直面新的挑戰(zhàn)穩(wěn)定推進零信任體系落地

穩(wěn)定推進零信任體系落地天融信|劉治平環(huán)境12形式數(shù)字時代下的網(wǎng)絡建設環(huán)境12形式業(yè)業(yè)務架構(gòu)企業(yè)數(shù)字化轉(zhuǎn)型--導致企業(yè)業(yè)務架構(gòu)發(fā)生轉(zhuǎn)變遠程辦公應用上云遠程辦公多方協(xié)作訪問業(yè)務的不再僅僅是內(nèi)部員工,也包括第三方合作方、渠道代維人員等,業(yè)務訪問的角色多樣化。訪問業(yè)務的不再僅僅是內(nèi)部員工,也包括第三方合作方、渠道代維人員等,業(yè)務訪問的角色多樣化。BYOD(個人資產(chǎn))等多樣化終端類型。及云化、多數(shù)據(jù)務心、多分支、業(yè)務規(guī)模的大等讓企業(yè)的業(yè)務復雜化。l用戶接入內(nèi)網(wǎng),只需輸入正確憑證即可登錄,缺乏多維度身?鑒別能力靜態(tài)訪問策略、權(quán)限固化l一經(jīng)認證,權(quán)限不變內(nèi)外威脅增加l訪問流量被監(jiān)聽,訪問行為不可知ll用戶接入內(nèi)網(wǎng),只需輸入正確憑證即可登錄,缺乏多維度身?鑒別能力靜態(tài)訪問策略、權(quán)限固化l一經(jīng)認證,權(quán)限不變內(nèi)外威脅增加l訪問流量被監(jiān)聽,訪問行為不可知l異常訪問難以發(fā)現(xiàn),審計粒度粗、溯源難外部邊界被盜用企業(yè)物理邊界外部威脅被盜用邏輯隔離濫用或誤用身份認證薄弱外部威脅傳統(tǒng)的網(wǎng)絡安全邊界被打破邊界清晰,防外為主邊界泛化,身份為主網(wǎng)絡邊界企業(yè)內(nèi)網(wǎng)企業(yè)內(nèi)網(wǎng)絡邊界企業(yè)內(nèi)網(wǎng)企業(yè)內(nèi)網(wǎng)用戶終端認證認證請認證網(wǎng)閘公司員工授權(quán)認證結(jié)果非網(wǎng)閘公司員工授權(quán)認證結(jié)果非法用戶控制器認證網(wǎng)關(guān)控制器授權(quán)防火墻受控訪問防火墻受控訪問合法用戶受控訪問根據(jù)授權(quán)結(jié)受控訪問果訪問入侵防御分支機構(gòu)入侵防御分支機構(gòu)網(wǎng)關(guān)業(yè)務系統(tǒng)網(wǎng)關(guān)vSwitch數(shù)據(jù)設備化用戶入侵行業(yè)規(guī)范物理服務器vSwitch應用分級持續(xù)評估動態(tài)調(diào)整天融信零信任方案設計理念vSwitch數(shù)據(jù)設備化用戶入侵行業(yè)規(guī)范物理服務器vSwitch應用分級持續(xù)評估動態(tài)調(diào)整誰來訪問?基于策略分級變化動態(tài)授權(quán)訪問什么?用戶、設備、應用持續(xù)風險評估策略級別變化時重新授權(quán)可信允許訪問終端環(huán)境數(shù)據(jù)分級策略行業(yè)規(guī)范入侵防御策略威脅情報訪問行為策略零信任控制器信任策略引擎策略控制務心數(shù)據(jù)平面不可信流量零信任網(wǎng)關(guān)控制平面可信流量天融信零信任體系架構(gòu)終端環(huán)境數(shù)據(jù)分級策略行業(yè)規(guī)范入侵防御策略威脅情報訪問行為策略零信任控制器信任策略引擎策略控制務心數(shù)據(jù)平面不可信流量零信任網(wǎng)關(guān)控制平面可信流量核心能力一-身份管理統(tǒng)一認證用戶、設備、應用、數(shù)據(jù)口令密碼、數(shù)字證書、生物特征身高體重、聯(lián)系方式、應用版本、應用類型、系統(tǒng)版本用戶名、密碼手機短信、令牌驗證、數(shù)字證書認證指紋、人臉識別統(tǒng)一管理1345核心能力二-終端環(huán)境感知134522終端可信標識利用終端可信標識技術(shù)端設備的一身份認證代理聯(lián)動業(yè)務訪問控制設備共同模成設備的身?認證自我保護終端安裝可信控制驅(qū)動確保客戶端程序終端管控代理統(tǒng)一管理、查看通過客戶端統(tǒng)一下發(fā)策略通信加密使用國密算法加密傳輸通信保障服務端與客戶端通信安全 規(guī)則模型關(guān)聯(lián)規(guī)則認證規(guī)則查詢規(guī)則訪問規(guī)則異常訪問異常異常用戶違規(guī)規(guī)則偏離基線 規(guī)則模型關(guān)聯(lián)規(guī)則認證規(guī)則查詢規(guī)則訪問規(guī)則異常訪問異常異常用戶違規(guī)規(guī)則偏離基線算法時序分析強化分析聚類分析分類分析分析場景分析方式特權(quán)濫用特權(quán)濫用業(yè)務異常?