1、零信任架构最佳实践张 晨 CISSP CISA中国商业市场技术总监 Palo Alto Networks传统边界安全应对威胁思路3|2020 Palo Alto Networks,Inc.All rights reserved.UntrustedTrusted恶意内部人员员工无意识社会工程边界明确化数字化转型颠覆了这一切用户业务体验：用户无论何时何地以何种方式接入网络，都能获得无差异体验IT架构：资源逐渐在后台或云端集中，经过策略优化和安全过滤后提供需要的用户和应用Zero Trust 应对思路5|2020 Palo Alto Networks,Inc.All rights reserved.

2、UntrustedUntrusted不信任内、外任何人/设备/系统6|2020 Palo Alto Networks,Inc.All rights reserved.信任是一个可以被恶意企图利用的危险漏洞派拓网络零信任最佳实践 -化繁为简5步构建零信任网络定义业务保护区域业务流程访问关系基于保护域构建隔离网络创建零信任策略持续监控1.谁是VIP2.VIP 在哪里3.谁有权限接近VIP8|2020 Palo Alto Networks,Inc.All rights reserved.边界保护边界控制策略微边界监控9|2020 Palo Alto Networks,Inc.All rights r

3、eserved.10|2020 Palo Alto Networks,Inc.All rights reserved.勤洗手戴口罩远离人群聚集场合疫苗酒精消毒消毒液少吃外卖经常开窗通风避免接触和食用野生动物及时观察就医加强锻炼，规律作息定期消毒隔离！新冠病毒防范的有效措施：新型冠状病毒与黑客攻杀链病毒释放感染造成身体伤害新型冠状病毒黑客攻杀链零信任网络的基础：建立保护域，给应用和数据”戴口罩”微边界:资产策略保护域 工控环境 PLC微边界:基础架构服务策略保护域AD/DNS/NTP策略微边界:应用保护域 CRM/ERP微边界:数据微边界:数据策略策略保护域 客户数据保护域 源代码网络隔离网关N

4、GFW保护域微边界零信任网络：制定网络隔离策略，选择合格的”口罩”策略管理器网络隔离网关NGFWPOLICY为什么要进行保护域的的细分？-实现保护域之间的有效隔离如何实现对保护域之间的隔离和控制？-实现从L2-L7的策略控制企业网络安全最佳实践 零信任网络产线应用隔离ICS/SCADA/Modbus生产控制网络核心网络私有云/虚拟化环境OT网络集中管理日志收集安全可视化流程自动化开发测试生产管理网园区办公网数据中心DMZInternetSSL VPN第三方安全接入1.定义保护域2.应用业务访问3.基于保护域进行网络隔离4.创建零信任策略5.安全可视和运维自动化5步构建零信任网络零信任规划服务C

5、yber Transformation定义保护面并匹配通过流量 建立零信任架构以及安全策略 长期监测和维护根据客户实际情况度身定制的0信任环境规划 19|2020 Palo Alto Networks,Inc.All rights reserved.AVNGFWIDS/IPSATPFW终端管理日志云端可视性云端合规DevOps云端 NGFWSaaS 安全安全需求成熟度与用户信息安全发展阶段对应SIEM取证检测与响应威胁搜寻网络安全编排事件管理自动化剧本高级威胁分析自动化威胁搜寻用户行为分析20|2020 Palo Alto Networks,Inc.All rights reserved.AV

6、NGFWIDS/IPSATPFW终端管理日志云端可视性云端合规DevOpsSIEM取证检测与响应威胁搜寻网络安全编排事件管理自动剧本高级威胁分析自动化威胁搜寻用户行为分析云端 NGFWSaaS 安全客户安全需求成熟度适应用户安全需求的各个阶段Cortex XSOARCortex XSOARAuto Focus Threat IntelligenceWild Fire Malware AnalysisCortex XDRVM-Series NGFWNGFWPrisma CloudPrisma SaaSCortex Data LakeCortex XDR安全威胁综合分析及自动化编排FW 即平台公有

7、云安全21|2020 Palo Alto Networks,Inc.All rights reserved.FORRESTER WAVE ZTX 生态提供者的领导者“Palo Alto Networks 拥有最完善的零信任方案 在本地数据中心以及云环境里的任何位置为客户交付零信任.”-The Forrester Wave:零信任生态系统平台提供者,Q3 2020The Forrester Wave is copyrighted by Forrester Research,Inc.Forrester and Forrester Wave are trademarks of Forrester R

8、esearch,Inc.The Forrester Wave is a graphical representation of Forresters call on a market and is plotted using a detailed spreadsheet with exposed scores,weightings,and comments.Forrester does not endorse any vendor,product,or service depicted in the Forrester Wave.Information is based on best available resources.Opinions reflect judgment at the time and are subject to change.完整落地方案和市场占有率最高综合评分多家权威评估机构最高级别认可GartnerNSSForrester