零信任身份安全 定义「新」安全边界 单位:北京芯盾时代科技有限公司 主讲人:陈曦 目录 CONTENTS 1 重构:零信任身份重塑信任 2 实践:零信任体系化落地 3 案例:行业场景落地解析 4 芯盾时代零信任解决方案 以零信任构建数字经济「安全新基座」 数字化重塑全域产业链,业务边界VUCA化 有界 边界持续重构 无界 稳定态 变化态 动态平衡态 安全成为产业发展的“生命线”与“天花板” 海量终端与网络虚拟化带来更多攻击面 基础设施云化 触点数字化 APT、勒索病毒等恶意攻击实时化、全面化 业务在线化 运营数据化 基础设施成为攻击重点 决策智能化 隐私保护与数据共享面临挑战 -- 腾讯研究院 以零信任重塑信任,为数字经济构建智能、自适应、异构规模化、弹性交付的安全新基座 基于多维可信身份,建立「ROI均衡」的弹性信任 兼顾安全-体验-成本,在任意环境下实现主体对客体的可信任访问,消除「隐式信任」和「静态信任」 主体 网络 Network Gartner TICM2 可信身份模型 客体 PAD-SDWAN 保护面8要素 Credential-based 人 People 安全访问控制 Service 工作负载 APP Workload Device People 行为模型分析 Device 端点环境分析 Application 可信身份认证 Network 主体意图分析 Service 信誉历史分析 服务 应用 设备 PEP:策略执行 (信任建立和维护) 应用程序接口 API API 服务 Service 零信任 多维信任评估 数据 PDP:策略决策 (信任持续评估) Data Data Analytics-based Workload 随需随身,零信任重构「新」安全边界 构建原则 软件定义的微边界网格 以身份为核心 升级安全体系基座 (Software Defined MicroPerimeter Mesh) PEP与PDP分离 • 随需定义 • 细粒度策略决策 软件定义 贴身化 随身化 微粒化 • 模块化:能力模块化、策略模块化 • 响应式:自动响应,弹性扩展 ASIC:Around - Sidecar - Inside - Cloud 可互操作:安全能力集成联动 非破坏式创新:升旧立新 安 全 边 界 || 执 行 安 全 策 略 , 实 现 安 全 控 制 的 载 体 SD-MicroPerimeter Mesh核心组件 微边界双模部署: 端点安全Agent and 安全微网关 智能控制中心: 云端交付,实现全局可见性和集中管控 全平台覆盖、全架构应用支持、 全协议代理、全链路安全、全流量透视 分布式联合身份框架,实现全域信任持续计算 按需扩展,构建基座与能力的数据循环与联动闭环 MP和CIC构成扩展的基础 • EPP/EDR 安全防护及终端管控能力 • EMM 安全微网关:扩展丰富的安全处置能力, PKI基础设施 微隔离 MTD 实现灵活的策略执行 • 威胁情报 合规管理平台 安全Agent:扩展深度风险感知、数据 中央智能控制器:融合广泛风险信息源, 设备资产管理 SIEM/态势感知 支持全面态势感知,实现精准的风险决 策,实时触发策略执行 可信身份管理平台 VDI WAF RASP 基座与能力集成原则 • 能力增长系数 >> 性能/资源损耗系数 • 一体化降低维护成本,保证兼容性 • 数据循环优于日志单向同步 • 基于API集成,真正联动 • 集中安全策略编排,并触发MP执行 动态访问控制引擎 a 生物探针 持续信任计算引擎 SOC IPS/IDS DLP SWG 安全浏览器 CASB RBI SASE FW/NGFW 泛端点安全Agent 安全沙箱 UEBA 全域风险感知平台 零信任安全网关 安全管理及运营 中心 VPN SOAR 零信任「体系化」落地实践方法论 落地场景难选取 规:目标-路径 诊:调研-画像 零信任落地四大挑战 诊 规 路线选取与组合 切入层面 · 增强IAM · 端点安全 · SDP · 传输安全 · 微隔离 · 业务安全 · CARTA · 数据安全 · 基础设施安全 · 安全体系升级 落地场景难选取 点 线 点:选点-成效 落地场景难选取 环 · ROI原则 场景选取 落地场景难选取 线:能力-运营 环:评估-改进 · 可信实体身份识别 · 微创性原则 · 全域风险感知 · 安全能力基线设定 · 资源安全访问 · 数据驱动效果分析 · 系统性原则 · 动态自适应访问控制 · 路线调整持续改进 · 延续性原则 · 持续风险和信任评估 · 存量升级 + 体验提升 · 通用方案 + 因地制宜 · 可见性原则 · 能力互补 + 精准切入 · 体系升级 + 技术创新 5大能力 泛行业,多场景:零信任落地切入点选取清单 业务访问: 支持任何人基于“最小权限原则”访问任何数据资产 流量网络: 构建东西流量安全与可视 服务网格: 保护服务间的数据交换与能力整合 监管合规: 宏观层面的安全诉求落地与能力匹配 安全增强: 内生需求驱动的安全与体验升级 零信任能力成熟度参考模型 匹配企业自身状况和发展目标, 综合考量「路线-场景-能力成熟度阶段」,量身定制落地路径 案例1:收敛暴露面,多维身份信任,实现攻防演练0失分 