将会有更多零信任相关的标准出台,这对我国零信任产业的 规模化发展打下了良好基础。 零信任实 战 白 皮 书零 信 任 概 述 零信任产业标准工作组 关持续身份安全和访问控制管理的标准化指导,成为国际标准组织中首个零信任安全相关的技术标准,对推动 零信任安全技术在全球范围规模商用的进程,加快零信任技术和服务快速发展与普及具有重要深远的意义。 2020年3月,“服�����务访问过程持续保护参考框架”国际标准草案正式提交IT
20、U-T,也在SG17安全研究组全体会议 中得到普遍认可并获继续推进。 2019年9月,美国国家标准技术研究所(NIST)发布了零信任架构草案(NIST.SP.800-2��������07-draft -Zero Trust Architecture);2020年2月,NIST对零信任架构的草案进行了修订;8月11日,标准正式 发布。该标准介绍了零信任的基本概念、体系架构的逻辑组件、部署场景、零��������信任与与现有联邦指南的可能交 互等内容。 2020年,奇安信公司牵头在全国信息安全技术标准化委员(TC260)申请的信息安全技术 零信任参考 体系架构标准在WG4工作组立项,该标准主要致力于提出可信的零信任架构,从概念
21、模型开始,确定零信任 原则和技术框架,包括零信任架构的体系、组件和基本工作流程等内容。 可以看出,2019年可谓是零信任标准化研制工作爆发的元年,这也侧面说明了零信任理念经过十余年的发 展,相关技术和产品已逐步成熟。可以预见,未来将会有更多零信任相关的标准出台,这����������对我国零信任产业的 规模化发展打下了良好基础。 零信 任 概 述零信 任 实 战 白 皮 书 零信任产业标准工作组 02零信任与传统边界 安全理念的比较 1)概述 传统的基于网络边界的安全防护模型,其基本思路是先根据业务和信息敏感程度定义要保护的对象,然后 确认对象的安全级别,对于级别相同的对象认为属于同一安全区域。在划分安全区域后,
22、在不同安全级别的安 全区域之间就形成了����网络边界。由于安全级别不同,通过相关的技术来进行安全隔离,实现对各个安全区域的 安全防护。 这种安全防护模型通过防火墙、IPS等边界安全�����产品/设备对企业网络边界进行防护,将攻击者尽可能挡在 非信任网络边界的外面,并假定边界内是默认可信任的,对边界内的操作基本不做过多限制。 2)优点 边界安全理念在早期网络环境中是有效的,因为当时的网络规模不大,业务也不复杂,通过边界隔离可以 很好的阻断蠕虫类攻击传播和一些未授权的访问,总的来说具有以下优点: a)简单可靠:边界模型结构清晰,通过明确所需保护资源的边界来隔离风险,当策略正确实施后,可以 保持长时间的稳定运行;
23、 b)阻断效果彻底:多数边界安全理念的隔离设备可以基于网络层的阻断,可以彻底阻断请求数据进入区 域内; c)业务侵入低:业务不用做过多改造,边界隔离系统和检测系统可以透明部署。 3)缺点 随着时代的发展,网络节点数量爆发式增长,各类新的应用和业务场景也不断涌现,对网络规则的管理成 本已经越来越高,而攻击已经发展出各式各样的攻��������击模式出来,可以轻松越过安全边界,如下图: 2.1 传统边界安全理念 图-边界安全示意图 零信 任 实 战 白 皮 书零信任与传统边界安全理 念 的 比 较 零信任产业标准工作组 1)概述 由于传统安全模型不能解决更高�������强度的攻击场景,在对抗过程中零信任安全理念被逐渐提出和实
24、践,零信 任通过先假定人、终端、资源等都是不可信的,通过建立人到终端到资源的信任链,并动态实时校验信任链, 来实现对资源安全可信请求,阻断攻击数据。 在攻击过程中,攻击者可以通过邮件等方式将病毒、蠕虫或后门,通过正常的业务通道经防火墙类隔离系 统,将攻击载荷投递到信任网络中,或是以物理潜入等方式绕过边界隔离系统的控制,直接在内部发起进攻。 传统的边界安全理念强在边界处的防护,对已经进入边界内信任网络中的请求,或�������有规则信任和允许的请 求不再进行阻断,因此攻击者一旦进入到内部后攻击难度大幅降低,因此传统边界安全模型主要的缺点有: a)同域横向攻击难以防护:由于基于网络物理位置进行信任和非信任网络的
