銀行零信任安全白皮書_第1頁
銀行零信任安全白皮書_第2頁
銀行零信任安全白皮書_第3頁
銀行零信任安全白皮書_第4頁
銀行零信任安全白皮書_第5頁
已閱讀5頁,還剩56頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

ZeroTrustSecurity派拉軟件發(fā)展研究院ZeroTrustSecurity 派拉軟件發(fā)展研究院summary近年來,隨著新技術(shù)在銀行業(yè)的廣泛應(yīng)用,加快了銀行業(yè)數(shù)字化轉(zhuǎn)型的步伐,銀行的業(yè)務(wù)和管理向著線上化、數(shù)字化、智能化演進(jìn),銀行的價值鏈也由封閉走向開放。隨著銀行業(yè)數(shù)字化進(jìn)程的逐漸深入,信息安全風(fēng)險也日益凸顯。零信任作為信息安全領(lǐng)域的又一次技術(shù)革新,正在成為銀行業(yè)構(gòu)建信息安全防護(hù)體系的重點之一。本白皮書意在指引利用零信任安全技術(shù)的優(yōu)勢,加快推進(jìn)銀行業(yè)務(wù)安全的建設(shè),針對銀行業(yè)的安全挑戰(zhàn),提出銀行零信任安全框架,并對銀行的業(yè)務(wù)場景實現(xiàn)、數(shù)據(jù)安全與隱私保護(hù)等方面進(jìn)行闡述,以期對銀行業(yè)務(wù)安全提供發(fā)展指引,供讀者思考和實操參考。目錄content1.1環(huán)境背景1.2安全挑戰(zhàn)2.1技術(shù)特點2.2部署方式P3業(yè)務(wù)場景實現(xiàn)083.1遠(yuǎn)程辦公3.2數(shù)字銀行3.3系統(tǒng)運維4.1身份和權(quán)限治理4.2安全訪問4.3API安全4.4數(shù)據(jù)安全5.1銀行業(yè)零信任安全總結(jié)5.2銀行業(yè)零信任安全發(fā)展趨勢派拉軟件發(fā)展研究院派拉軟件發(fā)展研究院1.1環(huán)境背景1.2安全挑戰(zhàn)派拉軟件發(fā)展研究院“十四五”時期,我國金融業(yè)安全和信息化發(fā)展的外部環(huán)境和內(nèi)部條件發(fā)生復(fù)雜而深刻的變化,機遇與挑戰(zhàn)前所未有。作為數(shù)據(jù)密集型行業(yè),銀行業(yè)更需要嚴(yán)格落實法律法規(guī),將監(jiān)管要求的網(wǎng)絡(luò)與數(shù)據(jù)信息安全指導(dǎo)方針、風(fēng)險管理、監(jiān)督和檢查管理的流程和機制等內(nèi)容整合到現(xiàn)有安全管理策略和制度建設(shè)當(dāng)中。健全數(shù)據(jù)安全治理體系,強化數(shù)據(jù)全生命周期安全防護(hù),嚴(yán)防數(shù)據(jù)誤用濫用。推動數(shù)據(jù)分級分類管理,科學(xué)界定數(shù)據(jù)所有權(quán)、使用權(quán)、管理權(quán)和收益權(quán),明確數(shù)據(jù)適用范圍成為金融機構(gòu)首要基礎(chǔ)安全建設(shè)。近年來,國內(nèi)外網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露事件頻發(fā),攻擊手段不斷升級,從數(shù)據(jù)的采集、傳輸、存儲、處理到訪問,國家、企業(yè)和個人面臨著各類的網(wǎng)絡(luò)與數(shù)據(jù)安全威脅。國家高度重視網(wǎng)絡(luò)與數(shù)據(jù)安全工作,《網(wǎng)絡(luò)安全法》在2017年起實施后,于2021年陸續(xù)發(fā)布《數(shù)據(jù)安全法》、《個人信息保護(hù)法》等法律法規(guī),為推進(jìn)網(wǎng)絡(luò)與數(shù)據(jù)安全建設(shè)提供了法理依據(jù)。隨著云計算、互聯(lián)網(wǎng)、移動計算和物聯(lián)網(wǎng)的發(fā)展,銀行業(yè)務(wù)場景復(fù)雜導(dǎo)致的數(shù)據(jù)安全受到更多的威脅。由于業(yè)務(wù)的不斷快速發(fā)展,金融機構(gòu)的業(yè)務(wù)系統(tǒng)多達(dá)幾百上千個,應(yīng)用場景繁多,其中承載著大量的客戶基礎(chǔ)信息、業(yè)務(wù)交易數(shù)據(jù)、業(yè)務(wù)產(chǎn)品數(shù)據(jù)、企業(yè)經(jīng)營數(shù)據(jù)、機構(gòu)數(shù)據(jù)、認(rèn)證信息、生物特征信息、企業(yè)員工信息等大量業(yè)務(wù)和系統(tǒng)數(shù)據(jù)。這些數(shù)據(jù)由于業(yè)務(wù)需要在各個系統(tǒng)間不停的流轉(zhuǎn),其面臨的風(fēng)險也隨之變化。