信息化觀察網(wǎng)

零信任安全解決方案是以身份作為訪問控制的基石，通過終端環(huán)境檢測、實體行為分析等多源數(shù)據(jù)，持續(xù)評估訪問發(fā)起者的信任等級，并將評估結果與動態(tài)訪問控制策略進行自動匹配，實現(xiàn)自適應多因子認證、自適應權限管理、會話熔斷等動態(tài)訪問控制能力。再通過資源隱藏，先信任后連接，建立國密SSL安全信道等方式保護企業(yè)資源，最終實現(xiàn)可信訪問，為客戶提供動態(tài)的安全防護解決方案。

一、實施背景

隨著信息化技術不斷發(fā)展，企業(yè)智慧化、數(shù)字化理念的不斷深化已經深入各個領域，云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)、人工智能等新興技術為客戶的信息化發(fā)展及現(xiàn)代化建設帶來了新的生產力，但同時也給信息安全帶來了新挑戰(zhàn)。企業(yè)急需一套安全、可信、合規(guī)的立體化縱深防御體系，確保訪問全程可知、可控、可管、可查，變靜態(tài)為動態(tài)，變被動為主動，為信息化安全建設提供嚴密安全保障。

客戶已經建立了自己的內部業(yè)務訪問平臺，通過部署邊界安全等實現(xiàn)了一定程度的安全訪問。但是，隨著業(yè)務訪問場景的多樣化和攻擊手段的升級，當前的安全機制存在一些局限性，需要進行升級改造。其中的主要問題如下：

1)傳統(tǒng)安全邊界瓦解

2)外部風險暴露面不斷增加

3)企業(yè)人員和設備多樣性增加

4)數(shù)據(jù)泄露和濫用風險增加

5)內部員工對數(shù)據(jù)的惡意竊取

三、實施目標

基于客戶現(xiàn)有安全訪問能力以及其面臨的安全挑戰(zhàn)，需要為用戶建設以下幾個層面的安全機制：

1.將身份作為訪問控制的基礎

身份作為訪問控制的基礎，為所有對象賦予數(shù)字身份，基于身份而非網(wǎng)絡位置來構建訪問控制體系。

2.最小權限原則

強調資源的使用按需分配，僅授予其所需的最小權限。同時限制了資源的可見性。默認情況下，資源對未經認證的訪問發(fā)起方不可見。

3.實時計算訪問策略

訪問策略決策依據(jù)包括：訪問發(fā)起方的身份信息、環(huán)境信息、當前訪問發(fā)起方信任等級等，通過將這些信息進行實時計算形成訪問策略。一旦決策依據(jù)發(fā)生變化，將重新進行計算分析，必要時即使變更訪問策略。

4.資源安全訪問

默認網(wǎng)絡互聯(lián)環(huán)境是不安全的，要求所有訪問鏈必須加密。可信訪問網(wǎng)關提供國密安全代理能力，保障訪問過程中的機密性。

5.基于多源數(shù)據(jù)進行信任等級持續(xù)評估

訪問發(fā)起方信任等級是零信任授權決策判斷的重要依據(jù)。訪問發(fā)起方信任等級根據(jù)多源信任信息實時計算得出。

6.動態(tài)控制機制

當訪問發(fā)起方信任等級發(fā)生變化后，策略執(zhí)行引擎將向各個策略執(zhí)行點進行策略下發(fā)。再由各策略點執(zhí)行控制動作。

四、建設內容

建設總體架構如下圖所示

1、動態(tài)訪問控制體系

動態(tài)訪問控制體系主要負責管理參與訪問的實體身份管理、風險威脅的采集，以及動態(tài)訪問控制策略的定義及計算，動態(tài)訪問控制的主要產品組件如下：

1)IAM

作為動態(tài)訪問控制的基礎，為零信任提供身份管理、身份認證、細粒度授權及行為感知能力。

身份管理及認證能力：身份管理服務對網(wǎng)絡、設備、應用、用戶等所有對象賦予數(shù)字身份，為基于身份來構建訪問控制體系提供數(shù)據(jù)基礎。認證服務構建業(yè)務場景自適應的多因子組合認證服務。實現(xiàn)應用訪問的單點登錄。

細粒度權限管理能力：權限服務基于應用資源實現(xiàn)分類分級的權限管理與發(fā)布。實現(xiàn)資源按需分配使用,為應用資源訪問提供細粒度的權限控制。

2)安全控制中心

作為策略管理中心：負責管理動態(tài)訪問控制規(guī)則。作為策略執(zhí)行引擎：負責基于多數(shù)據(jù)源持續(xù)評估用戶信任等級，并根據(jù)用戶信任等級與訪問資源的敏感程度進行動態(tài)訪問控制策略匹配，最后將匹配到的結果下發(fā)到各個策略執(zhí)行點。