25、划分,安全设备通常无法覆 盖到同域环境内的系统,也自然无法进行防护; b)合法权限的复用难以防护:攻击者通常可以复用合法权限(如口令、访������问票据等),边界安全理念系 统难以区分是正常访问,还是攻击数据; c)安全检测盲点:边界防护模型通常不介入到业务中,因此难以还原所有的轨迹,不能有效关联分析, 导致安全检测容易出现盲点。 d)边界容易绕过:难以抵御高级威胁攻击,防护机制容易被绕过。 e)对云计算等新技术新应�����用的适应性不强。 2.2 零信任理念 图-边界安全理念风险示意图 零信任实 战 白 皮 书零信 任 与 传 统 边 界 安全理念的比较 零信任产业标准工作组 在零信任架构下,传统的边界(网络
26、位置)已经不再重要,即便你在信任网络中同样也是处于“不可信”状 态,每一次对资源的请求,都会要经过信任关系的校验和建立,如上示意图。 2)优点������ 零信任安全架构提供了有别于传统安全的增强安全机制,在新的架构模型下,区分恶意和非恶意的请求, 是来自人、终端、资源三者关系是否正确,是否可信,以及零信任强调的“从不信任、持续校验”(Never Trust,Always Verify)理念,零信任给安全带来的优点有以下方面: a)安全可信度更高:因为信任链条的关系是环环相扣,如果中间状态发生任何改变,会更容易被发现和 检测; b)动态防护能力更强:每一次对资源的请求,都是一次重新校验的过程,安全是动态的
27、,而检测也是动 态持续发生,这样如果产生了异常,可以迅速感知并阻断; c)除此外还有诸如全链路加密,分析能力增强、访问集中管控、资产管理方便等优点。 3)缺点 安全没有万能的解决方案,用一个新的方案解决安全风险时,一定也会带来新的风险,因此也需要正视零 信任的优缺点,选择适合的方案,零信任架构有几个缺点: a)单点风险:零信任是强管控架构,对资源的控制�������都集中在网关上,因此一旦单点故障会导致整个业务 中断; b)权限集中������风险:零信任架构将很多风险收敛集中起来,降低了管理成本但集中化管理如果失控也会带 更大风险; c)复杂化风险:零信任架构覆盖面很广,从用户到终端到应用资源,架构涉及多个组件,导致
28、复杂化程 度加大,增加了故障判断和修复成本; d)投入风险:零信任架构建设周期比一般架构体系要更长,如果不能持续投入容易功亏一篑,导致投资 浪费。 图-零信任架构安全信任链构建示意 如果将两者放到一起,就会发现,优缺点是有显著区别的,比如传统安全模型结构简单,零信任架构复 杂,可是安全防护能力更强,如下表: 零信 任 实 战 白 皮 书零信任与传统边界安全理 念 的 比 较零信 任 实 战 白 皮 书零信任与传统边界安全理 ������念 的 比 较 零信任产业标准工作组 4) 企业网络防护从传统边界安全理念到零信任理念演进的原因��������分析 a)纯内网安全管理的增强需求 传统的基于网络边界的安全防护模型,适用于
29、网络环境比较固定,物理边界比较清晰的情况(网络安全边 界即物理边界),能够一定程度上把安全威胁限制在要保护的安全区域之外,安全区域划分的越小,边界保护 的精度越高。 传统的基于网络边界的安全防护模型,好比为要守一座城,先在城的四周建立城墙,把城内与城外隔离开 来,再修建城门,作为关卡检查所有进城人员,保障外来的人员都是可信任的再放行进城。这种安全模型的缺 点很明显,边界总会被绕过,传统方式通过架设防火墙堵住入口,然后建设自己的内网,入口处做好认证和检 查。然后把企业的终端设备接入到内网,接入设备就作为一个可信的设备,同时设备分配一个比较大网络权限 �������(一般企业规划是给一个业务类型的设备一个大网络
