随着新基础设施和数字经济的加快,5g、云计算、数据、人工智能等新技术和应用不断深入发展。网络安全面临着前所未有的挑战,如恶意程序样本的扩散、apt攻击的不断演变、0天漏洞等。同时,高度重视网络安全风险。《网络安全法》和《数据安全法》相继出台,网络安全在IT体系结构中的比重与日俱增。各种情况表明,安全不仅是合规性的要求,还需要考虑整个业务流程的保障要求,从系统化的角度进行安全。2021,绿盟科技提出了“智能安全3.0”的新,将智能安全的概念扩展到整个网络空间,并整合新的安全元素。“可信度”作为安全要素之一,提出安全应从业务角度出发,整合零信任理念,构建用户访问信任模型,实现用户业务环境的可信保障
智能安全与零信任的融合
零信任概念的实现主要基于SDP、Iam、MSG等技术,在业务平面上建立从接入主体到接入对象的安全接入通道,以控制平面零信任分析控制平台为零信任脑,结合终端安全管理、统一身份认证等功能,构建多链路信任验证和访问控制智能分析与风险识别,动态决策和响应
01
多链路信任验证和访问控制
零信任系统默认不信任网络内外的主体和对象。基于认证和授权的动态性,有必要重建业务访问控制的信任基础。在接入过程的每个环节,终端、用户、应用和API的身份都以各种形式进行验证,结合业务场景和业务敏感性,提供多级可选控制粒度。通过在每个阶段嵌入相应的安全访问控制策略执行点,实现对应用和服务的动态控制,确保安全访问控制策略在零信任架构中的有效实施,主体和客体之间的访问认证不是一次性的,需要不断评估。借助数据引擎强的算法和基于多维特征聚类的风险与威胁识别方法,通过对终端、网络和服务器的整个访问路径、终端环境、访问频率、认证授权、攻击流量访问风险数据等进行威胁监控,智能地完成用户建模和行为分析,并基于信任评估模型识别安全风险
03
动态策略自动化响应
对于零信任网络中每个对象动态变化的环境,基于零信任的策略控制引擎发出指令,以确保具有可信条件的对象能够在变化过程中访问受控和允许的资源。在整个访问过程中,依靠零信任评估引擎和策略控制引擎,形成了一个用于威胁研究和判断的信任链。根据信任的紧迫性和危险性等条件,根据响应优先级调用微场景通用剧本执行脚本,实现威胁全拦截、权限调整、用户二次认证等响应过程,纵深防御
零信任是一种安全概念,是对现有安全能力的完善和补充。绿色联盟技术“智能安全3.0”从顶层设计开始,定义安全系统并规划安全。它不仅考虑了合规性的要求,还考虑了整个业务流程保障的要求,从系统化的角度进行了安全。“全场景”支持全栈安全产品解决方案,适应不同用户场景的需求,为用户网络构建具有自适应攻击防护能力的纵深防御系统;“可信”的概念与零信任模型相结合,支持用户建立可信的能力,为用户的业务环境创建具有自适应访问保护能力的可信认证授权系统;最后基于“实战”“形成自适应攻击防护和自适应访问防护的协同闭环机制,构建按需调度的安全能力。
零信任场景实施实践
绿盟科技于2014年启动了零信任关键技术的研究,目前相关解决方案已在各行业实施,以满足用户需求。”确保用户业务环境的可信度
01
暴露面隐藏场景
在一些日常应用场景中,内联网上的应用程序需要暴露于公网,并在公网问,以增加业务系统的安全风险。零信任体系结构可以隐藏应用程序。基于SDP技术,可以有效防止攻击者对企业应用进行检测、扫描和渗透测试,减少外攻击的暴露
02
远程办公场景
对于远程办公场景,“零信任”可以解决VPN访问形式不稳定、水平移动、权限广泛等缺点。利用零信任体系结构的特点,无论是在企业内网还是在互联网上,用户都不受信任。他们必须首先通过零信任系统认证,并可以根据用户权限访问后台应用,以最限度地保证用户安全方便地访问企业内网应用
03
远程运维访问管理
在本地和远程运维场景中,在管理不同的应用程序时,操作和维护人员需要登录到不同的fortress机器。然而,不同的堡垒机器存在安全认证策略不一致、无法统一访问、运维管理成本高等问题。零信任架构模型可以统一身份、运维账号、统一入口、统一登录。零信任系统与堡垒机的联动还可以动态管理运维账号,提高运维安全和管理效率
04
全方位API保护场景
针对API业务暴露的问题,公共网络将被未经授权的黑产品调用,生成钓鱼路径、受害者报警等,零信任架构可以提供API安全代理和业务隐藏、呼叫方身份认证、,权限控制等功能,实现API场景的全方位安全防护
05
SASE云上的零信任安全
随着企业数字化转型的深入发展,云上企业业务已成为常态。鉴于云上业务曝光量、终端控制难度、认证方式简单,零信任架构可以基于sd wan网络,通过SDP、VPN等方式快速安全地连接到SASE,以零信任访问控制为核心,结合终端安全,满足高效运维的需要,远程办公效率优化和其他场景
