直面新的挑战稳定推进零信任体系落地

稳定推进零信任体系落地天融信|刘治平环境12形式数字时代下的网络建设环境12形式业业务架构企业数字化转型--导致企业业务架构发生转变远程办公应用上云远程办公多方协作访问业务的不再仅仅是内部员工,也包括第三方合作方、渠道代维人员等,业务访问的角色多样化。访问业务的不再仅仅是内部员工,也包括第三方合作方、渠道代维人员等,业务访问的角色多样化。BYOD(个人资产)等多样化终端类型。及云化、多数据务心、多分支、业务规模的大等让企业的业务复杂化。l用户接入内网,只需输入正确凭证即可登录,缺乏多维度身⼝鉴别能力静态访问策略、权限固化l一经认证,权限不变内外威胁增加l访问流量被监听,访问行为不可知ll用户接入内网,只需输入正确凭证即可登录,缺乏多维度身⼝鉴别能力静态访问策略、权限固化l一经认证,权限不变内外威胁增加l访问流量被监听,访问行为不可知l异常访问难以发现,审计粒度粗、溯源难外部边界被盗用企业物理边界外部威胁被盗用逻辑隔离滥用或误用身份认证薄弱外部威胁传统的网络安全边界被打破边界清晰,防外为主边界泛化,身份为主网络边界企业内网企业内网络边界企业内网企业内网用户终端认证认证请认证网闸公司员工授权认证结果非网闸公司员工授权认证结果非法用户控制器认证网关控制器授权防火墙受控访问防火墙受控访问合法用户受控访问根据授权结受控访问果访问入侵防御分支机构入侵防御分支机构网关业务系统网关vSwitch数据设备化用户入侵行业规范物理服务器vSwitch应用分级持续评估动态调整天融信零信任方案设计理念vSwitch数据设备化用户入侵行业规范物理服务器vSwitch应用分级持续评估动态调整谁来访问?基于策略分级变化动态授权访问什么?用户、设备、应用持续风险评估策略级别变化时重新授权可信允许访问终端环境数据分级策略行业规范入侵防御策略威胁情报访问行为策略零信任控制器信任策略引擎策略控制务心数据平面不可信流量零信任网关控制平面可信流量天融信零信任体系架构终端环境数据分级策略行业规范入侵防御策略威胁情报访问行为策略零信任控制器信任策略引擎策略控制务心数据平面不可信流量零信任网关控制平面可信流量核心能力一-身份管理统一认证用户、设备、应用、数据口令密码、数字证书、生物特征身高体重、联系方式、应用版本、应用类型、系统版本用户名、密码手机短信、令牌验证、数字证书认证指纹、人脸识别统一管理1345核心能力二-终端环境感知134522终端可信标识利用终端可信标识技术端设备的一身份认证代理联动业务访问控制设备共同模成设备的身⼝认证自我保护终端安装可信控制驱动确保客户端程序终端管控代理统一管理、查看通过客户端统一下发策略通信加密使用国密算法加密传输通信保障服务端与客户端通信安全 规则模型关联规则认证规则查询规则访问规则异常访问异常异常用户违规规则偏离基线 规则模型关联规则认证规则查询规则访问规则异常访问异常异常用户违规规则偏离基线算法时序分析强化分析聚类分析分类分析分析场景分析方式特权滥用特权滥用业务异常•高频登录失败•高频查询•非工作时间•员工高频创•外发私人邮箱•邮件包含敏•非工作时间箱•普通账号提为管理员•漏洞提权利用•尝试使用已•休眠账号数据泄露核心能力四-持续监控与评估零信任控制中心l访问策略动态调整l安全策略集务分发控制平层数据平层硬件控制应用控制API控制数据控制策略基线客体保护等级•安全等级•风险等级HTTPS•策略匹配•算法执行•机器学习权限审批拒绝访问受限访问策略基线客体保护等级•安全等级•风险等级HTTPS•策略匹配•算法执行•机器学习权限审批拒绝访问受限访问二次访问信任推断授权决策HTTPS••认证强度•违规记录主体可信度•基线偏差环境可信度•风险状态•基线偏差•模式异常•0/1•x%•Ln身份可信度行为可信度主体客体主体内网防护高力优先攻防演习场景务低应用上云内网防护高力优先攻防演习场景务低应用上云覆盖优先小务大高敏业务使用人多低敏业务使用人少务敏业务使用人一般合作伙伴&供应商供应商及组织管理、动态授权、访态势感知场景远程办远程办公控制流量公司员工数据流量运维人员安全访问通道天融信零信任解决方案典型场景-企业内网安全加固控制流量公司员工数据流量运维人员安全访问通道天融信零信任解决方案业业务服务器在企业内网安全加固的需求场景下,不再默认内部的资产、人员都是安全的、可控的。本解决方案会对所有访问业务系统的用户、终端的身⼝、行为做持续信任评估,再基于动态最小权限原则进行策略下发。可以有效解决企业内部存在的越权行为,以及权限粒度粗、管理分散。零信任控制器 控制流量服务端 数据流量零信任网关受控访问业务服务器天融信零信任解决方案典零信任控制器 控制流量服务端 数据流量零信任网关受控访问业务服务器天融信零信任解决方案用户终用户终端在移动办公、远程运维、远程开发等多场景下,可为用户接入内网提供统一的安全访问通道,所有远程接入访问均需要经零信任控制器进行可信认证,再通过零信任网关建立连接,极大的减少了远程办公场景内部系统被非授权访问的虚拟化业务1虚拟化业务2虚拟化业务3天融信零信任解决方案典型场景-云端防护虚拟化业务1虚拟化业务2虚拟化业务3天融信零信任解决方案零信任控制器应用上云的场景下,本方案需要为用户在云上构建可信的应用交互,只有应用身⼝验证合法的才可能与授权应用交互,可通过虚拟防火墙、应用沙箱等手段实现。挑战与应对通过更换VPN设备为零信任网关就能实现零信任希望同步规划、同步建设、同步使用,但是没有和业务部门沟通各厂商的零信任组件之各厂商的零信任组件之从标准化、兼容性角度入手,制定合理的标准为先导,用长期服务的模式,最终以产品赋能用户-TopSEC-够,零信任建设时考虑内容偏少,仅能让用户理念的方式来建设零信任体系,未进行重新规及与业务进行融合。级。二、建设内容四、用户收益公有云服务器网服务器SDP二、建设内容四、用户收益公有云服务器网服务器SDP客户端天融信零信任SDP控制器系统、天融信零信任SDP控制器系统、天融信零信任SDP网关系统,实现对互联网WEB、APP、API接入内网应用的统一访问控制,减少互联网暴露面,消除各种网络攻击风险。三三、组网拓扑l所有对业务系统的访问要经过SDP网关的验证和过滤l