30、段,不可能规划太多的网络段,比如办公网大概就划分几 个大的段,服务器区的网络规划也同理),接入后的设备可以在内网访问大量业务服务器、业务资源或者各类 运维资源入口。企业内网资源针对单个终端,将大面积地暴露。虽然有很多边界安全防护设备,但是还是抵挡 不住员工被攻击,比如使用被社工入侵内网的终端设备,这个终端设备天然被内网信任,一旦终端设备被攻陷 可作为跳板,有一个大网段的企业内部服务器资源可以任意������访问。被攻陷的终端设备运行未知的恶意代码,进 行内网传播、盘点服务器资源、入侵破坏服务器或者窃取数据,终端设备具备对应的网络权限,安全管理人员 也不知道终端内是用什么应用在访问什么具体的目标资源,总之这
31、个传统可信的设备拥有一个大网段的网络访 问权限,如果终端上的高级威胁代码无法及时被发现并有效�����阻止,那么恶意攻击人员就可以在内网畅通无阻。 这种风险的本质就是利用了合法设备-合法网络权限的弱点,传统的安全认为接入认证后的设备都是可�������信的, 并且网络划分对单点设备的访问授权过大,边界设备沦陷后导致大片内网资源暴露给攻击入侵者。 零信任方案在传统职场内部提供了一种增强的安全机制:在传统的网络基础建设上,屏蔽大部分非关键职 位的终端直接访问内网业务服务器的通道,所有的终端都必入通过零信任系统的认证授权,受控保护,然后通 如果将两者放到一起,就会发现,优缺点是有显著区别的,比如传统安全模型结构简单,零信任
32、架构复 杂,可是安全防护能力更强,如下表: 过链路加密的零信任安全网关才可以访问到具体的业务系统。只有符合访问控制策略的可信用户身份、可信设 备、可信应用等,才可以访问授权范围内具体业务系统。通过可信应用白名单,可以大大减少供应链攻击、未 知恶意代码执行渗透扫描等威胁。持续关注用户身份、设备安全状态、可信应用的安全状态等关键对象的安全 变化,如果一个对象变化则要立刻阻断访问。此外,还可以通过提供基础的终端安全保护、合规监测、系统加 固等能力,保障终端�������设备长期处于一个符合基线的安全状态;为访问链路提供加密通道,在内网也可以避免临 近沦陷机器的嗅探攻击。 b)企业办公网络建设规划管理的环境变化导致
33、 当前企业生产网络的环境正在发生变化,办公网络环境也在快速变化。中小企业因为发展阶段,处于成本 考虑,一般不建设自己和管理自己的IDC机房,使用云服务提供商的资源。企业的业务系统上云后,内部管理IT 类的内部系统也随之上云了。大型企业面临的大量办事处、分支机构、跨境并购公司等情况,办公网络安全管 理、并购公司机房资源的统一的安全访问管理都存在安�����全挑战。 集团企业对分支机构的保护管理,传统的方式是对分支机构网络“画个圈”,圈里面提供网络和安全基础建 设和管理服务,然后用专线串联起来组成一个大的企业网络,进行统一的网络安全管理。具体如架设一条专 线,打通分支机构和集团公司/云之间的网络通道,通过先
34、在分支机构部署网络设备,然后部署安全防护设�����备如 终端准入设备、防火墙、流量检测设备等,部署后要投入人力进行网络规划、策略维护、安全运营等。这种方 式对于大部分系统上云的企业来说意义不大,投入却很大。零信任理念下,针对分支机构,在云的业务服务入 口架设零信任安全网关,分�������支机构只需简单提供一个有宽带的办公网络,无需划分和维护特别复杂的网络策 略,简单的认证进本地办公网络,然后通过ISP提供便宜的公网带宽,做链路保护接入到安全网关,鉴权合法后 再到具体的云上业务系统。基于用户身份、设备安全、可信应用、目标业务系统的细粒度访问控制策略,不管 是建立访问连接还是访问过程中,一旦某个关键对象出现安全问题则
