1、苏建明，中国工商银行业务研发中心专家，高级工程师，主要从事信息安全管理框架研究，黑产对抗研究，网络攻防体系研究与数据安全等相关领域研究。零信任在金融行业应用的再思考随着相关标准和技术的成熟，零信任已经从高屋建瓴的安全思想发展为可落地的解决方案，是目前安全界最热的话题。金融业已在不同业务场景下开始进行试点落地，在解决现有场景安全隐患的同时，也为后续可能的安全架构转型积累实际经验。在实践过程中，企业面临着试点场景选取、确定合理的落地方案、如何与现有安全能力平滑结合、核心安全特性技术转型等技术难点，本次演讲主要分享我们对于以上问题的研究和思考。前言1.零信任是新理念吗2.零信任落地场景再思考3.其它

2、思考目录u 零信任思想概念 零信任是一种新的安全设计思想，秉承“从不信任，始终验证”的预设立场，从以网络位置为中心演进到身份可信为中心，解决传统边界安全架构的弊端。无论访问者位于何处，均需要从零开始建立信任链，并进行持续的评估验证，最小动态授权可访问的业务资源。零信任是新理念吗u 零信任的三个层面零信任思想是安全方法论，零信任架构是逻辑实现标准，零信任解决方案是当前已技术实现可落地的技术方案。零信任是新理念吗零信任思想目前安全业界已实现的可落地的零信任解决方案，主要分为软件定义边界和微分段两种技术方案，适用于部分业务场景提升安全能力。为从以网络为中心的边界安全演进到以身份可信为基石的零信任安全

3、架构，提供设计依据。安全设计思想上转变，改善默认和隐性信任的业务互访流程，提高安全性，适用于对企业全部业务场景的安全审视。零信任架构零信任解决方案SDP&MircoSegmentNIST 800-207永不信任，始终验证资源APP/DB前置系统应用可信代理网关（PEP）客户端行业合规系统资源状态系统Agent数据转发平面安全控制平面威胁情报源PKI事件分析系统其它安全系统可信代理网关（PEP）Agent数据访问策略ID身份管理策略管理器（PA）信任评估引擎（PE）环境感知系统资源状态系统威胁情报源PKI数据访问策略ID身份管理零信任新建组件其它安全系统已具备安全系统，与零信任安全控制面对接零信

4、任是新理念吗u 目前零信任解决方案主要有软件定义边界(SDP)和微分段两类：微分段解决方案示意图X XX XX XSDP解决方案示意图可信代理网关PEP客户端零信任安全控制中心PDPSDPAgent应用/资源身份认证、环境检测控制报文认证通过，开放访问权限数据平面发送业务数据报文检验通过后执行转发SDPAgent实时检测身份、客户端环境可信度，动态调整授权范围零信任是新理念吗零信任是新理念吗内网 IP over 公网TMS Agent 管理节点云桌面分区数据中心云桌面 1云桌面 NSSLVPN网关OTP服务器TMS服务器 DMZ分区 AD服务器高敏应用分区高敏应用n高敏应用2高敏应用1内网跨区

5、防火墙内网跨区防火墙低敏应用分区低敏应用n低敏应用1云桌面网关内网跨区防火墙DMZ区其它应用内网 IPTMS Agent 外网防火墙TMS服务器802.1x交换机 内网办公区 互联网SSL VPNSSO Server零信任是新理念吗客户端TMS Agent防病毒前置系统应用TMS serverSSO serveru 不新增零信任网络代理网关，仅通过对现有安全系统进行联动，是完整的零信任架构吗？IAM与SSO联动方案客户端TMS Agent防病毒前置系统应用TMS serverSSO server现有应用授权方案SSL VPN网关SSL VPN网关u 通过增加PDP和PEP构建完整零信任安全架构

6、的优势客户端TMS Agent防病毒前置系统应用TMS serverSSO server现有应用授权方案SSL VPN网关客户端TMS Agent防病毒前置系统应用TMS serverSSO server完整的零信任安全架构可信代理网关PEP零信任安全控制中心PDP零信任是新理念吗零信任落地场景再思考-现状u 以常见的SSL VPN远程办公场景为例管理节点云桌面分区数据中心云桌面 1云桌面 NSSLVPN网关内网 IP over 公网互联网SSLVPN现有方案外网防火墙OTP服务器TMS服务器 DMZ分区 AD服务器TMS Agent 高敏应用分区高敏应用n高敏应用2高敏应用1内网跨区防火墙内

7、网跨区防火墙低敏应用分区低敏应用n低敏应用1云桌面网关内网跨区防火墙DMZ区其它应用流量流量流量u 方案一：零信任SDP解决方案替代SSL VPN数据中心公网IP互联网SDP TSL加密零信任SDP方案外网防火墙OTP服务器 DMZ分区 TMS Agent C/S应用分区C/S应用nC/S应用1B/S应用分区 1B/S应用nB/S应用1SDP Agent策略网关（PEP）策略管理器（PA）策略引擎（PE）内网跨区防火墙TMS服务器DMZ区其它应用B/S应用分区 1B/S应用nB/S应用1零信任落地场景再思考-零信任方案u 方案二：零信任SDP+云桌面解决方案 替代SSL VPN公网IP互联网S

8、DP TSL加密零信任SDP+云桌面方案外网防火墙OTP服务器 DMZ分区 TMS Agent C/S应用分区C/S应用nC/S应用1内网跨区防火墙B/S应用分区 1B/S应用nB/S应用2B/S应用1SDP Agent策略网关（PEP）策略管理器（PA）策略引擎（PE）管理节点云桌面分区云桌面 1云桌面 NAD服务器云桌面网关内网跨区防火墙高敏应用分区高敏应用n高敏应用1B/S应用分区 2B/S应用nB/S应用1内网跨区防火墙TMS服务器数据中心DMZ区其它应用零信任落地场景再思考-零信任方案u 方案三：SSL VPN的基础上，叠加零信任SDP解决方案数据中心SSLVPN网关SDP over

9、 SSL vpn互联网SSLVPN外网防火墙OTP服务器TMS服务器 DMZ分区 TMS Agent 内网跨区防火墙DMZ区其它应用SSL VPN+SDP方案策略网关（PEP）策略管理器（PA）策略引擎（PE）SDP AgentC/S应用分区C/S应用nC/S应用1B/S应用分区 1B/S应用nB/S应用1B/S应用分区 1B/S应用nB/S应用1零信任落地场景再思考-零信任方案其它思考一客户端信任评估引擎（PE）TMS AgentSDP Agent可信代理网关（PEP）客户端信任评估引擎（PE）TMS AgentSDP Agent可信代理网关（PEP）TMS server防病毒防病毒前置系统应用策略管理器（PA）策略管理器（PA）零信任安全控制平面交互示意对接方案一对接方案二前置系统应用SDP Agent 对接现有客户端安全AgentSDP PE对接现有客户端安全serveru 设计与现有安全系统的对接方案其它思考二u“先认证，后连接”的实现方式：l UDP实现l TCP实现l UDP+TCP实现其它思考三