銀行面臨的安全挑戰(zhàn)有以下方面:派拉軟件發(fā)展研究院身份安全終端安全網(wǎng)絡(luò)安全API安全身份安全終端安全網(wǎng)絡(luò)安全API安全(1)基于網(wǎng)絡(luò)物理邊界的防護(hù)理念在新型的安全攻擊下暴露出很多問題,先連接后認(rèn)證的方式增加了后端服務(wù)的危險,即便是VPN本身也只解決訪問網(wǎng)絡(luò)的身份,不會對終端以及訪問服務(wù)的身份與權(quán)限進(jìn)行驗證;另外,后端服務(wù)無法做到隱藏,對外固定的端口很容易受到外部惡意的探測與攻擊,導(dǎo)致服務(wù)崩潰而無法訪問?;谀涿K端和無權(quán)限訪問服務(wù)的身份認(rèn)證影響著整個后端服務(wù)安全,而端到端沒有建立加密隧道的連接方式也影響著整個網(wǎng)絡(luò)安全。(2)數(shù)字化轉(zhuǎn)型的大背景下,銀行系統(tǒng)架構(gòu)除了支持進(jìn)行數(shù)據(jù)治理,還要提供采集、傳輸、處理、存儲、訪問整個數(shù)據(jù)安全周期的保障,其中各業(yè)務(wù)系統(tǒng)API的安全成為關(guān)鍵,不僅涉及到業(yè)務(wù)的互聯(lián)互通,還與數(shù)據(jù)安全周期的保障直接關(guān)聯(lián),也關(guān)系到企業(yè)API資產(chǎn)統(tǒng)計與管理?,F(xiàn)有的RBAC授權(quán)模式已無法提供對敏感數(shù)據(jù)的訪問保護(hù);大量的API權(quán)限范圍的合法性也需要監(jiān)管;非一對一關(guān)系的業(yè)務(wù)請求涉及到多個業(yè)務(wù)系統(tǒng)接口的組合和編排,安全性如何保障?這些問題充滿著安全挑戰(zhàn),現(xiàn)有的系統(tǒng)架構(gòu)已無法滿足。(3)傳統(tǒng)防護(hù)技術(shù)的升級,往往是有針對性的、局部的,且僅限于預(yù)設(shè)靜態(tài)防范模式,并沒有整體的動態(tài)安全防護(hù)概念,無法做到一體化的安全架構(gòu)體系,即“持續(xù)訪問,持續(xù)驗證”的理念,根據(jù)請求者、終端環(huán)境、網(wǎng)絡(luò)環(huán)境、服務(wù)環(huán)境實現(xiàn)訪問權(quán)限自適應(yīng),自動把風(fēng)險控制到最低,直至完全隔離或消除。要解決以上安全挑戰(zhàn),我們需要構(gòu)建銀行零信任安全架構(gòu),把身份安全、終端安全、網(wǎng)絡(luò)安全、API安全包含進(jìn)去,在滿足業(yè)務(wù)需求的前提下提供一體化的安全保障。銀銀行零信任安全架構(gòu)派拉軟件發(fā)展研究院2.1技術(shù)特點2.2部署方式派拉軟件發(fā)展研究院銀行零信任安全架構(gòu)保障網(wǎng)絡(luò)和數(shù)據(jù)的安全,降低由于數(shù)字化轉(zhuǎn)型帶來的安全風(fēng)險,主要從身份安全、終端安全、網(wǎng)絡(luò)安全、API安全結(jié)合銀行業(yè)的遠(yuǎn)程辦公、數(shù)字銀行、系統(tǒng)運維幾個業(yè)務(wù)場景來實現(xiàn)。銀行一體化安全邏輯架構(gòu)如圖2-1所示ZTaaSZTaaS遠(yuǎn)程辦公數(shù)字銀行系統(tǒng)運維交換與安全平臺外部觸點pcAPPWEB微信身份安全終端安全網(wǎng)絡(luò)安全API安全數(shù)據(jù)安全信信創(chuàng)平臺圖2-1銀行一體化安全邏輯架構(gòu)派拉軟件發(fā)展研究院解決用戶、設(shè)備、數(shù)據(jù)相關(guān)業(yè)務(wù)及訪問的唯一標(biāo)識與權(quán)限問題,實現(xiàn)終端與服務(wù)身份的統(tǒng)一管理與權(quán)限驗證,是跨多個系統(tǒng)和應(yīng)用程序管理數(shù)字身份和訪問權(quán)限的工具。這些工具有助于確保只有合適的人才能在合適的時間出于合適的原因獲得合適的資源(例如應(yīng)用程序和數(shù)據(jù))的權(quán)限,基于細(xì)粒度動態(tài)授權(quán)模式,實現(xiàn)“持續(xù)訪問,持續(xù)驗證”,保證訪問權(quán)限的最小化。解決終端運行環(huán)境的安全問題,由終端感知與終端防護(hù)兩部分組成。終端感知包括安全事件檢測、安全事件調(diào)查、遏制安全事件、以及修復(fù)至感染前的狀態(tài);終端防護(hù)由漏洞利用預(yù)防/內(nèi)存保護(hù)、應(yīng)用控制/白名單、系統(tǒng)信任保證、網(wǎng)絡(luò)防火墻、可視性及微隔離幾大類組成。解決了終端到資源端的鏈路安全問題,實現(xiàn)先認(rèn)證后連接,隱藏后端服務(wù)網(wǎng)關(guān)、資源服務(wù),免受被惡意探測和攻擊,通過微網(wǎng)絡(luò)安全隔離完成數(shù)據(jù)的安全過濾與導(dǎo)流,以及訪問資源的負(fù)載均衡。解決各資源的數(shù)據(jù)交互與共享,實現(xiàn)API資產(chǎn)管理與監(jiān)控,提供API編排滿足業(yè)務(wù)擴展的需要。