场景需求 【场景】某股份制银行,面向B2B的业务协作 开放数据及API访问 · 多地研发协同,资源访问方众多且环境复杂 · 准生产环境访问控制宽松,安全设备不足 · 测试版本数量远大于生产环境,漏洞问题多 【挑战】 · 50+系统 100+公网IP 10000+开放端口 · 100+合作伙伴,协调配合难度极大 · 仅有2周时间完成全部对接并上线 监管合规 服务网格 解决方案 · IP及端口收敛 · 通用安全策略模型沉淀与复制 · 多维身份可信认证:连接、设备、访问环境 案例1:收敛暴露面,多维身份信任,实现攻防演练0失分 效果 & 亮点 IP收敛至 监管合规 服务网格 演练期间部分统计数据 访问拦截统计 9 个,端口收敛至 121 个 访问量 拦截量 450000 409949 400000 312320 250000 313112 309730 286288 300000 改造:合作伙伴系统及企业开放系统 361676 357857 352559 350000 0 419315 205517 215006 244340 237009 188282 200000 147547 150000 100000 快速上线:演练中后期,单个开放业务系统安全 策略配置及上线,仅需 2 小时 50000 164 27 18 198 1279 5191 4877 4491 267 109 5345 4483 6229 9337 4798 0 4月8日 4月9日 4月10日 4月11日 4月12日 4月13日 4月14日 4月15日 4月16日 4月17日 4月18日 4月19日 4月20日 4月21日 4月22日 案例2:SD-MPM,实现多数据中心架构下的远程访问 场景需求 1.某央企集团,替代VPN实现 更安全和灵活的远程访问 · 端口开放暴露 · 弱口令易攻破 · 分配内网IP,横向移动风险大 2.全国性混合云, 横跨多数据中心 需要统一管理和 灵活部署 · 缺少功能级精细访问控制 · 无法审计7层业务行为 解决方案 多数据中心支持,完全分布式架构 · 多租户模式 · 随身漂移 · 实现弹性扩容和负载均衡 · 集群部署保持端口隐藏 多重安全机制 · SPA预认证,实现双重隐身 · 按需授权,用户仅能访问授权应用 · 设备认证及准入,控制终端安全基线 · 精细管控mTLS连接时效,空闲即断 · 自安全能力,过滤DDos、扫描、攻击等恶意流量 业务访问 安全增强 案例3:安全与体验并重,用零信任身份提升办公体验 场景需求 · 某全国性集团企业,业务访问依赖密码,密码更新 不易记,易被钓鱼和撞库 · 期望免密体验,同时保证安全性 · 仅在必要时进行增强认证,不打断业务体验 解决方案 · 功能级安全策略:体验优先 | 安全优先 | 安全均衡 · 风险持续计算,实现自适应安全控制 · 移动端MFA:扫码、推送、SIM认证等,消灭密码 · 集成客户已有EPP平台,实现终端环境威胁深度感知 业务访问 安全增强 案例4:基于多维风险标签的细粒度API安全防护 服务网格 场景需求 · 采用前后端分离的微服务架构,跨域服务间API调用无权限校验 · 使用任意设备在生产环境测试,仅在应用内验证用户身份 · API数据包含敏感信息,在准生产环境仿真测试时直接暴露 · 微服务众多,API资产难盘点 · 期望实现URI级的API细粒度访问控制 解决方案 · 安全Agent 自动添加基于OTP的一次性Token 自动添加API身份标识(可混淆URL) 自动采集客户端环境数据 自动SPA预认证并建立加密隧道 · API资产发现及交互地图学习 多维风险标签 · 数据清洗 · 设备风险、身份标签 · Token风险标签(调用者身份) · API服务身份标签 · API调用行为风险标签 案例5:切面安全,0改造实现存量设施安全升级 场景需求 · 某高校VPN访问依赖密码,存在复用和借用 · 学生辞旧迎新,大量学生账号管理复杂 · 邮箱客户端静默登录,对风险场景没有安全管控 解决方案 · 升级VPN:无需安装客户端,基于微信服务号消息 推送,实现免密二次认证 · 升级邮箱:自定义风险场景,实现二次认证 安全增强 业务访问 案例6:切面安全,0改造实现国密算法升级 场景需求 · 某金融客户 B/S 业务系统,使用国际加密算法 · 监管要求:国务院办公厅 140号文,《金融数据安全-数据安 全分级指南》 · 针对业务系统中敏感报文及信道,实施改造量小、稳定可靠 的国密算法支持 · 支持XC软硬件平台 解决方案 基于SSE的客户端加密Agent · 基于白盒算法保护工作密钥及运算 · 国密安全浏览器,封装支持国密算法的HTTPS协议栈 · 透明注入,对业务前端0改造 安全加密网关 · 国密算法支持:SM1、S
芯盾时代 陈曦 零信任身份赋能SDP
文档预览
中文文档
21 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共21页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 思安 于 2022-10-19 12:31:36上传分享