企业零信任安全体系建设方案

企业零信任安全体系建设方案企业的安全建设困境信息安全全景图--安全牛2019.1安全的全景视图理论体系P2DR模型木桶理论立体防御模型云管端模型自适应安全模型安全滑动标尺标准体系ISO:27001等级保护分级保护网络安全法360阿里腾讯百度京东网易……经过30年发展，安全已经发展成了一个集数十种理论和标准、数百个厂商，数千种安全产品的复杂产业做为安全的从业者，总是希望安全能够回归本源安全合规模式单点防御模式管理体系模式自我建设模式我有病，你有药吗你不能说我有病我能证明我没病你有什么药，看看我得了什么病为什么该上的产品都上了，还是不安全？为什么我已经符合等保要求，还是不安全？为什么我过了ISO27001，还是不安全？我知道我肯定有问题，但是我不知道哪儿有问题企业的安全建设困境威胁对抗数据安全业务访问资产维度数据加解密EDLP/NDLPUEBA业务维度身份认证零信任环境维度终端安全网关安全云安全企业安全建设逻辑共筑网络安全世界ISC2013互联世界,安全第一ISC2014数据驱动安全ISC2015协同联动:共建安全+命运共同体ISC2016万物皆变，人是安全的尺度ISC2017安全从0开始ISC2018从ISC/BCS7年看国内安全思想变化聚合应变,内生安全BSC2019内生安全,从安全框架开始BSC2020内生安全，从安全框架开始终端应用单点对抗（数据驱动）协同对抗（协同联动）人机对抗（人是安全的尺度）威胁安全访问（安全从0开始）内生安全内生安全安全思想的演化逻辑零信任网络解决的是什么问题？环境感知解决的是什么问题？谷歌为什么要搞零信任网络？零信任网络离我们有多远？开篇的几个问题GOOGLE的零信任实践Google极光行动的反思SSL2009年12月，Google遭遇了著名的APT攻击-极光行动（OperationAurora）进一步获得邮件服务器用户名、密码等信息利用该员工的凭证进入邮件服务器利用加密隧道将获得的数据压缩传出员工点击该恶意链接后，导致IE浏览器溢出继而执行FTP程序，从远程下载远控木马远控木马跟黑客电脑建立SSL加密隧道黑客通过社交网络获得员工信息仿冒信任人员给该员工发送含有0-day漏洞的恶意链接企业内部的特权网络的存在，导致一旦网络被攻破，则网络内部没有安全的控制点设备不可信，会使威胁直接穿透VPN移动办公、远程访问、云服务形式突破了物理网络边界无特权网络受控设备受控设备公共网络访问代理单点登录访问控制引擎管道证书颁发信任推断用户/组数据库设备资产数据库设备证书验证访问代理重定向双因子认证（Token）设备证书+单点登录令牌确定用户可信确定设备可信代码服务（）请求转发一、安全识别设备（Device）设备资产数据库设备标识（设备证书）二、安全识别用户(User)用户/组数据库（HR）单点登录系统（双因子）三、从网络中移除信任(Trust)部署无特权网络（ACL）有线/无线网络的802.1x认证四、外部应用和工作流(Applications)面向互联网的访问代理公共DNS记录（CNAME）五、实施基于资产的访问控制对设备和用户的信任推断（信任等级）访问控制引擎访问控制引擎的消息管道GoogleBeyondCorp123456零信任网络各类高级威胁的危害：窃密机密、隐私泄露、关键设施破坏、敲诈勒索……APT攻击事件：摩诃草事件、蔓灵花行动……僵尸网络类、后门、间谍软件……窃密木马、勒索病毒……服务器高级漏洞攻击类……““APT攻击会成为新常态用户多样化设备多样化业务多样化平台多样化数据分散在不同的业务应用中并持续流动，流动加剧了大数据的风险，信任成为核心要素边界消失会成为必然序号厂商国家核心业务基本情况1Akamai美国零信任成立时间：1998年