3)用戶實體行為感知

通過日志或網(wǎng)絡流量對用戶的行為是否存在威脅進行分析，為評估用戶信任等級提供行為層面的數(shù)據(jù)支撐。

4)終端環(huán)境感知

對終端環(huán)境進行持續(xù)的風險評估和保護。當終端發(fā)生威脅時，及時上報給安全策略中心，為用戶終端環(huán)境評估提供數(shù)據(jù)依據(jù)。

5)網(wǎng)絡流量感知

實現(xiàn)全網(wǎng)的整體安全防護體系，利用威脅情報追溯威脅行為軌跡，從源頭解決網(wǎng)絡威脅；威脅情報告警向安全控制中心輸出，為安全控制中心基于多源數(shù)據(jù)進行持續(xù)信任評估提供支撐。

6）可信訪問網(wǎng)關/API網(wǎng)關：

代理網(wǎng)關是確保業(yè)務訪問安全的關口，為零信任提供建立國密SSL安全通路，基于動態(tài)安全，制的會話阻斷移動終端與客戶端登錄均通過安全通道訪問服務。

2、策略執(zhí)行點

主要負責執(zhí)行由安全控制中心下發(fā)的動態(tài)訪問控制策略，避免企業(yè)資源遭到更大的威脅。主要包括以下動態(tài)訪問控制能力：

二次認證：當用戶信任等級降低時，需要使用更加安全的認證進行認證，確保是本人操作。效果：當用戶信任等級降低時，需要使用生物識別技術和數(shù)字證書技術組合的方式才能完成認證。

限制訪問：當用戶信任等級降低時，限制其能訪問的企業(yè)資源，避免企業(yè)敏感資源對外暴露的風險。效果：當用戶信任等級降低時，通過動態(tài)權限的變化，使其不能訪問到企業(yè)敏感資源。

會話熔斷：當用戶訪問過程中信任等級降低時，立即阻斷當前會話。最大程度上降低企業(yè)資源受到威脅的時間。效果：當用戶下載文件時，如果信任等級降低，會導致下載失敗。

身份失效：當用戶信任等級過低時，為避免其進行更多的威脅活動。將其身份狀態(tài)改為失效。效果：身份失效后，不能訪問任何應用。

終端隔離：當終端產生嚴重威脅時，對被隔離的終端進行網(wǎng)絡層面上的隔離，效果：被隔離后斷網(wǎng)；

3、密碼支撐服務

密碼支撐服務為零信任提供底層的密碼能力，負責保障所有訪問的機密行和完整性。

五、應用場景

1.與云計算平臺（公有云/私有云/混合云）結合保護企業(yè)資源

為客戶構建動態(tài)的虛擬身份邊界，解決內部人員訪問、外部人員訪問、外部應用訪問、外部數(shù)據(jù)平臺問安全問題。

2.遠程辦公場景下保護企業(yè)資源

客戶遠程辦公主要包含以下幾條路徑：

1)用戶直接訪應用路徑

通過零信任方案的落地，實現(xiàn)了國內外用戶多網(wǎng)絡位置、多種訪問通道、多種脫敏方式的自適應無感安全訪問流程。

2)VPN訪問路徑

通過SDP技術在實現(xiàn)資源隱藏的同時，能夠支持端到端的安全訪問。有效的降低了資源暴露面。

3.云桌面訪問路徑

將用戶的云桌面作為一個特殊的CS應用與零信任進行對接，對接后使云桌面訪問路徑得到了更強的安全保護。改造后具備了單點登錄、動態(tài)認證，實時阻斷能力，并使用國密算法進行通道保護。

4.特權賬號

集中管理所有特權帳戶，提供密碼托管服務、動態(tài)訪問控制和特權賬號發(fā)現(xiàn)等能力。管理范圍包括：操作系統(tǒng)特權賬號、網(wǎng)絡設備特權賬號、應用系統(tǒng)特權賬號等。

六、案例效果

除了有好的方案與好的產品做支撐外，吉大對訪問方式方法、進行全面而細致的調研，通過緊密結合用戶應用場景完善零信任動態(tài)訪問控制策略，最大程度上兼顧了安全與易用性。

通過零信任安全解決方案，企業(yè)不僅可以獲得保護其資源所需的安全性，還可以實現(xiàn)可觀的業(yè)務效益。除了改進在整個企業(yè)范圍內的可視性和縮短發(fā)現(xiàn)漏洞的時間，企業(yè)還可以降低自身的安全堆棧，最大限度地減少安全技能人才短缺的影響，并保護客戶數(shù)據(jù)以避免聲譽受損損失和重大經濟損失等。