對外提供最小權(quán)限的接口服務(wù)訪問,在實現(xiàn)業(yè)務(wù)互聯(lián)互通的前提下完成接口服務(wù)訪問控制,提供監(jiān)控與審計,提高業(yè)務(wù)效率,增加用戶體驗,促進(jìn)企業(yè)的合規(guī)性。解決了數(shù)據(jù)采集、傳輸、處理、存儲、訪問全生命周期的安全問題,提供元數(shù)據(jù)的定義與授權(quán),基于細(xì)粒度的授權(quán)模式,對敏感屬性自動過濾與加密,結(jié)合業(yè)務(wù)安全模型與風(fēng)險評估,可動態(tài)實現(xiàn)數(shù)據(jù)的訪問權(quán)限控制,數(shù)據(jù)安全網(wǎng)關(guān)可實現(xiàn)客戶端工具訪問的統(tǒng)一管理與配置,防止SQL注入與特權(quán)帳號的安全管理與監(jiān)控。派拉軟件發(fā)展研究院本地/私有云混合云公有云本地/私有云混合云公有云支持本地或私有云部署,如果涉及遠(yuǎn)程辦公,需要部署一臺能連續(xù)內(nèi)外網(wǎng)的SPA控制器,一臺網(wǎng)關(guān)服務(wù)器,組成SDP服務(wù)解決網(wǎng)絡(luò)訪問安全,其他的IAM服務(wù)、API網(wǎng)關(guān)、UEBA服務(wù)等可部署在內(nèi)網(wǎng)。支持混合云部署,SDP服務(wù)的SPA控制器、網(wǎng)關(guān)服務(wù)器地址需要能被公有云和私有云訪問,其他的IAM服務(wù)、API網(wǎng)關(guān)、UEBA服務(wù)等部署在私有云內(nèi),為解決云之間的鏈路安全,每個公有云需要部署一臺應(yīng)用服務(wù)網(wǎng)關(guān),提供端到端的安全鏈接服務(wù)。支持公有云部署,SDP服務(wù)的SPA控制器、網(wǎng)關(guān)服務(wù)器、IAM服務(wù)、API網(wǎng)關(guān)、UEBA服務(wù)等部署公有云內(nèi),外網(wǎng)不通過SPA控制器和網(wǎng)關(guān)服務(wù)器的認(rèn)證,無法直接訪問IAM、API網(wǎng)關(guān)、每個公有云需要部署一臺應(yīng)用服務(wù)網(wǎng)關(guān),提供端到端的安全鏈接服務(wù)。派拉軟件發(fā)展研究院3.1遠(yuǎn)程辦公3.2數(shù)字銀行3.3系統(tǒng)運維派拉軟件發(fā)展研究院隨著疫情常態(tài)化以及遠(yuǎn)程辦公的發(fā)展,加快了越來越多的員工通過遠(yuǎn)程方式接入金融體系內(nèi)網(wǎng)系統(tǒng),進(jìn)行辦公和生產(chǎn),金融企業(yè)在傳統(tǒng)辦公模式下的安全邊界正在被逐漸打破。為更加有效識別訪問對象與權(quán)限,保護(hù)后端網(wǎng)絡(luò)和服務(wù)資源,實現(xiàn)便捷、高效與安全辦公,已成為普遍共識,圍繞著從終端身份、訪問資源的用戶身份、終端到資源端的鏈路安全到訪問資源權(quán)限的自適應(yīng),以及資源實現(xiàn)隱藏來避免外部探測和攻擊等問題,我們需要構(gòu)建基于零信任安全模型的遠(yuǎn)程辦公解決方案。如圖3-1所示管理層員工/用戶外部觸點pcAPPWEB微信ZTaaS業(yè)務(wù)集成ZTaaS業(yè)務(wù)集成身份安全終端安全網(wǎng)絡(luò)安全數(shù)據(jù)安全......應(yīng)應(yīng)用集成流程集成數(shù)據(jù)集成安全集成......API數(shù)據(jù)交換安全平臺資源服務(wù)資源服務(wù)客戶信息管理運維管理平臺統(tǒng)一支客戶信息管理運維管理平臺統(tǒng)一支付平臺人力資源系統(tǒng)資產(chǎn)負(fù)債管理......風(fēng)險管理圖3-1一體化安全辦公借助于零信任的ZTaaS可實現(xiàn)后端網(wǎng)絡(luò)的隱藏,實現(xiàn)終端身份先認(rèn)證后連接,終端身份與用戶身份同時驗證,信平臺匿名和不安全終端的接入,在鏈路建立之前就可獲得用戶對后端資源是否有訪問的權(quán)限,解決了匿名或未授權(quán)用戶的異常訪問。派拉軟件發(fā)展研究院區(qū)別于傳統(tǒng)銀行,銀行服務(wù)不再依賴于實體銀行網(wǎng)點,而是以數(shù)字網(wǎng)絡(luò)作為銀行的核心,借助前沿技術(shù)為客戶提供網(wǎng)上銀行、手機銀行、移動支付等一系列服務(wù),服務(wù)趨向定制化和互動化,如何打通業(yè)務(wù)之間的互聯(lián)互通,實現(xiàn)API的安全訪問、API資產(chǎn)的管理與安全保護(hù)成為首要面對的問題。關(guān)于如何建設(shè)數(shù)字銀行,中國人民銀行印發(fā)的《金融科技發(fā)展規(guī)劃(2022-2025年)》給出了建設(shè)思路—打造基于API技術(shù)的數(shù)字化生態(tài)銀行:“借助應(yīng)用程序接口(API)、軟件開發(fā)工具包(SDK)等手段深化跨界合作……構(gòu)建開放、合作、共贏的金融服務(wù)生態(tài)體系。