直面新的挑戰(zhàn)穩(wěn)定推進(jìn)零信任體系落地

穩(wěn)定推進(jìn)零信任體系落地天融信|劉治平環(huán)境12形式數(shù)字時(shí)代下的網(wǎng)絡(luò)建設(shè)環(huán)境12形式業(yè)業(yè)務(wù)架構(gòu)企業(yè)數(shù)字化轉(zhuǎn)型--導(dǎo)致企業(yè)業(yè)務(wù)架構(gòu)發(fā)生轉(zhuǎn)變遠(yuǎn)程辦公應(yīng)用上云遠(yuǎn)程辦公多方協(xié)作訪問(wèn)業(yè)務(wù)的不再僅僅是內(nèi)部員工,也包括第三方合作方、渠道代維人員等,業(yè)務(wù)訪問(wèn)的角色多樣化。訪問(wèn)業(yè)務(wù)的不再僅僅是內(nèi)部員工,也包括第三方合作方、渠道代維人員等,業(yè)務(wù)訪問(wèn)的角色多樣化。BYOD(個(gè)人資產(chǎn))等多樣化終端類型。及云化、多數(shù)據(jù)務(wù)心、多分支、業(yè)務(wù)規(guī)模的大等讓企業(yè)的業(yè)務(wù)復(fù)雜化。l用戶接入內(nèi)網(wǎng),只需輸入正確憑證即可登錄,缺乏多維度身?鑒別能力靜態(tài)訪問(wèn)策略、權(quán)限固化l一經(jīng)認(rèn)證,權(quán)限不變內(nèi)外威脅增加l訪問(wèn)流量被監(jiān)聽(tīng),訪問(wèn)行為不可知ll用戶接入內(nèi)網(wǎng),只需輸入正確憑證即可登錄,缺乏多維度身?鑒別能力靜態(tài)訪問(wèn)策略、權(quán)限固化l一經(jīng)認(rèn)證,權(quán)限不變內(nèi)外威脅增加l訪問(wèn)流量被監(jiān)聽(tīng),訪問(wèn)行為不可知l異常訪問(wèn)難以發(fā)現(xiàn),審計(jì)粒度粗、溯源難外部邊界被盜用企業(yè)物理邊界外部威脅被盜用邏輯隔離濫用或誤用身份認(rèn)證薄弱外部威脅傳統(tǒng)的網(wǎng)絡(luò)安全邊界被打破邊界清晰,防外為主邊界泛化,身份為主網(wǎng)絡(luò)邊界企業(yè)內(nèi)網(wǎng)企業(yè)內(nèi)網(wǎng)絡(luò)邊界企業(yè)內(nèi)網(wǎng)企業(yè)內(nèi)網(wǎng)用戶終端認(rèn)證認(rèn)證請(qǐng)認(rèn)證網(wǎng)閘公司員工授權(quán)認(rèn)證結(jié)果非網(wǎng)閘公司員工授權(quán)認(rèn)證結(jié)果非法用戶控制器認(rèn)證網(wǎng)關(guān)控制器授權(quán)防火墻受控訪問(wèn)防火墻受控訪問(wèn)合法用戶受控訪問(wèn)根據(jù)授權(quán)結(jié)受控訪問(wèn)果訪問(wèn)入侵防御分支機(jī)構(gòu)入侵防御分支機(jī)構(gòu)網(wǎng)關(guān)業(yè)務(wù)系統(tǒng)網(wǎng)關(guān)vSwitch數(shù)據(jù)設(shè)備化用戶入侵行業(yè)規(guī)范物理服務(wù)器vSwitch應(yīng)用分級(jí)持續(xù)評(píng)估動(dòng)態(tài)調(diào)整天融信零信任方案設(shè)計(jì)理念vSwitch數(shù)據(jù)設(shè)備化用戶入侵行業(yè)規(guī)范物理服務(wù)器vSwitch應(yīng)用分級(jí)持續(xù)評(píng)估動(dòng)態(tài)調(diào)整誰(shuí)來(lái)訪問(wèn)?基于策略分級(jí)變化動(dòng)態(tài)授權(quán)訪問(wèn)什么?