规模：5,001-10,0005Centrify美国IDaaS，零信任成立时间：04年6CertesNetworks

零信任设备管理、加密

13Duo美国零信任、多因子、SSO成立时间：2010

规模：700+员工

地点：AnnArbor,MI;SanMateo,CA;Austin,TXandLondon,UK等

状态：2018年被cisco收购14F5美国ADC、负载均衡、零信任成立时间：1,001-5,000

规模：199622Luminate美国IAM

24PingIdentity美国零信任成立时间：2002年

地点：Denver

规模：501-1,00025Okta美国IDaaS，零信任年份：2009年

创始人为云计算先驱S的两位早期高管31PaloAltoNetwork美国微隔离成立时间：2005

规模：5,001-10,00033Remediant美国PAM成立时间：2013

规模：2-10

SanFrancisco,California42Symantec美国

成立时间：1982

规模：17,500零信任竞争版图IDG的2018安全重点调查显示，71%专注安全的IT决策者都注意到了零信任模型，已经有8%在自己的企业中积极采用这种模型，10%正在试用。隐藏DNS信息、关闭端口，扫描无法发现目标系统在访问链接请求之前先认证用户及设备的身份信息用户只能访问对其授权的业务应用范围只提供用户-业务的连接，只允许用户通过应用层（非网络层）访问传统交互逻辑：先连接，后验证；业务系统暴露连接业务系统验证用户身份连接业务系统验证用户和设备身份零信任逻辑：先验证，后连接；业务系统隐身信息隐藏预认证预授权应用层准入零信任核心理念零信任架构分析授权认证治理应用访问代理360ID可信应用代理360ID可信API代理零信任安全控制平面应用访问主体360ID可信环境感知360ID智能手机令牌360ID智能身份平台360ID可信访问控制台以身份为中心全面身份化，完成身份治理用户-设备绑定作为主体“身份”设备/用户的持续认证基于环境数据的度量评估信任业务安全访问业务隐藏，强制访问控制业务访问数据流的加密全量业务访问日志动态访问控制细粒度、最小授权原则RBAC和ABAC基于风险的度量和评估动态调整授权智能身份分析支撑自适应访问控制和身份治理自动化赋能降低管理开销基于机器学习的高级分析设备和用户持续认证动态访问控制业务安全访问零信任架构的基本要素建设统一身份源，实现全网用户、设备、应用、API接口的统一身份化，实现统一权限梳理。访问控制进行细粒度授权，基于风险的度量和信任评估，动态调整授权，实现自适应访问控制。采用大数据分析和人工智能技术，对风险进行分析，支撑风险度量化；对策略进行分析，支撑管理自动化。采用机器学习算法，基于高级身份分析技术和工作流引擎，实现身份与访问管理的自动化。4.分析智能化6.管理自动化1.全面身份化3.授权动态化一次性认证无法确保用户身份的持续合法，需要通过持续认证手段进行信任评估。2.认证持续化基于人和设备的环境数据、访问行为数据，进行风险建模，度量潜在的安全风险和信任等级。5.风险度量化零信任安全的“六化”架构人、设备、应用身份生命周期管理账号梳理与监控权限管理与分派身份账号权限业务访问主体完整不可分割支撑设备认证和用户认证身份是物理世界的人、设备、应用等实体在数字世界中的对等物。全面身份化注销持续认证二次认证根据安全等级或持续认证风险评估，强行要求二次认证、多因子认证初始认证初次登录系统需要认证。从易用性考虑，认证强度考虑最低安全要求即可。XXYXXZ访问过程中，持续进行分析评估，确认身份有效性认证的灰度：

一次性认证无法确保用户身份的持续合法，需要通过持续认证手段进行信任评估，这也是一种灰度哲学。登录认证持续化当主体信任程度与客体安全等级是平衡状态时，数据可以双向流动

人

设备

应用

环境信任度量因子安全等级度量因子数据信道风险度量因子

环境

数据

业务环境信任程度主体环境安全等级客体风险度量化动态授权权限管理分析环境身份动态权限

感知采集分析认证身份分析身份滥用高风险终端爬取数据越权访问合法用户合规终端授权访问持续用户认证用户行为分析动态授权流量异常分析

数据非法流出非授权访问持续设备认证环境风险感知应用&数据授权动态化自适应访问控制身份治理身份信息策略信息属性信息策略调整风险评分访问日志环境属性外部分析结果输入动态风险评估对等组分析用户行为分析访问策略优化自动权限评估工作流分析智能化策略基线策略执行策略分析触发工作流自动偏差调整制定初始策略基线编排工作流少量的变更审批其余全部交给系统…管理员职责主体客体访问控制管理自动化认证是通过各种信息验证手段，确认人和数字身份的对应关系认证概念多因子认证引擎证书认证声纹认证人脸认证认证策略认证请求签发令牌组合各种认证因子完成身份验证基于你所知道的（Whatyouknow）