通過系統(tǒng)嵌入、API等手段,實時獲取風(fēng)險信息、自動抓取業(yè)務(wù)特征數(shù)據(jù),保證監(jiān)管信息的真實性和實效性。”銀行的安全服務(wù)不僅需要滿足內(nèi)部需求,而且也需要滿足外部需求,需要解決API的安全訪問,也要解決API資產(chǎn)管理與安全保護(hù)。數(shù)字銀行建設(shè)的解決方案如圖3-2所示外部觸點ZTaaS業(yè)務(wù)集成資源服務(wù)外部觸點ZTaaS業(yè)務(wù)集成資源服務(wù)網(wǎng)點平臺移動平臺信息交互平臺電商平臺身份安全終端安全網(wǎng)絡(luò)安全數(shù)據(jù)安全......應(yīng)應(yīng)用集成數(shù)據(jù)集成外部合作渠道互聯(lián)......API數(shù)據(jù)交換安全平臺信貸業(yè)務(wù)平臺貸記卡系統(tǒng)電子商業(yè)信貸業(yè)務(wù)平臺貸記卡系統(tǒng)電子商業(yè)匯票資金業(yè)務(wù)平臺私人銀行理財系統(tǒng)......圖3-2數(shù)字銀行的安全框架派拉軟件發(fā)展研究院建設(shè)數(shù)字銀行的安全框架平臺,基于用戶、設(shè)備、系統(tǒng)等不同的訪問對象,統(tǒng)一內(nèi)外部服務(wù)的安全接入,通過訪問身份認(rèn)證和鑒權(quán),減少身份與API數(shù)據(jù)泄露和攻擊風(fēng)險,實現(xiàn)數(shù)據(jù)安全訪問;通過打通移動APP、微信小程序、第三方合作伙伴和企業(yè)內(nèi)部應(yīng)用的數(shù)據(jù)互聯(lián)互通,實現(xiàn)數(shù)據(jù)安全共享;通過API資產(chǎn)的統(tǒng)一管理與檢查API權(quán)限的安全,實現(xiàn)資產(chǎn)統(tǒng)計與業(yè)務(wù)系統(tǒng)安全保護(hù);打通企業(yè)上下游業(yè)務(wù),整合內(nèi)外部服務(wù)能力,實現(xiàn)敏捷應(yīng)對業(yè)務(wù)的變化??蓪崿F(xiàn)企業(yè)生態(tài)建設(shè),降低運營成本、擴大數(shù)據(jù)積累、提升客戶體驗。業(yè)務(wù)的發(fā)展需要用大量的操作系統(tǒng)與網(wǎng)絡(luò)設(shè)備來支撐,傳統(tǒng)的運維管理模式很難滿足安全與效率的平衡,甚至二者都不沾邊,運維人員的工作變得異常復(fù)雜和高風(fēng)險,尤其對特權(quán)賬號的申請與授權(quán)非常敏感。金融機構(gòu)面臨著如何實現(xiàn)資源的統(tǒng)一管控與特權(quán)賬號的全生命周期管理,操作系統(tǒng)或數(shù)據(jù)庫的細(xì)粒度訪問控制與審計,實現(xiàn)事前、事中、事后的全方位安全保護(hù),在保障安全、監(jiān)控、審計的前提下最大限度提高工作效率等多方面問題,要解決這些問題,我們需要構(gòu)建一體化的安全運維平臺來解決。如圖3-3所示派拉軟件發(fā)展研究院運維人員管理員外部觸點pcAPPWEB微信ZTaaSPAMZTaaSPAM身份安全終端安全網(wǎng)絡(luò)安全數(shù)據(jù)安全......賬賬號與密碼管理安全審計訪問監(jiān)控資源注冊......API數(shù)據(jù)交換安全平臺資源服務(wù)資源服務(wù)操作系統(tǒng)數(shù)據(jù)庫交換機/路由器應(yīng)用系統(tǒng)中間件虛擬設(shè)備......圖3-3一體化安全運維通過平臺的集中管理,可實現(xiàn)對金融資產(chǎn)信息(包括運維人員、資源信息、資源賬號信息、授權(quán)管控、審計信息、密碼管理等)進(jìn)行標(biāo)準(zhǔn)化的管理,為管理員和運維人員的訪問資源提供了安全性和高效性。通過關(guān)聯(lián)用戶的訪問資源行為,對非法登錄和非法操作實時分析、定位和響應(yīng),為安全審計和追蹤提供依據(jù)。派拉軟件發(fā)展研究院partpart4.1身份和權(quán)限治理4.2安全訪問4.3API安全4.4數(shù)據(jù)安全派拉軟件發(fā)展研究院數(shù)據(jù)安全是構(gòu)建客戶信任的基礎(chǔ),在數(shù)字經(jīng)濟(jì)穩(wěn)步發(fā)展的背景之下,數(shù)字化帶來的安全挑戰(zhàn)成為業(yè)界熱門話題,網(wǎng)絡(luò)安全也隨之升級為數(shù)字安全,安全合規(guī)與隱私保護(hù)愈發(fā)受到越來越多企業(yè)的關(guān)注。因此,從企業(yè)角度,應(yīng)當(dāng)著重從身份和權(quán)限治理、安全訪問、服務(wù)安全三個方面進(jìn)行安全保護(hù)。