用戶、設(shè)備、應(yīng)用持續(xù)風(fēng)險(xiǎn)評(píng)估策略級(jí)別變化時(shí)重新授權(quán)可信允許訪問(wèn)終端環(huán)境數(shù)據(jù)分級(jí)策略行業(yè)規(guī)范入侵防御策略威脅情報(bào)訪問(wèn)行為策略零信任控制器信任策略引擎策略控制務(wù)心數(shù)據(jù)平面不可信流量零信任網(wǎng)關(guān)控制平面可信流量天融信零信任體系架構(gòu)終端環(huán)境數(shù)據(jù)分級(jí)策略行業(yè)規(guī)范入侵防御策略威脅情報(bào)訪問(wèn)行為策略零信任控制器信任策略引擎策略控制務(wù)心數(shù)據(jù)平面不可信流量零信任網(wǎng)關(guān)控制平面可信流量核心能力一-身份管理統(tǒng)一認(rèn)證用戶、設(shè)備、應(yīng)用、數(shù)據(jù)口令密碼、數(shù)字證書、生物特征身高體重、聯(lián)系方式、應(yīng)用版本、應(yīng)用類型、系統(tǒng)版本用戶名、密碼手機(jī)短信、令牌驗(yàn)證、數(shù)字證書認(rèn)證指紋、人臉識(shí)別統(tǒng)一管理1345核心能力二-終端環(huán)境感知134522終端可信標(biāo)識(shí)利用終端可信標(biāo)識(shí)技術(shù)端設(shè)備的一身份認(rèn)證代理聯(lián)動(dòng)業(yè)務(wù)訪問(wèn)控制設(shè)備共同模成設(shè)備的身?認(rèn)證自我保護(hù)終端安裝可信控制驅(qū)動(dòng)確?？蛻舳顺绦蚪K端管控代理統(tǒng)一管理、查看通過(guò)客戶端統(tǒng)一下發(fā)策略通信加密使用國(guó)密算法加密傳輸通信保障服務(wù)端與客戶端通信安全 規(guī)則模型關(guān)聯(lián)規(guī)則認(rèn)證規(guī)則查詢規(guī)則訪問(wèn)規(guī)則異常訪問(wèn)異常異常用戶違規(guī)規(guī)則偏離基線 規(guī)則模型關(guān)聯(lián)規(guī)則認(rèn)證規(guī)則查詢規(guī)則訪問(wèn)規(guī)則異常訪問(wèn)異常異常用戶違規(guī)規(guī)則偏離基線算法時(shí)序分析強(qiáng)化分析聚類分析分類分析分析場(chǎng)景分析方式特權(quán)濫用特權(quán)濫用業(yè)務(wù)異常?高頻登錄失敗?高頻查詢?非工作時(shí)間?員工高頻創(chuàng)?外發(fā)私人郵箱?郵件包含敏?非工作時(shí)間箱?普通賬號(hào)提為管理員?漏洞提權(quán)利用?嘗試使用已?休眠賬號(hào)數(shù)據(jù)泄露核心能力四-持續(xù)監(jiān)控與評(píng)估零信任控制中心l訪問(wèn)策略動(dòng)態(tài)調(diào)整l安全策略集務(wù)分發(fā)控制平層數(shù)據(jù)平層硬件控制應(yīng)用控制API控制數(shù)據(jù)控制策略基線客體保護(hù)等級(jí)?安全等級(jí)?風(fēng)險(xiǎn)等級(jí)HTTPS?策略匹配?算法執(zhí)行?機(jī)器學(xué)習(xí)權(quán)限審批拒絕訪問(wèn)受限訪問(wèn)策略基線客體保護(hù)等級(jí)?安全等級(jí)?風(fēng)險(xiǎn)等級(jí)HTTPS?策略匹配?算法執(zhí)行?機(jī)器學(xué)習(xí)權(quán)限審批拒絕訪問(wèn)受限訪問(wèn)二次訪問(wèn)信任推斷授權(quán)決策HTTPS??認(rèn)證強(qiáng)度?違規(guī)記錄主體可信度?基線偏差環(huán)境可信度?風(fēng)險(xiǎn)狀態(tài)?基線偏差?模式異常?0/1?x%?Ln身份可信度行為可信度主體客體主體內(nèi)網(wǎng)防護(hù)高力優(yōu)先攻防演習(xí)場(chǎng)景務(wù)低應(yīng)用上云內(nèi)網(wǎng)防護(hù)高力優(yōu)先攻防演習(xí)場(chǎng)景務(wù)低應(yīng)用上云覆蓋優(yōu)先小務(wù)大高敏業(yè)務(wù)使用人多低敏業(yè)務(wù)使用人少務(wù)敏業(yè)務(wù)使用人一般合作伙伴&供應(yīng)商供應(yīng)商及組織管理、動(dòng)態(tài)授權(quán)、訪態(tài)勢(shì)感知場(chǎng)景遠(yuǎn)程辦遠(yuǎn)程辦公控制流量公司員工數(shù)據(jù)流量運(yùn)維人員安全訪問(wèn)通道天融信零信任解決方案典型場(chǎng)景-企業(yè)內(nèi)網(wǎng)安全加固控制流量公司員工數(shù)據(jù)流量運(yùn)維人員安全訪問(wèn)通道天融信零信任解決方案業(yè)業(yè)務(wù)服務(wù)器在企業(yè)內(nèi)網(wǎng)安全加固的需求場(chǎng)景下,不再默認(rèn)內(nèi)部的資產(chǎn)、人員都是安全的、可控的。