基于智慧安全3.0的零信任实践落地
星期二, 八月 10, 2021
随着新基建和数字经济的加速建设,5G、云计算、大数据、人工智能等新技术、新应用不断深入发展, 网络安全正面临恶意程序样本泛滥、APT攻击持续演进、0-day漏洞等前所未有的挑战。同时,国家高度重视网络安全风险,《网络安全法》、《数据安全法》陆续出台,网络安全在IT架构中的分量日益加重。种种形势表明,安全已不只是合规的要求,需要更多的考虑业务全流程保障要求,从体系化角度去进行安全建设。
2021年,绿盟科技提出“智慧安全3.0”新战略,要求以体系化建设为指引,构建“全场景、可信任、实战化”的安全运营能力,达到“全面防护,智能分析,自动响应”的防护效果。“智慧安全3.0”将安全理念扩展到整个网络空间,并融入新的安全要素。“可信任”作为安全要素之一,提出安全建设要从业务视角出发,融入零信任思想,为用户构建访问信任模型,实现对用户业务环境的可信任保障。
智慧安全3.0下的零信任
零信任思想落地实践主要基于SDP、IAM、MSG等技术,在访问主体到访问客体之间,建立业务平面的安全访问通道,将控制平面零信任分析和控制平台作为零信任大脑,结合终端安全管理、统一身份认证等功能,构建多环节信任验证与访问控制、智能分析与风险识别、动态决策响应等能力。
1、多环节信任验证与访问控制
零信任体系默认网络内部和外部的主体、客体均不可信,需要基于认证和授权动态,重构业务访问控制的信任基础。在访问过程中的各个环节,对终端、用户、应用、API的身份进行多种形式验证,结合业务场景及业务敏感程度,提供多层级可选的控制粒度。通过在每个阶段嵌入对应的安全访问控制策略执行点,实现应用和服务的动态控制,保证安全访问控制策略的有效实施。
2、智能分析与风险识别
在零信任架构中,主体与客体之间的访问认证不是一次性的,需要进行持续评估,借助大数据引擎的强大算法,基于多维特征聚类的风险和威胁识别方法,通过对终端、网络和服务器端的访问全路径进行威胁监控,汇聚终端环境、访问频率、认证授权、攻击流量、越权访问等风险数据,智能化完成用户建模和行为分析,基于信任评估模型,识别安全风险。
3、动态策略自动化响应
针对在零信任网络各对象动态变化的环境,基于零信任的策略控制引擎下发指令,从而确保在不断变化的过程中,始终具有可信条件的对象才能访问受控允许的资源。在整个访问过程中,依靠零信任的评估引擎和策略控制引擎,形成威胁研判的信任链,根据信任的紧迫度及危险程度等条件,按照响应优先级调用微场景化的通用Playbook执行脚本,实现对威胁的全局封堵、权限调整及用户二次认证等响应过程。
4、安全联动、打造一体化纵深防御
零信任是一种安全理念,是对现有安全能力的一种完善和补充。绿盟科技“智慧安全3. 0”正是结合这种理念,实现安全体系的全面升级。“智慧安全3.0”从顶层设计开始定义安全体系并规划安全建设,已不只是考虑合规的要求,而是更多的考虑业务全流程保障要求,从体系化角度进行安全建设。“全场景”以全栈安全产品支撑解决方案,适应不同用户场景的需要,针对用户网络建设具备自适应攻击防护能力的纵深防御体系。“可信任”理念结合零信任模型,支撑用户构建可信任的能力,针对用户业务环境打造具备自适应访问保护能力的可信认证授权体系。最后通过基于“实战化“的安全运营体系,形成自适应攻击防护以及自适应访问保护能力的协同闭环机制,构建按需调度的安全能力。
零信任场景化落地实践
绿盟科技在研究零信任理论体系的同时,也很重视落地应用实践,于2014年启动零信任关键技术研究,2019年陆续发布多款关键产品,现在整体解决方案已在各个行业落地,对用户业务环境进行可信任保障。
1、暴露面隐藏场景
在一些日常应用场景中,需要将内网的应用暴露到公网,并在公网进行访问操作,增加业务系统的安全风险。零信任架构可以将应用隐藏起来,基于SDP技术有效防止攻击者对企业应用的探测、扫描、渗透测试等,减少企业对外的攻击暴露面。
2、远程办公场景
针对远程办公场景,绿盟科技“零信任”可以解决VPN访问形式线路不稳、存在横向移动、权限粗放等弊端。利用零信任架构的特点,用户无论是在企业内网还是互联网,都是不被信任的,必须先通过零信任体系认证,根据用户权限才能访问后台应用,最大限度地保证用户安全,便捷地访问企业内网应用。
3、远程运维访问管理
在本地及远程运维场景中,运维人员管理不同应用时需登录不同堡垒机,而不同堡垒机存在安全认证策略不统一,没有统一入口,运维管理成本高等问题。零信任架构模型可以统一身份运维账号、统一入口、统一登录,零信任体系和堡垒机之间的联动也能对运维帐户进行动态管理,提高运维安全性和管理效率。
4、全方位API防护场景
针对API业务暴露公网会被黑产未授权调用,生成钓鱼路径,受害者报警等问题,零信任架构可以提供API安全代理与业务隐藏、调用者身份认证、权限控制等能力,实现对API场景的全方位安全防护。
5、SASE云上零信任安全
随着企业数字化转型的深入发展,企业业务上云成为常态,针对业务上云之后的业务暴露面大、终端管控难、认证方式简单等问题,零信任架构可以以SD-WAN网络为基础,通过SDP、VPN等多种方式,快捷安全接入SASE,以零信任访问控制为核心,结合终端安全,满足高效运维运营、远程办公效率优化等场景需求。
面对数字化转型时代的网络安全挑战,用户可以基于“智慧安全3.0”蓝图,逐步将业务安全与零信任安全架构相融合,以此来构建完备的安全防护体系。绿盟科技也将凭借二十一年的网络安全技术能力积累,持续为用户业务的顺畅运行保驾护航。