35、进行访问阻断,以减少风险。如果发现终 端设备出现高危病毒木马,对于访问过程中已经建立的访问连接,则会被零信任安全网关阻断,大大降低������了因 终端安全问题导致的服务器入侵、破坏或窃取数据的风险。 针对集团并购公司、办事处等分支职场网络的场景,落地零信任架构并不是一定要把分支职场网络归入集 团的大网,并做统一的规划管理。例如并购公司的分支职场如果已经有传统的安全投入和团队投入,且分支职 场的员工不多,拉一条专线接入到集团统一的网络规划池,需要同时在分支网络提供网络防护等安全设备,以 及面临进行安全设备的运营维护等工作投入,因此合并到集团网络统一管理的成本会很高。而实际上仅需要在 终端设备上安装零信任终
36、端代理软件,实现终端的安全监测和防护,通过密码技术在公网上建立安全的通信链 路连接到集团统一的零信任安全网关,访问集团的业务系统。这样可以快速、经济的适应分支职场网络建设和 访问集团业务系统的需求。 传统边界安全理念 1.简单可靠 2.规则清晰 3.阻断更彻底 4.业务侵入低 1.安全可靠性更高 2.攻击难度大 3.持续校验,从不信任 1.无法防护内部攻击 2.边界容易绕过 3.防护深度不够 4.新技术新应用适应性不强 1.单点风险 2.集中化风险 3.复杂化风险 4.凭证风险����� 5.投入风险 零信任理念 优点 缺点 零信任实 战 白 皮 书零信 任 与 传 统 边 界 安全理念的比较零信任实
37、战 白 皮 书零信 任 与 传 统 边 界 安全理念的比较 零信任产业标准工作组 过链路加密的零信任安全网关才可以访问到具体的业务系统。只有符合访问控制策略的可信用户身份、可信设 备、可信应用等,才可以访����问授权范围内具体业务系统。通过可信应用白名单,可以大大减少供应链攻击、未 知恶意代码执行渗透扫描等威胁。持续关注用户身份、设备安全状态、可信应用的安全状态等关键对象的安全 变化,如果一个对象变化则要立刻���阻断访问。此外,还可以通过提供基础的终端安全保护、合规监测、系统加 固等能力,保障终端设备长期处于一个符合基线的安全状态;为访问链路提供加密通道,在内网也可以避免临 近沦陷机器的嗅探攻击。 b)
38、企业办公网络建设规划管理的环境变化导致 当前企业生产网络的环境正在发生变化,办公网络环境也在快速变化。中小企业因为发展阶段,处于成本 考虑,一般不建设自己和管理自己的IDC机房,使用云服务提供商的资源。企业的业务系统上云后,内部管理IT 类的内部系统也随之上云了。大型企业面临的大量办事处、分支机构、跨境并购公司等情况,办公网络安全管 理、并购公司机房资源的统一的安全访问管理都存在安全挑战。 集团企业对������分支机构的保护管理,传统的方式是对分支机构网络“画个圈”,圈里面提供网络和安全基础建 设和管理服务,然后用专线串联起来组成一个大的企业网络,进行统一的网络安全管理。具体如架设一条专 线,打通分支机
39、构和集团公司/云之间的网络通道,通过先在分支机构部署网络设备,然后部署安全防护设备如 终端准入设备、防火墙、流量检测设备等,部署后要投入��������人力进行网络规划、策略维护、安全运营等。这种方 式对于大部分系统上云的企业来说意义不大,投入却很大。零信任理念下,针对分支机构,在云的业务服务入 口架设零信任安全网关,分支机构只需简单提供一个有宽带的办公网络,无需划分和维护特别复杂的网络策 略,简单的认证进本地办公网络,然后通过ISP提供便宜的公网带宽,做链路保护接入到安全网关,鉴权合法后 再到具体的云上业务系统。基于用户身份、设备安全、可信应用、目标业务系统的细粒度访问控制策略,不管 是建立访问连接还是访问
40、过程中,一旦某个关键对象出现安全问��������题则进行访问阻断,以减少风险。如果发现终 端设备出现高危病毒木马,对于访问过程中已经建立的访问连接,则会被零信任安全网关阻断,大大降低了������因 终端安全问题导致的服务器入侵、破坏或窃取数据的风险。 针对集团并购公司、办事处等分支职场网络的场景,落地零信任架构并不是一定要把分支职场网络归入集 团的大网,并做统一的规划管理。例如并购公司的分支职场如果已经有传统的安全投入和团队投入,且分支职 场的员工不多,拉一条专线接入到集团统一的网络规划池,需要同时在分支网络提供网络防护等安全设备,以 及面临进行安全设备的运营维护等工作投入,因此合并到集团网络统一管理的成本会很高。而