本解決方案會(huì)對(duì)所有訪問(wèn)業(yè)務(wù)系統(tǒng)的用戶、終端的身?、行為做持續(xù)信任評(píng)估,再基于動(dòng)態(tài)最小權(quán)限原則進(jìn)行策略下發(fā)?？梢杂行Ы鉀Q企業(yè)內(nèi)部存在的越權(quán)行為,以及權(quán)限粒度粗、管理分散。零信任控制器 控制流量服務(wù)端 數(shù)據(jù)流量零信任網(wǎng)關(guān)受控訪問(wèn)業(yè)務(wù)服務(wù)器天融信零信任解決方案典零信任控制器 控制流量服務(wù)端 數(shù)據(jù)流量零信任網(wǎng)關(guān)受控訪問(wèn)業(yè)務(wù)服務(wù)器天融信零信任解決方案用戶終用戶終端在移動(dòng)辦公、遠(yuǎn)程運(yùn)維、遠(yuǎn)程開(kāi)發(fā)等多場(chǎng)景下,可為用戶接入內(nèi)網(wǎng)提供統(tǒng)一的安全訪問(wèn)通道,所有遠(yuǎn)程接入訪問(wèn)均需要經(jīng)零信任控制器進(jìn)行可信認(rèn)證,再通過(guò)零信任網(wǎng)關(guān)建立連接,極大的減少了遠(yuǎn)程辦公場(chǎng)景內(nèi)部系統(tǒng)被非授權(quán)訪問(wèn)的虛擬化業(yè)務(wù)1虛擬化業(yè)務(wù)2虛擬化業(yè)務(wù)3天融信零信任解決方案典型場(chǎng)景-云端防護(hù)虛擬化業(yè)務(wù)1虛擬化業(yè)務(wù)2虛擬化業(yè)務(wù)3天融信零信任解決方案零信任控制器應(yīng)用上云的場(chǎng)景下,本方案需要為用戶在云上構(gòu)建可信的應(yīng)用交互,只有應(yīng)用身?驗(yàn)證合法的才可能與授權(quán)應(yīng)用交互,可通過(guò)虛擬防火墻、應(yīng)用沙箱等手段實(shí)現(xiàn)。挑戰(zhàn)與應(yīng)對(duì)通過(guò)更換VPN設(shè)備為零信任網(wǎng)關(guān)就能實(shí)現(xiàn)零信任希望同步規(guī)劃、同步建設(shè)、同步使用,但是沒(méi)有和業(yè)務(wù)部門溝通各廠商的零信任組件之各廠商的零信任組件之從標(biāo)準(zhǔn)化、兼容性角度入手,制定合理的標(biāo)準(zhǔn)為先導(dǎo),用長(zhǎng)期服務(wù)的模式,最終以產(chǎn)品賦能用戶-TopSEC-夠,零信任建設(shè)時(shí)考慮內(nèi)容偏少,僅能讓用戶理念的方式來(lái)建設(shè)零信任體系,未進(jìn)行重新規(guī)及與業(yè)務(wù)進(jìn)行融合。級(jí)。二、建設(shè)內(nèi)容四、用戶收益公有云服務(wù)器網(wǎng)服務(wù)器SDP二、建設(shè)內(nèi)容四、用戶收益公有云服務(wù)器網(wǎng)服務(wù)器SDP客戶端天融信零信任SDP控制器系統(tǒng)、天融信零信任SDP控制器系統(tǒng)、天融信零信任SDP網(wǎng)關(guān)系統(tǒng),實(shí)現(xiàn)對(duì)互聯(lián)網(wǎng)WEB、APP、API接入內(nèi)網(wǎng)應(yīng)用的統(tǒng)一訪問(wèn)控制,減少互聯(lián)網(wǎng)暴露面,消除各種網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。三三、組網(wǎng)拓?fù)鋖所有對(duì)業(yè)務(wù)系統(tǒng)的訪問(wèn)要經(jīng)過(guò)SDP網(wǎng)關(guān)的驗(yàn)證和過(guò)濾l