在企業(yè)中,用戶或設(shè)備的身份信息都分散在各個業(yè)務(wù)系統(tǒng)中,企業(yè)在使用不同的業(yè)務(wù)服務(wù)過程中都存在由于身份信息的不同而存在數(shù)據(jù)的不一致性,權(quán)限也不盡相同,企業(yè)需要在每個業(yè)務(wù)系統(tǒng)中手動完成身份與權(quán)限信息的維護(hù),容易引發(fā)以下幾個問題:中國人姓名的重名率很高,在數(shù)字化系統(tǒng)授權(quán)時往往造成困擾,甚至導(dǎo)致錯每一員工的入職、轉(zhuǎn)正、更換部門或升職、離職都需要在所有的數(shù)字化系統(tǒng)中進(jìn)行添加、變更、刪除、鎖定等操作。一位員工的變動,管理員往往需要操作幾十個授權(quán)動作,工作量巨大。外部用戶或供應(yīng)商需要手工創(chuàng)建身份信息,在供應(yīng)商完成工作后往往沒有及時刪除用戶賬號和授權(quán)信息,導(dǎo)致安全威脅。離職員工不及時關(guān)閉賬號導(dǎo)致數(shù)據(jù)泄露。 過度授權(quán)導(dǎo)致用戶可以查看超出應(yīng)有權(quán)限的數(shù)據(jù),造成企業(yè)信息安全風(fēng)險。 通過郵件或即時消息溝通身份和授權(quán),往往會發(fā)生遺漏、錯誤的情況,從而導(dǎo)致安全風(fēng)險。派拉軟件發(fā)展研究院特權(quán)賬號與用戶在一對多的關(guān)系中,每個用戶在訪問的時候都需要知道特權(quán)賬號和密碼,密碼存在泄漏風(fēng)險。有些企業(yè)會用數(shù)字證書,但也只是與終端設(shè)備進(jìn)行了綁定,終端設(shè)備如被別人使用,安全隱患將更大。特權(quán)賬號密碼定期更新的本意是加強密碼安全,但在多個使用特權(quán)賬號的用戶都需要知道密碼的情況下,密碼定期更新就變成了一種形式,泄漏的風(fēng)險依然存在。如果使用特權(quán)賬號的用戶發(fā)生工作或崗位變動,特權(quán)賬號的安全隱患將會變得更高。如果企業(yè)存在多個業(yè)務(wù)系統(tǒng),用戶可能要記多個特權(quán)賬號信息,由于特權(quán)賬號的權(quán)限是共享的,用戶的訪問并非是最小權(quán)限,這就為誤操作、數(shù)據(jù)的泄漏、勒索病毒的侵入埋下了安全隱患?,F(xiàn)在的大部分終端設(shè)備都是匿名的,后端不會驗證終端設(shè)備的身份,即便驗證了由于與訪問的資源沒有交集而變得形同虛設(shè),有風(fēng)險的終端設(shè)備在訪問資源權(quán)限沒有變化的前提下還是會污染后端環(huán)境,由于不可識別,惡意的探測和攻擊將會同時存在,整個后端環(huán)境會受其影響,這給服務(wù)資源帶來了巨大風(fēng)險要解決身份和權(quán)限治理問題,加強身份的安全,實現(xiàn)對特權(quán)賬號的安全保護(hù),需要通過身份管理平臺來完成,可實現(xiàn):身份數(shù)據(jù)自動化業(yè)權(quán)管理一體化特權(quán)訪問全生命周期管理安全合規(guī)派拉軟件發(fā)展研究院身份數(shù)據(jù)自動化業(yè)權(quán)管理一體化身份數(shù)據(jù)自動化業(yè)權(quán)管理一體化身份管理平臺可連接多數(shù)據(jù)源,通過與HR系統(tǒng)聯(lián)動,當(dāng)員工入職在HR中確認(rèn),員工身份數(shù)據(jù)實時同步到身份管理平臺中,平臺利用內(nèi)置的規(guī)則,自動化開通相關(guān)的應(yīng)用的訪問賬號(比如郵箱,OA,CRM等系統(tǒng));當(dāng)員工相關(guān)的數(shù)據(jù)變更的情況下,如改換手機號,平臺將實時同步數(shù)據(jù)到所有更改員工相關(guān)的業(yè)務(wù)系統(tǒng)中;當(dāng)員工離職時,在幾秒鐘內(nèi)即可完成所有賬號的鎖定,該員工將無法再訪問企業(yè)的業(yè)務(wù)系統(tǒng)。這些自動化的操作將很大程度提升管理效率,降低由于手工操作代來的風(fēng)險。在身份管理中,所有的用戶、設(shè)備、系統(tǒng)身份和業(yè)務(wù)權(quán)限將集中呈現(xiàn)。設(shè)備和用戶的身份訪問前將同時驗證,每一個實體在哪些業(yè)務(wù)系統(tǒng)中擁有身份和權(quán)限將一目了然。身份和權(quán)限的可視化不僅提升管理員的工作效率,也有助于企業(yè)進(jìn)行權(quán)限審計和管理,最大程度上避免過度授權(quán)。一方面,平臺通過單點登錄(SingleSignOn-SSO)來實現(xiàn)一次登錄全局訪問的能力,用戶只需登錄一次,通過平臺的用戶門戶即可訪問所有的經(jīng)授權(quán)的數(shù)字化系統(tǒng)。另一方面,平臺提供用戶自助平臺,可以幫助用戶完成應(yīng)用訪問申請、個人信息修改、綁定訪問設(shè)備、綁定社交賬號登錄等等,提升數(shù)字化應(yīng)用的使用體驗。