41、实际上仅需要在 终端设备上安装零信任终端代理软件,实现终端的安全监测和防护,通过密码技术在公网上建立安全的通信链 路连接到集团统一的零信任安全网关,访问集团的业务系统。这样可以快速、经济的适应分支职场网络建设和 访问集团业务系统的需求。 零 信 任 实 战 白 皮 书零 信 任 实 战 白 皮 书零信任与传�������统边界安全理 念 的 比 较 零信任产业标准工作组 2.3 零信任与传统安全产品/设备的关系 零信任是一种安全理念,本质上和传统安全产品/设备并不是同一个维度的概念,但是由于零信任架构落地 的时候,会和传统安全产品/设备产生协作,甚至可能存在替代某些传统安全产品/设备的情况。本章简要介绍 与
42、零信任关系紧密的几种安全产品/设备的关系,便于更方便和深刻的理解零信任的落地。 1)零信任与防火墙的关系 防火墙提供了划分网络边界、隔离阻断边界之间的流量的一种方式,通过防火墙可以提供简单、快速有效 的隔离能力。防火墙和零信任在实践中可以互相补充,常见的场景是在实施了零信任的环境中,通过防火墙限 制除了零信任网关端口外的一切访问,最小化非信任网络到信任网络的权限,将攻击面降到最低。 2)零信任与IAM的关系 零信任强调基于身份的信任链条,即该身份在可信终端,该身份拥有权限,才可对资源进行请求。传统 IAM系统可�����以协助零信任解决身份(账号)唯一标识,身份属性,身份全生命周期管理等支持。通过IAM
43、将身份 信息状态(身份吊销离职、身份过期、身份异常等)传递给零信任系统后,零信任系统可以通过IAM系统的身 份信息(如部门属性)来分������配默认权限,而通过IAM系统对身份的唯一标识,可有利于零信任系统确认用户可 信,通过对唯一标识对用户身份建立起与终端、资源的信任关系,并在发现身份风险时实施针对关键用户相关 的访问连接进行阻断等控制。 3)零信任与SOC/SIEM/Snort等产品的关系 零信任重要理念之一是持续安全校验。校验对象包含了用户是否安全可信,终端环境是否安全可信,访问 资源是否安全可信等维度。一些深层次的安全分析往往需要大量数据支撑和较多计算资源的投入,集中在零信 任的策略引擎中会带来
44、引擎负载过大、影响引擎稳定性等风险。结合SOC系统可以增强零信任的安全检测能力 和复杂安全事件分析能力,通过接入包含零信任系统在内的各种数据,可以实现从终端接入,到什么用户对资 源发起请求,对用户行为进行全过程的综合异常检测能力。SOC系统检测出对安全事件又可以联动零信任系 统,对来自风险源的访问进行阻断或�������是降权处理。 a)SOC系统输出到零信任系统:行业的SOC系统大部分收集并且存放和记录着各种各样的安全系统的监 测结果,同时部分企业的SOC系统具有大量基于企业自身特有的威胁检测规则,可以输出关键身份高危信息、 设备高危信息、恶意应用信息等关键对象的信息。SOC系统告警经过简单过滤后,输出身
45、份、设备、恶意应用 特征等给到零信任系统,零信任系统可以查询关键对象涉及到的连接或者终端,可以快速终止在进行中的有恶 意风险来源的业务系统访问连接,降低整个企业核心业务访问的风险。 b)零信任系统输出到SOC系统:访问�������请求涉及到用户、设备、应用、访问连接等访问日志,可以提供给 SOC系统做异常行为监测分析。 同理其他安全检测分析平台也可以联动,如Snort、SIEM、IDS������类可以输出关键对象风险并和零信任系统的 访问控制组件联动。 零信任实 战 白 皮 书零 信 任 与 传 统 边 界 安全理念的比较 零信任产业标准工作组 4)零信任与OTP的关系 零信任中强调用户的可信,当物理现实中的用户投
