1、从身份开始的零信任实践曲赟神州数码 应用安全专家零信任信任度设备用户环境应用/服务/数据重要性持续认证动态授权风险性/信任度=？访问主体访问客体可信性风险性ZeroTrust零信任的本质1.以身份为中心通过身份治理平台实现设备、用户、应用等实体的全面身份化，采用设备认证和用户认证两大关键技术手段，从0开始构筑基于身份的信任体系，建立用户全新的身份边界。2.业务安全访问所有的业务都隐藏在零信任可信接入网关之后，只有认证通过的设备和用户，并且具备足够的权限才能访问业务。3.动态访问控制访问控制需要符合最小权限原则进行细粒度授权，基于尽量多的属性进行信任和风险度量，实现动态自适应访问控制。某金融客户

2、远程办公突发新冠肺炎疫情影响，近百万员工远程办公，需要在极短时间内，解决员工远程办公安全接入问题。有VPN，但仅供运维人员与少量出差人员使用，无法满足全员使用需求；VPN 短期内难以大规模扩容；并且，大规模用户接入VPN，投资过大，性价比不高；已经全员使用钉钉，希望员工通过钉钉可以安全访问内部业务系统。客户面临的问题身份中台助力远程办公基于零信任理念，通过IDaaS身份认证中台，可信接入网关SPG，打造远程办公解决解决方案：应用通过可信接入网关SPG的反向代理模式对外发布，避免直接暴露在公网上；并通过 IDaaS，集成到钉钉工作台；对于钉钉用户，登录钉钉后，即可单点登录使用工作台各类应用（使用

3、钉钉身份认证），对于部分高安全性应用，可配置开启二次认证（如短信、刷脸等），确保访问安全；对于非钉钉的用户，通过连接SPG，只有通过用户认证和环境评测才可以访问后端应用，后端应用的访问是通过SPG反向代理来提供，在用户端需安装一个IDP Agent，用于对用户端环境的检测，并将检测数据发送给SPG可信环境评测，用于对用户的访问的策略分析。对于运维和开发人员，保留采用目前已有VPN连接的方式。解决方案上线快无需改变现有网络架构一周完成部署上线，有效解决远程办公问题纯软件形态，支持集群，可快速扩容内部业务系统不直接暴露统一身份，提供用户访问过程中的动态认证，并可基于设备、网络、行为等因素，自动开启

4、双因素认证或锁定账户，有效阻止各类非法访问 提供开放接口，可与企业既有的各种安全设备对接联动；统一身份管理打通身份和应用，为企业的零信任战略，提供身份基础高安全易扩展客户收益某政府客户业务安全内部数据对外开放，众多单位调用数据：开放接口众多，调用缺少有效管理手段，无法明确知道是谁调用；服务出现故障没有告警，难以溯源；存在敏感数据被爬风险；接口升级困难，存在http明文，sql语句等方式，安全风险较大。客户面临的问题身份中台保障业务安全部署IDaaS统一身份中台，并结合可信接入网关，实现对API访问的身份化管理：提供对API的身份化管理，为访问者分配独立的AK/SK，并提供账户、认证、授权、审计

5、的全方位管理能力；通过可信接入网关，提供API的安全代理；访问前先进行身份验证，只有合法用户才能访问授权的API服务；可信接入网关，提供SSL卸载、API格式转换能力，对外统一为 Restful API接口；流量控制、负载均衡、服务熔断、审计等功能确保数据安全。解决方案客户收益客户收益成本低业务系统无需改造提供负载均衡、协议转换等多种能力效果好协议转换，对外统一为Restful API，确保传输安全服务监测、健康检查，保证业务的可用性高安全完善的身份认证能力，保障业务安全；丰富的日志记录，出现问题有据可查零信任以身份为中心Google 零信任实践1）使用由公司提供且持续管理的设备，2）通过身份

6、认证，且3）符合访问控制引擎中的策略要求，才能4）通过专门的访问代理5）访问特定的公司内部资源。微软零信任模型利用机器学习、实时评估引擎、策略等进行针对用户、客户端、位置和设备进行综合判定，来持续自适应的访问各类业务，并提供包含禁止、允许、限制访问、开启MFA、强制重制密码、阻止或锁定非法认证等策略用户 ID设备 ID网络 ID应用 ID协议 ID员工（职位、属性）合作伙伴客户运维人员外包人员Android、iOS、macOS、WindowsBYOD、COPE、COBO哑设备IoT设备WiFi、4G/5G公司网络、公众网络VPDNIP/位置客户端/Web本地应用/SaaS应用自有应用/第三方应用TCP/UDPHttp/Https万物皆有身份 泛身份化管理零信任落地 从身份开始可落地 适应企业的 IT 环境，不要革命，需要平滑网络网络隐身不暴露攻击面身份统一身份多因素认证最小化授权设备可信设备设备生命周期管理永不信任 持续验证风险动态验证风控引擎+实时策略THANKS