派拉軟件發(fā)展研究院特權(quán)訪問全生命周期管理安全合規(guī)特權(quán)訪問全生命周期管理安全合規(guī)區(qū)別于共享特權(quán)賬號,運維管理員是有唯一身份標(biāo)識的,從訪問開始到訪問結(jié)束的整個過程可追溯,當(dāng)運維管理員訪問云環(huán)境前平臺需要驗證個人的用戶身份、操作的業(yè)務(wù)、有效時間范圍;在訪問過程中,平臺可切換用戶身份為特權(quán)賬號。在訪問過程中,所有操作均可控可追溯。特權(quán)賬號與密碼統(tǒng)一由平臺實行管理,用戶訪問與操作業(yè)務(wù)不需要知道特權(quán)賬號和密碼,當(dāng)用戶有使用特權(quán)賬號的需求時,可通過業(yè)務(wù)進(jìn)行申請,例如,用戶要使用后端中的業(yè)務(wù)虛機,選擇該業(yè)務(wù)虛機和訪問的時間段,以及要執(zhí)行的操作進(jìn)行申請,申請流程通過后即可訪問,訪問期間完成合法身份驗證后,平臺會自動為用戶完成對系統(tǒng)、數(shù)據(jù)庫的登錄,用戶直接執(zhí)行操作即可,執(zhí)行操作的合法性也交給平臺來處理。另外,當(dāng)有較多的服務(wù)器時,定時修改密碼變成非常大的工作量。特權(quán)賬號密碼的定時更新由平臺根據(jù)密碼規(guī)則自動完成并批量快速完成修改。平臺幫助企業(yè)滿足國家和國際的信息安全法規(guī)。比如,通過采用平臺可以提升安全等級保護(hù)到三級水平。平臺同時提供GDPR對于個人信息和隱私的保護(hù),幫助企業(yè)合規(guī)出海,拓展國際化業(yè)務(wù)。派拉軟件發(fā)展研究院傳統(tǒng)的訪問需要借助于終端工具,例如VPN,而這種方式已遠(yuǎn)不能滿足企業(yè)對安全訪問的需求。VPN包含終端軟件和服務(wù)端軟件,終端要建立與服務(wù)端的連接需要提供賬號和密碼,或者數(shù)字證書,作為網(wǎng)絡(luò)連接的身份憑據(jù),VPN是先連接后認(rèn)證的模式,終端需要事先知道服務(wù)端的地址和端口,驗證身份憑據(jù)后建立加密隧道,然后用戶通過其他工具訪問企業(yè)資源,如果用同一個VPN賬號和密碼在任何終端上同樣可以建立到服務(wù)資源的連接,這對企業(yè)的資源造成了安全隱患,另外VPN服務(wù)端對外暴露的地址和端口極容易受到外網(wǎng)的探測和攻擊,導(dǎo)致癱瘓和勒索病毒入侵。VPN的服務(wù)端只對來自終端的網(wǎng)絡(luò)身份進(jìn)行驗證,至于用戶想干什么并不知道或者對是否有權(quán)限訪問企業(yè)中的資源無能為力,這就導(dǎo)致有網(wǎng)絡(luò)身份的用戶在訪問資源未驗證身份前在后端環(huán)境中可為所欲為,由于無法識別,整個后端環(huán)境中的資源安全變得不可控制。訪問風(fēng)險無法被識別VPN的終端只是解決與服務(wù)端的連接,而服務(wù)端到資源端的不存在加密隧道連接,也不提供對終端環(huán)境的檢測和保護(hù),如果終端不安全,會導(dǎo)致有風(fēng)險的數(shù)據(jù)直接進(jìn)入到后端環(huán)境。例如用戶換了終端繼續(xù)工作,如果更換的終端環(huán)境是高風(fēng)險的,而用戶的權(quán)限并沒有發(fā)生變化,這就很可能出現(xiàn)安全問題,服務(wù)端到資源端的整個環(huán)境及易受到感染和攻擊。派拉軟件發(fā)展研究院資源訪問無安全保障訪問操作系統(tǒng)、數(shù)據(jù)庫的工具雜亂,權(quán)限和訪問審計無法統(tǒng)一監(jiān)管,很難做到事前和事中的有效控制,事后也很難追溯。對訪問過程中出現(xiàn)的隱藏風(fēng)險無法進(jìn)行有效監(jiān)測與預(yù)警,對歷史的訪問行為沒有進(jìn)行有效分析,數(shù)據(jù)無法做到可視要實現(xiàn)安全訪問,需要用到零信任一體化平臺來解決這些問題,從終端到連接,再到后端服務(wù)資源,提供整體的安全服務(wù)保障,滿足安全訪問的需求。以下是平臺的能力:11端到端的安全訪問平臺的零信任客戶端提供終端安全容器,對訪問設(shè)備進(jìn)行安全保護(hù),從終端到資源端提供全鏈路加密隧道來保障端到端的安全,在訪問過程中,不僅對用戶進(jìn)行身份認(rèn)證,同時也對訪問設(shè)備進(jìn)行認(rèn)證。對服務(wù)資源進(jìn)行訪問時,直接參與到資源授權(quán)環(huán)節(jié),保證了從設(shè)備到業(yè)務(wù)全程的安全管理。2網(wǎng)絡(luò)隱身能力零信任訪問的數(shù)據(jù)定義邊界,需要通過軟件定義邊界 (SoftwareDefinedPerimeter-SDP)技術(shù),實現(xiàn)在建立訪問連接前需要完成安全認(rèn)證。只有通過安全認(rèn)證,SDP網(wǎng)關(guān)才能打開端口,從而降低網(wǎng)絡(luò)暴露面,減少攻擊的可能性。