知识、口令、密码基于你所持的（Whatyouhave）

身份证、信用卡、钥匙、智能卡、令牌等基于你所有的固有特征（Whatyouare）

指纹，笔迹，声音，手型，脸型，视网膜，虹膜多因子认证授权决定谁（主体）能对哪些资源（客体）进行什么样的操作。授权决策主体客体权限策略授权模型RBACABACMAC授权概念环境感知&身份分析应用资源策略执行点PEP策略执行点PEP策略判定点PDP策略管理点PAP受保护资源身份凭证源凭证服务环境感知风险分析资源请求者认证服务策略信息点PIP可信应用代理TAP

|

可信API代理TIP可信访问控制台TAC身份管理权限管理可信环境感知授权的访问控制架构模型环境属性：IP、时间、地理位置...终端可信评分用户行为风险分用户认证强度允许拒绝限制需要二次认证才能访问可信环境感知用户行为分析策略执行点（可信代理）身份认证业务流量鉴权请求身份库策略库第三方数据动态访问控制动态授权可信应用代理TAP可信API代理TIP应用服务接口应用前置DNS导流主动连接转发及令牌传递转发及令牌传递流量安全代理转发访问控制策略执行信息传递日志导出可信访问控制台集中配置管理集中会话管理集中访问控制风险感知和身份、权限管理系统联动可信代理控制平面应用/服务应用/服务ID_TOKENID_TOKEN身份、权限、环境信息说明TAP拦截访问请求，并到TAC认证授权，获取ID_TOKEN并传递。应用/服务基于ID_TOKEN实现功能级授权和单点登录。TIP继续传递TD_TOKEN，和应用级的APP_TOKEN一起，基于双层令牌实现接口授权。TAPTIPTIPAPP_TOKENTAC可信代理令牌传递技术零信任方案客户端应用网关云业务企业内部业务环境感知（TESS）企业浏览器TrustSpace设备接入鉴定DNS解析服务端口控制访问范围控制1.设备认证2.用户认证3.动态连接3.动态连接4.转发4.转发应用网关用户管理设备管理权限管理策略管理报表管理控制中心零信任访问示意图外部生态系统：生物识别、手机软key、PKI/CA、第三方IAMTESSAgent360IDAgentPC端身份安全基础设施外部身份基础设施适配层生物识别适配层移动端360ID智能手机令牌360ID智能身份平台身份管理权限管理可信访问控制台TAC可信应用代理TAPTrustSpace代理零信任动态可信访问控制可信API代理TIP零信任身份安全产品体系业务应用TLS安全传输通道传输加密专业的TLS传输技术支持国密算法套件防中间人攻击访问代理业务默认隐藏，强制授权令牌传递，实现单点登录支持HTTP/RDP/SSH/Email/…全量日志访问日志输出到身份分析平台进行风险评估流量可视化将业务隐藏在TAP之后，默认不可见可信终端TAP用于用户/终端和业务应用之间的安全访问（AAG是TAP的简化版）可信应用代理TAPTLS安全传输通道传输加密专业的TLS传输技术支持国密算法套件防中间人攻击API代理对所有API调用进行强制授权双层令牌，使用用户级控制支持标准Restful接口全量日志访问日志输出到身份分析平台进行风险评估流量可视化将API接口隐藏在TIP之后，默认不可见TIP用于应用（前置）和应用之间的安全API调用业务应用前置应用前置业务应用前置应用后端应用API可信API代理TIP可信代理管理集中配置集群管理状态监控动态授权访问授权风险感知违规业务阻断认证&会话管理动态多因子认证集中会话管理访问日志导出为TAP、TIP提供动态访问控制和集中管理，是零信任的控制平面。可信应用代理可信API代理业务应用前置数据功能接口可信访问控制台TAC可信访问控制可信访问控制可信终端环境感知可信终端环境感知身份基础设施可信访问控制台TAC身份管理统一身份库身份生命周期管理身份同步与聚合权限管理授权策略管理权限申请与审批策略分析鉴权接口服务身份安全基础设施，提供身份、权限管理服务，为TAC提供支撑。