2023零信任大數(shù)據(jù)網(wǎng)絡(luò)安全新架構(gòu)

零信任—大數(shù)據(jù)時代的網(wǎng)絡(luò)安全新架構(gòu)20231、新IT技術(shù)架構(gòu)的安全挑戰(zhàn)2、零信任架構(gòu)的發(fā)展歷史3、什么是零信任架構(gòu)？4、零信任架構(gòu)的應(yīng)用實踐1、新IT技術(shù)架構(gòu)的安全挑戰(zhàn)2、零信任架構(gòu)的發(fā)展歷史3、什么是零信任架構(gòu)？4、零信任架構(gòu)的應(yīng)用實踐以大數(shù)據(jù)為核心的新一代信息化建設(shè)浪潮以大數(shù)據(jù)為核心的新一代信息化建設(shè)浪潮浙江杭州城市數(shù)據(jù)大腦貴陽警方“人像大數(shù)據(jù)”系統(tǒng)國家電網(wǎng)全業(yè)務(wù)統(tǒng)一數(shù)據(jù)中心異地就醫(yī)“全國一卡通”政務(wù)數(shù)據(jù)整合匯聚與共享應(yīng)用綜合交通出行大數(shù)據(jù)開放云平臺挑戰(zhàn)挑戰(zhàn)1：新一代IT技術(shù)架構(gòu)加劇了邊界安全架構(gòu)的失效云物理邊界用戶多樣化設(shè)備多樣化物理邊界

邊界瓦解移動辦公邊界瓦解

物理邊界

合作伙伴平臺多樣化業(yè)務(wù)多樣化數(shù)據(jù)分散在不同的業(yè)務(wù)應(yīng)用中并持續(xù)流動數(shù)據(jù)的流動加劇了大數(shù)據(jù)的安全風(fēng)險

IoT/OT挑戰(zhàn)挑戰(zhàn)2：傳統(tǒng)的邊界安全架構(gòu)忽視了內(nèi)部威脅數(shù)據(jù)泄露“黑天鵝”事件背后都隱藏著“灰犀牛”式的危機(jī)別有用心的內(nèi)部人員數(shù)據(jù)中心數(shù)據(jù)泄露“黑天鵝”事件背后都隱藏著“灰犀?！笔降奈C(jī)別有用心的內(nèi)部人員數(shù)據(jù)中心DMZ辦互聯(lián)網(wǎng)廣域網(wǎng)滲透進(jìn)來的攻擊者公內(nèi)網(wǎng)邊界安全架構(gòu)：為內(nèi)網(wǎng)中的人和設(shè)備預(yù)設(shè)了過多的信任安全意識？ 安全投入？ 安全措施？零信任架構(gòu)ZeroTrustArchitecture1、新IT技術(shù)架構(gòu)的安全挑戰(zhàn)2、零信任架構(gòu)的發(fā)展歷史3、什么是零信任架構(gòu)？4、零信任架構(gòu)的應(yīng)用實踐發(fā)展簡史：發(fā)展簡史：2005，JerichoForum 發(fā)展簡史：發(fā)展簡史：2009，F(xiàn)orresterZero核心概念：1、資源的安全訪問和位置無關(guān)。2、遵循最小權(quán)限原則并強(qiáng)制實施訪問控制。3、檢測和記錄所有流量發(fā)展簡史：發(fā)展簡史：2017，GoogleBeyondCorpGoogleBeyondCorp是在構(gòu)建零信任網(wǎng)絡(luò)6年經(jīng)驗的基礎(chǔ)上打造的新一代企業(yè)安全架構(gòu)。通過將訪問權(quán)限控制措施從網(wǎng)絡(luò)邊界轉(zhuǎn)移到具體的設(shè)備、用戶和應(yīng)用讓員工可以更安全地在任何地點工作，而不必借助于傳統(tǒng)的VPN。發(fā)展簡史：2018，MicrosoftZeroTrustModel20192019年：3基礎(chǔ)設(shè)施廠商IAM廠商傳統(tǒng)安全廠商創(chuàng)新安全公司GoogleCentrifySymantecLuminateDoubleOctopusMSAzureOktaPANAporetoGuardicoreAWSDUOZscalerCloudHarmonicsJumpCloudAkamaiPingIdentityTripwireCloudflareNetronome……ForgeRockAlgoSecCymbelPlixerPulseSecureMobielIronCyxteraScaleFT…………SecureCircleidaptivArecaBayBasil…………20192019年：7月，美國國防信息系統(tǒng)局（DISA）戰(zhàn)略規(guī)劃2019-2022DISA技術(shù)發(fā)展路線圖20192019年：7月，《美國國防部數(shù)字現(xiàn)代化戰(zhàn)略》零信任安全的概念：泄露。零信任安全的優(yōu)勢：這種以數(shù)據(jù)為中心色或進(jìn)程的概念，并轉(zhuǎn)變?yōu)榛诙鄬傩缘男湃渭墑e在最小特權(quán)訪問概念下得以實現(xiàn)。效的方式設(shè)計安全性，同時實現(xiàn)不受阻礙的操作。除了總體上保護(hù)架構(gòu)的優(yōu)勢外，還有其他跨功能的好處。1、新IT技術(shù)架構(gòu)的安全挑戰(zhàn)2、零信任架構(gòu)的發(fā)展歷史3、什么是零信任架構(gòu)？4、零信任架構(gòu)的應(yīng)用實踐什么是零信任架構(gòu)？在不可信的網(wǎng)絡(luò)環(huán)境下重建信任什么是零信任架構(gòu)？在不可信的網(wǎng)絡(luò)環(huán)境下重建信任①應(yīng)該假設(shè)網(wǎng)絡(luò)始終存在外部威脅和內(nèi)部威脅，僅僅通過網(wǎng)絡(luò)位置來評估信任是不夠的。②默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部或外部的任何人/設(shè)備/系統(tǒng)，而是基于認(rèn)證和授權(quán)重構(gòu)業(yè)務(wù)訪問控制的信任基礎(chǔ)。③每個設(shè)備、用戶的業(yè)務(wù)訪問都應(yīng)該被認(rèn)證、授權(quán)和加密。④訪問控制策略和信任應(yīng)該是動態(tài)的，基于設(shè)備、用戶和環(huán)境的多源環(huán)境數(shù)據(jù)計算出來。技術(shù)本質(zhì)是構(gòu)建以身份為基石的業(yè)務(wù)動態(tài)可信訪問控制機(jī)制！什么是零信任架構(gòu)？什么是零信任架構(gòu)？Gartnervs.ForresterGARTNER:CARTAFORRESTER:ZTXGARTNER:CARTAFORRESTER:ZTX范圍的擴(kuò)展：用戶、設(shè)備、工作負(fù)載能力的擴(kuò)展：微隔離—>可視、分析、自動化、編排什么是零信任架構(gòu)？什么是零信任架構(gòu)？美國NIST《零信任架構(gòu)》草案的集合，旨在消除在信息系統(tǒng)和服務(wù)中實施精準(zhǔn)訪問策略的不確定性。2019年9月什么是零信任架構(gòu)？什么是零信任架構(gòu)？NextGenerationAccessControl什么是零信任架構(gòu)？什么是零信任架構(gòu)？Whynow?攻防攻防vs. 控制架構(gòu)驅(qū)動演進(jìn)★惡意代碼 ★訪問控制Mainframevs.InternetMainframevs.Internetvs.Cloudrwxrwxrwx 防火墻 零信任最小權(quán)限JIT(JustInTime)&JEA(JustEnoughAccess)1、新IT技術(shù)架構(gòu)的安全挑戰(zhàn)2、零信任架構(gòu)的發(fā)展歷史3、什么是零信任架構(gòu)？4、零信任架構(gòu)的應(yīng)用實踐奇安信對零信任的解讀奇安信對零信任的解讀安全能力內(nèi)嵌入業(yè)務(wù)系統(tǒng)，構(gòu)建自適應(yīng)內(nèi)生安全機(jī)制。① 以身份為基石② 業(yè)務(wù)安全訪問③ 持續(xù)信任評估④ 動態(tài)訪問控制以身份為基石以身份為基石業(yè)務(wù)訪問主體完整不可分割主體環(huán)境應(yīng)用程序訪問主體設(shè)備人業(yè)務(wù)安全訪問業(yè)務(wù)安全訪問外部平臺數(shù)據(jù)交換