用戶要訪問后端的資源服務(wù),啟動終端軟件后,輸入憑據(jù),終端會向服務(wù)端的的認(rèn)證服務(wù)發(fā)起單包認(rèn)證模式,終端不會收到任何響應(yīng),直到服務(wù)端的認(rèn)證服務(wù)完成對來自該終端的身份驗證后才通知服務(wù)端的可信網(wǎng)關(guān)開放有效端口給終端進(jìn)行再次連接。利用零信任的網(wǎng)絡(luò)隱身能力,企業(yè)可以在任何環(huán)境下構(gòu)建基于安全數(shù)據(jù)中心。派拉軟件發(fā)展研究院33基于用戶行為的風(fēng)險分析零信任訪問中,不僅僅依賴于用戶和設(shè)備的認(rèn)證。零信任通過訪問網(wǎng)關(guān)收集用戶訪問數(shù)據(jù)和訪問上下文信息(如常用設(shè)備,常用訪問地點,時間,設(shè)備指紋,訪問的操作行為等等)。通過大數(shù)據(jù)安全算法,分析當(dāng)前用戶訪問的風(fēng)險,到風(fēng)險過高的情況下對訪問進(jìn)行實時阻斷。4自適應(yīng)最小權(quán)限授權(quán)用戶在任何情況下都需要保持最小權(quán)限的訪問,平臺在運行過程中會采集用戶訪問期間在終端、網(wǎng)絡(luò)、可信網(wǎng)關(guān)、認(rèn)證服務(wù)、后端的資源服務(wù)等信息,如果發(fā)現(xiàn)環(huán)境有變化,平臺會自動完成身份權(quán)限的調(diào)整,保持訪問安全。端到端的端到端的安全訪問為的風(fēng)險分析網(wǎng)絡(luò)隱身網(wǎng)絡(luò)隱身能力小權(quán)限授權(quán)派拉軟件發(fā)展研究院企業(yè)服務(wù)資源的增多與微服務(wù)化的普遍應(yīng)用,API接口服務(wù)變得越來越多,服務(wù)的治理與安全已是企業(yè)亟需解決的問題:每個服務(wù)供應(yīng)商都有適合本身軟件的服務(wù)接口標(biāo)準(zhǔn),但集中到企業(yè)就會出現(xiàn)問題,由于不兼容,數(shù)據(jù)的同步變得困難,接口服務(wù)很難進(jìn)行統(tǒng)一管理,數(shù)據(jù)也變得無法共享,導(dǎo)致企業(yè)決策缺少全局?jǐn)?shù)據(jù),例如客戶畫像、精準(zhǔn)營銷等,直接限制了企業(yè)的發(fā)展和創(chuàng)新。接口服務(wù)的訪問涉及到授權(quán),各個服務(wù)供應(yīng)商授權(quán)的方式和顆粒度、周期管理很難保持一致,人員也存在違規(guī)操作,賬號濫用的情況,導(dǎo)致接口服務(wù)被第三方所使用,提供的接口服務(wù)無法做到基于請求者的最小權(quán)限,會造成授權(quán)過大,使與本次請求無聯(lián)系的敏感數(shù)據(jù)泄露,數(shù)據(jù)權(quán)限的混亂給企業(yè)帶來巨大的安全風(fēng)險。由于存在大量不斷變化的接口服務(wù),人工梳理復(fù)雜且不準(zhǔn)確導(dǎo)致統(tǒng)計困難,哪些接口服務(wù)在相互調(diào)用無法明確會帶來業(yè)務(wù)數(shù)據(jù)的混亂,也無法進(jìn)行有效的API資產(chǎn)派拉軟件發(fā)展研究院API接口之間的調(diào)用缺乏有效管控,在企業(yè)沒有統(tǒng)一的標(biāo)準(zhǔn)下,各個服務(wù)供應(yīng)商會根據(jù)自己的軟件標(biāo)準(zhǔn)實現(xiàn)相互的調(diào)用,由于沒有監(jiān)管API的安全,結(jié)果會存在未授權(quán)的API、API授權(quán)過度、相互的調(diào)用無法追溯等API資產(chǎn)風(fēng)險。要實現(xiàn)API安全,需要用到API管理平臺來解決,從API管理、API門戶、API網(wǎng)關(guān)、到API監(jiān)控、API編排,平臺提供了完整的服務(wù)與安全功能,滿足服務(wù)安全的需求。以下是平臺的能力:11API安全管理:API管理提供了API標(biāo)準(zhǔn)接口的定義、發(fā)布、上線、下線全生命周期管理,包括環(huán)境管理,通過平臺可以很直觀的看到各接口服務(wù)的數(shù)量與使用狀態(tài),以及調(diào)用雙方與時間。當(dāng)一個業(yè)務(wù)API無法滿足另一個業(yè)務(wù)時,平臺提供API接口編排的方式來滿足,實現(xiàn)了API的重復(fù)利用。2權(quán)限與審計:API網(wǎng)關(guān)會對接口服務(wù)的調(diào)用進(jìn)行身份識別與鑒權(quán),保障API的調(diào)用為最小權(quán)限,并對接口調(diào)用雙方進(jìn)行全方位的審計,做到調(diào)用可追溯,當(dāng)被調(diào)方繁忙或在設(shè)定的時間范圍內(nèi)沒響應(yīng)時,會實現(xiàn)接口間的負(fù)載均衡做出及時響應(yīng),避免調(diào)用方的超時異常,增加了業(yè)務(wù)之間訪問的可持續(xù)性和高可用性,促進(jìn)了企業(yè)的合規(guī)性。