可信应用代理可信API代理业务应用前置数据功能接口可信访问控制台TAC可信访问控制可信访问控制可信终端环境感知可信终端环境感知360ID智能身份平台身份管理权限管理身份信息、权限信息智能身份平台安全业务跨域访问安全终端AAG访问代理SSO可信应用代理TAP可信API代理TIP运维代理邮件代理……代理可信访问控制台TAC身份及访问控制IAMServer外部认证1、设备认证2、用户认证2、认证转发3、访问请求(Token)4、权限判定5、业务访问5、业务访问5、业务访问移动终端可信工作空间APPMTDPC终端可信环境感知云桌面浏览器私有云本地应用2、用户认证3、访问请求5、业务访问NACOIOT终端IOT可环境感知设备可信标识IOT接入器零信任基本架构终端环境感知业务域跨域安全访问区用户域PC终端可信环境感知终端安全安全状态感知客户端通信360ID插件终端标识获取VMTools插件终端杀毒终端管控可信环境感知360ID插件安全状态感知终端标识获取客户端通信WebbrowerVMTools插件ITS控制台云桌面TESS控制台CRMERPAD/LDAPCARadiusOA终端安全终端杀毒终端管控可信环境感知的云桌面访问架构•设备识别•多环境感知•感知穿透•自我保护•安全状态感知安全业务跨域访问安全终端AAG访问代理SSO可信应用代理TAP可信API代理TIP运维代理邮件代理……代理可信访问控制台TAC身份及访问控制多IDPTESSServer外部认证1、设备认证2、认证转发4、权限判定5、业务访问5、业务访问PC终端可信环境感知云桌面浏览器云端应用（混云）本地应用2、用户认证3、访问请求5、业务访问OIDC终端安全防护状态感知移动终端可信工作空间APPMTD零信任基本架构可信认证环境感知环境感知访问控制身份认证病毒查杀漏洞修复终端管控脆弱性管理安全审计数据防泄露软件管理认证不通过进入修复模块执行修复动态策略调度认证通过进入安全域可信环境感知工作原理环境感知序号可信分类可信项描述自定义(1-100)1安全防护可信网页安全防护阻止访问挂马钓鱼网站严重危险2看片安全防护阻止网络视频中的恶意代码严重危险3浏览器设置防护防止病毒木马入侵浏览器严重危险4搜索安全防护防止通过搜索进入恶意网站一般故障5邮件安全防护防止通过邮件中的链接进入恶意网站严重危险6文件系统防护拦截对文件系统的攻击严重危险7驱动防护拦截木马从系统底层的攻击严重危险8进程防护拦截系统进程的危险行为严重危险9注册表防护拦截木马对核心设置造成破坏严重危险10网络安全防护拦截木马下载器和恶意程序严重危险11键盘记录防护拦截木马截获输入信息的行为一般故障12自我保护防止木马和病毒破坏防护程序一般故障13输入法防护防止通过输入法执行恶意代码一般故障14聊天安全防护拦截聊天工具传送的木马一般故障15下载安全防护拦截下载文件中存在的木马一般故障16U盘安全防护拦截U盘中的木马严重危险17黑客入侵防护拦截黑客入侵严重危险18浏览器主页锁定防止被恶意程序篡改潜在风险19安全检测主动防御服务主动检测和阻止病毒木马行为严重危险20反钓鱼安全保护防止钓鱼网站导致的用户损失严重危险21系统关键位置木马检测关键位置的恶意木马严重危险22系统关键位置文件检测关键位置的恶意文件严重危险23本地DNS安全检测检测DNS的解析信息是否被恶意劫持一般故障24高危漏洞检测终端的高危漏洞严重危险25软件更新漏洞检测终端的更新漏洞严重危险26可选高危漏洞检测终端的可选高危漏洞严重危险27其他及功能性更新漏洞检测终端的其他及功能性更新漏洞一般故障28垃圾检测常用软件垃圾例如办公软件产生的垃圾文件潜在风险29娱乐软件垃圾例如视频类软件、音乐播放类软件产生的垃圾文件潜在风险30系统垃圾例如系统日志文件、系统补丁、系统缓存、临时文件等信息潜在风险31安装文件垃圾包含已经支持的常见