高頻登錄失敗?高頻查詢?非工作時間?員工高頻創(chuàng)?外發(fā)私人郵箱?郵件包含敏?非工作時間箱?普通賬號提為管理員?漏洞提權(quán)利用?嘗試使用已?休眠賬號數(shù)據(jù)泄露核心能力四-持續(xù)監(jiān)控與評估零信任控制中心l訪問策略動態(tài)調(diào)整l安全策略集務分發(fā)控制平層數(shù)據(jù)平層硬件控制應用控制API控制數(shù)據(jù)控制策略基線客體保護等級?安全等級?風險等級HTTPS?策略匹配?算法執(zhí)行?機器學習權(quán)限審批拒絕訪問受限訪問策略基線客體保護等級?安全等級?風險等級HTTPS?策略匹配?算法執(zhí)行?機器學習權(quán)限審批拒絕訪問受限訪問二次訪問信任推斷授權(quán)決策HTTPS??認證強度?違規(guī)記錄主體可信度?基線偏差環(huán)境可信度?風險狀態(tài)?基線偏差?模式異常?0/1?x%?Ln身份可信度行為可信度主體客體主體內(nèi)網(wǎng)防護高力優(yōu)先攻防演習場景務低應用上云內(nèi)網(wǎng)防護高力優(yōu)先攻防演習場景務低應用上云覆蓋優(yōu)先小務大高敏業(yè)務使用人多低敏業(yè)務使用人少務敏業(yè)務使用人一般合作伙伴&供應商供應商及組織管理、動態(tài)授權(quán)、訪態(tài)勢感知場景遠程辦遠程辦公控制流量公司員工數(shù)據(jù)流量運維人員安全訪問通道天融信零信任解決方案典型場景-企業(yè)內(nèi)網(wǎng)安全加固控制流量公司員工數(shù)據(jù)流量運維人員安全訪問通道天融信零信任解決方案業(yè)業(yè)務服務器在企業(yè)內(nèi)網(wǎng)安全加固的需求場景下,不再默認內(nèi)部的資產(chǎn)、人員都是安全的、可控的。本解決方案會對所有訪問業(yè)務系統(tǒng)的用戶、終端的身?、行為做持續(xù)信任評估,再基于動態(tài)最小權(quán)限原則進行策略下發(fā)?？梢杂行Ы鉀Q企業(yè)內(nèi)部存在的越權(quán)行為,以及權(quán)限粒度粗、管理分散。零信任控制器 控制流量服務端 數(shù)據(jù)流量零信任網(wǎng)關(guān)受控訪問業(yè)務服務器天融信零信任解決方案典零信任控制器 控制流量服務端 數(shù)據(jù)流量零信任網(wǎng)關(guān)受控訪問業(yè)務服務器天融信零信任解決方案用戶終用戶終端在移動辦公、遠程運維、遠程開發(fā)等多場景下,可為用戶接入內(nèi)網(wǎng)提供統(tǒng)一的安全訪問通道,所有遠程接入訪問均需要經(jīng)零信任控制器進行可信認證,再通過零信任網(wǎng)關(guān)建立連接,極大的減少了遠程辦公場景內(nèi)部系統(tǒng)被非授權(quán)訪問的虛擬化業(yè)務1虛擬化業(yè)務2虛擬化業(yè)務3天融信零信任解決方案典型場景-云端防護虛擬化業(yè)務1虛擬化業(yè)務2虛擬化業(yè)務3天融信零信任解決方案零信任控制器應用上云的場景下,本方案需要為用戶在云上構(gòu)建可信的應用交互,只有應用身?驗證合法的才可能與授權(quán)應用交互,可通過虛擬防火墻、應用沙箱等手段實現(xiàn)。挑戰(zhàn)與應對通過更換VPN設備為零信任網(wǎng)關(guān)就能實現(xiàn)零信任希望同步規(guī)劃、同步建設、同步使用,但是沒有和業(yè)務部門溝通各廠商的零信任組件之各廠商的零信任組件之從標準化、兼容性角度入手,制定合理的標準為先導,用長期服務的模式,最終以產(chǎn)品賦能用戶-TopSEC-夠,零信任建設時考慮內(nèi)容偏少,僅能讓用戶理念的方式來建設零信任體系,未進行重新規(guī)及與業(yè)務進行融合。級。二、建設內(nèi)容四、用戶收益公有云服務器網(wǎng)服務器SDP二、建設內(nèi)容四、用戶收益公有云服務器網(wǎng)服務器SDP客戶端天融信零信任SDP控制器系統(tǒng)、天融信零信任SDP控制器系統(tǒng)、天融信零信任SDP網(wǎng)關(guān)系統(tǒng),實現(xiàn)對互聯(lián)網(wǎng)WEB、APP、API接入內(nèi)網(wǎng)應用的統(tǒng)一訪問控制,減少互聯(lián)網(wǎng)暴露面,消除各種網(wǎng)絡攻擊風險。三三、組網(wǎng)拓撲l所有對業(yè)務系統(tǒng)的訪問要經(jīng)過SDP網(wǎng)關(guān)的驗證和過濾l