46、射到网络中时,如何证明你是你本人,则需要对该身份 进行鉴别。鉴别的方式有多种多样,传统的静态口令鉴别由于容易被盗取、爆破,安全性较差,无法真正有效 证明用户身份。因此一次一密(OTP)结合PIN码,或是其他鉴权因子可以实现更加可信的身份鉴别,提高零 信任系统中用户可信这一层面的安全性。 5)零信任与虚拟专用网络(VPN)关系 VPN提供了一种在公共网络上建立专用数据通道的技术。包含两层含义:一是“虚拟”,即并不存在一个端 到端的物理通信链路,而��������是在公共网络上建立一个逻辑上的专用网络;二是“专用”,强调私有性和安全性。 VPN是对企业内网的延伸,通过VPN可帮助企业分支机构、远程用户、外部合作伙
47、伴等与企业内部网络建立安 全的网络连接,实现安全保密通信。 隧道技术是实现VPN的关键技术,通过对通信数据的封装和解封装,实现数据的透明、安全传输。根据隧 道所在的网络层次,可分为二层、三层、应用层隧道协议。常见的二层隧道协议包括PPTP、L2TP,三层隧道 协议包括GRE、IPsec,应用层隧道协议SSL VPN等。 虽然零信任和VPN是不同维度的概念,但在安�����全接入和数据加密通信等方面有相似性。Gartner预测到 2023年将有60%的VPN被零信任取代。下表是零信任和VPN的比较。 相比较优点 1.架构复杂,实施有一定难度 2.技术发展期,厂商尚不多 1.技术成熟 2.技术选型可选择面较
48、宽 相比较缺点 零信任 VPN 1、覆盖的安全能力更全面,理念更先进,拥有更强的身 份认证和细粒度访问控制能力 2、适����用场景更多,不局限于网络远程访问 3、可快速扩容,对网络链路质量要求没有VPN严格 1、安全性不足 无法解决合法用户的内部安全威胁;用户证书被盗或用户身份验证强度 不足等安全问题;仅一次用户鉴权,没有持续安全监测 2、稳定性不足 当使用弱网络(如小运营商,丢包率高),海外网络(跨洋线路,延迟 大)时,频繁断线重连,访问体验差 3、灵活性不足 大部分企业的VPN产品是第三方采购,采购和部署周期长,容量,带宽 也受限于先前的规划,难以在突发需要的时候进行快速的弹性扩容。 零信 任
49、实 战 白 皮 书零信任与传统边界安全理 念 的 比 较零信 任 实 战 白 皮 书零信任与传统边界安全理 念 的 比 较 零信任产业标准工作组 03零信任参考架构 用什么样的架构来落地零信任理念,目前尚没有统一的定义,但业界已有多个������组织正在为给出零信任架构 设计和定义而努力。目前业界比较熟知的架构有SDP软件定义网络和NIST提出的零信任体系架构。企业可以通 过多种架构方式引入零信任理念,不同的应用场景可以使用不同的架构,每种架构的侧重点有所不同。企业可 以根据自身需求,使用一种或多种架构作为落地零信任理念的主要驱动元素。 SDP软件定义边界是国际云安全联盟(CSA)于2013年提出的新一代网络安全架构,CSASDP标准规范 1.0给出的SDP的定义是:“SDP旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的 网络隔离开来,SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件并仅在设备验证和身份验证后 才允许访问企业应用基础架构。”-“应用程序/应用/服������务”在本文语境下均指资源。 SDP架构主要包括三大组件:SDP控制器(SDP Controler)、SDP连接发起主机(IH,Initial host)、 SDP连接接受主机(AH,Accept host)。SDP控制器确定哪些IH、AH主机可以相互通信
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