软件产生的垃圾清理潜在风险32使用痕迹信息例如一些软件在系统是运行过的信息，以及访问过的文档潜在风险33注册表痕迹信息包含无效的注册表项，注册信息，以及错误的注册信息潜在风险34cookies信息包含各类浏览器的cookies信息潜在风险35速度优化恢复区占用的硬盘空间通过清理磁盘空间，进行优化加速潜在风险36开机启动项通过清理操作系统启动项，进行优化加速潜在风险37电脑中需要更新的软件检查电脑中软件的软件更新，获得最好软件体验潜在风险38插件检测需清理的插件或图标清理有未知风险，以及恶意的插件。一般故障39需清理的输入法插件清理输入法插件。潜在风险40ActiveX控件清理有未知风险，以及恶意的插件。一般故障41Chrome插件清理有未知风险，以及恶意的插件。一般故障42故障检测IE主页相关项目可能导致网页显示不正常潜在风险43IE菜单项可能会影响IE的使用潜在风险44IE核心配置可能导致主页被篡改现象潜在风险45IE外观配置可能导致无法使用IE快捷功能潜在风险46IE常规设置可能导致IE的基本功能无法使用潜在风险47IE浏览器图标配置可能导致图标显示异常或无法删除潜在风险48Internet选项可能导致IE的个性化功能无法使用潜在风险49用户样式表可能会拖慢IE的运行速度潜在风险50重置web设置可能导致重置Web设置不彻底潜在风险51About协议可能导致IE的提示页面显示不正常潜在风险52常用文件关联项可能导致一些文件存在异常潜在风险53磁盘及文件夹配置可能导致磁盘或文件夹无法打开潜在风险54系统常用组件可能导致一些系统功能无法使用潜在风险55系统启动配置可能在开机时存在风险潜在风险56系统图标配置可能导致图标显示异常或无法删除潜在风险57任务栏及开始菜单可能会影响对系统的操作潜在风险58系统重要服务组件可能影响系统功能的使用潜在风险59组策略可能会限制部分系统功能潜在风险60显示属性可能导致无法调整系统外观潜在风险61Web桌面可能导致安全隐患潜在风险62网络驱动器可能导致网络驱动器无法正常使用潜在风险63打印机设置可能导致打印机无法正常使用潜在风险64域名解析文件Hosts可能导致网页显示异常潜在风险65收藏夹快捷方式可能存在恶意的收藏夹快捷方式潜在风险66桌面图标快捷方式可能存在恶意的桌面图标快捷方式潜在风险67开始菜单快捷方式可能存在恶意的开始菜单快捷方式潜在风险68桌面及资源管理器可能影响对系统的操作潜在风险69快速启动栏快捷方式可能存在恶意的快速启动栏快捷方式潜在风险风险感知指标移动可信工作空间可信移动终端系统环境：通过移动威胁防御（MTD）持续动态检查移动终端系统、网络以及APP安全状态，让终端系统环境变得可信。可信移动应用身份边界：通过新一代沙箱与身份认证深度技术整合，重新定义企业移动应用边界，让企业应用边界更可信。可信企业移动应用/数据：以密钥沙箱为基础，通过构建数据全生命周期（存储、传输、使用、共享）保护方案让企业应用/数据变得可信。可信终端系统环境可信应用身份边界可信企业应用/数据TrustSpace的零信任体系通过MTD检查感知手机系统风险，APP风险以及网络连接风险，确保TrustSpace移动工作空间在一个安全可信的移动终端环境中运行。MTDagentTrustSpace网络级风险防御能力应用级风险检测能力恶意应用程序检测应用异常行为检测恶意Wi-Fi检测中间人攻击检测系统级风险检测能力Root/越狱检测系统脆弱性检测移动威胁检测（MTD）-手机运行环境可信身份是企业应用边界的入口。TrustSpace是企业/个人应用的基本边界。以应用的敏感度区分认证强度和应用边界*通过新一代沙箱与身份认证深度技术整合，重新定义企业移动应用边界，让企业应用边界更可信。授权用户非授权用户授权用户X基本认证增强认证TrustSpace说明*：代表即将推出的功能特性新一代沙箱和智能身份认证-