3服務(wù)自助接入:平臺提供API門戶,按照企業(yè)的統(tǒng)一接入標(biāo)準(zhǔn)提供自助接入SDK和文檔說明,供API發(fā)布或使用廠商及自開發(fā)應(yīng)用人員完成調(diào)用接口開發(fā)與對接,實現(xiàn)標(biāo)準(zhǔn)接口注冊、授權(quán)、注銷流程化,最大限度提高了業(yè)務(wù)的敏捷與安全。4數(shù)據(jù)可視化:API監(jiān)控為業(yè)務(wù)系統(tǒng)API安全及API之間的調(diào)用狀態(tài)提供了監(jiān)管可視化,包括時間范圍內(nèi)接口調(diào)用的頻繁度,數(shù)據(jù)的流轉(zhuǎn)與異常,時間段內(nèi)業(yè)務(wù)系統(tǒng)API的安全狀態(tài)以及權(quán)限范圍的巡檢,為企業(yè)提供了全局的服務(wù)安全駕駛艙,能直觀的定位業(yè)務(wù)問題,解決問題。派拉軟件發(fā)展研究院4.4數(shù)據(jù)安全數(shù)據(jù)作為生產(chǎn)要素之一,越來越受到企業(yè)的重視,而隨著《數(shù)據(jù)安全法》的頒布,如何實現(xiàn)數(shù)據(jù)的安全成為企業(yè)首要解決的問題。關(guān)系型數(shù)據(jù)的存儲大部分都基于庫和表的授權(quán),這就導(dǎo)致基于角色或組的授權(quán)模式很容易引起用戶訪問權(quán)限過大的問題,管理員可以看到所有庫和表里的字段與數(shù)據(jù),這種無法控制也無法滿足敏感數(shù)據(jù)的保護(hù)。例如,員工的家庭地址、手機號、薪酬情況,除了員工本人,正常下是不允許其他人可見的。隨著數(shù)據(jù)來自不同業(yè)務(wù)越來越多,不同業(yè)務(wù)部門所需要查看自己相關(guān)的數(shù)據(jù)變得越來越困難,由于缺乏元數(shù)據(jù)的定義,數(shù)據(jù)不僅處理與解析響應(yīng)能力受混合數(shù)據(jù)影響,而且展現(xiàn)的數(shù)據(jù)往往存在越權(quán)其他業(yè)務(wù)的問題,提供的許多數(shù)據(jù)由于雜亂導(dǎo)致業(yè)務(wù)信息不準(zhǔn)確。IT運維人員都會安裝不同的數(shù)據(jù)庫客戶端工具直接訪問數(shù)據(jù)庫進(jìn)行運維,很容易出現(xiàn)行為不可控,誤操作、SQL注入、特權(quán)帳號濫用問題,無法事先和事中進(jìn)行控制,對數(shù)據(jù)的安全造成很大的隱患。要實現(xiàn)數(shù)據(jù)的安全,通過數(shù)據(jù)安全服務(wù)可實現(xiàn)細(xì)粒度授權(quán)、統(tǒng)一訪問控制與審計,對敏感的數(shù)據(jù)進(jìn)行保護(hù)與分解,滿足數(shù)據(jù)安全的要求,以下是平臺的能力:派拉軟件發(fā)展研究院BACABAC數(shù)據(jù)分類分級細(xì)粒度授權(quán)BACABAC數(shù)據(jù)分類分級細(xì)粒度授權(quán)11細(xì)粒度授權(quán):細(xì)粒度授權(quán)提供了數(shù)據(jù)字段或?qū)傩缘氖跈?quán)控制,是基于ABAC的授權(quán)模式,解決了由于基于庫和表的RBAC模式導(dǎo)致授權(quán)顆粒度過大,可基于策略的定義,動態(tài)化敏感數(shù)據(jù)的過濾和保護(hù),實現(xiàn)按需展現(xiàn)。2數(shù)據(jù)分類分級:可通過定義業(yè)務(wù)類型,提供數(shù)據(jù)的分類分級,根據(jù)業(yè)務(wù)數(shù)據(jù)的需求不同,提供元數(shù)據(jù)的定義與授權(quán),不同業(yè)務(wù)部門只能看見自己的數(shù)據(jù),上級部門根據(jù)需求不同可以看見該部門下不同業(yè)務(wù)數(shù)據(jù)的組合和分離。3訪問控制:提供IT運維統(tǒng)一的Web服務(wù)模式,實現(xiàn)訪問時間段、特權(quán)帳號申請、命令過濾和審計,實時監(jiān)控,在訪問前和訪問中提供訪問控制與審計,保障數(shù)據(jù)訪問的安全。提供元數(shù)據(jù)的定義與授權(quán)提供IT運維統(tǒng)一提供元數(shù)據(jù)的定義與授權(quán)統(tǒng)一訪問控制與審計保障數(shù)據(jù)安全5.1銀行業(yè)零信任安全總結(jié)5.2銀行業(yè)零信任安全發(fā)展趨勢派拉軟件發(fā)展研究院派拉軟件發(fā)展研究院零信任不僅解決了網(wǎng)絡(luò)安全問題,同時也解決了服務(wù)安全

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論