TLS用戶終端業(yè)務(wù)訪問

TLS物聯(lián)設(shè)備邊緣接入

TLS業(yè)務(wù)資產(chǎn)可信代理全場景業(yè)務(wù)隱藏 全流量加密代理 業(yè)務(wù)資產(chǎn)可信代理持續(xù)信任評估持續(xù)信任評估數(shù)字信任身份的數(shù)字信任 數(shù)字信任身份的數(shù)字信任客體安全等級主體信任程度主體信任終端風(fēng)險網(wǎng)絡(luò)風(fēng)險威脅情報……基于環(huán)境的風(fēng)險判定認(rèn)證強(qiáng)度訪問時間地理位置……基于身份的信任評估設(shè)備身份屬性終端安全狀態(tài)系統(tǒng)行為分析用戶身份屬性憑證安全屬性用戶行為分析基于行為的異常發(fā)現(xiàn)動態(tài)訪問控制動態(tài)訪問控制環(huán)境信任等級主體

基于屬性的訪問控制基線

環(huán)境安全等級客體基于風(fēng)險感知的動態(tài)權(quán)限提升信任|緩解風(fēng)險|拒絕訪問人設(shè)備應(yīng)用環(huán)境基于信任等級的分級訪問當(dāng)主體信任等級大于客體安全等級時，訪問權(quán)限才真正授予威脅價值人設(shè)備應(yīng)用環(huán)境基于信任等級的分級訪問當(dāng)主體信任等級大于客體安全等級時，訪問權(quán)限才真正授予威脅價值環(huán)境信任評估因子

風(fēng)險感知

安全等級構(gòu)筑以身份為基石的動態(tài)虛擬邊界構(gòu)筑以身份為基石的動態(tài)虛擬邊界少量的靜態(tài)的物理的網(wǎng)絡(luò)安全邊界少量的靜態(tài)的物理的網(wǎng)絡(luò)安全邊界云移動辦公物理邊界合作伙伴IoT/OT大量的動態(tài)的虛擬的身份安全邊界安全價值：收縮攻擊面、緩解高風(fēng)險安全價值：收縮攻擊面、緩解高風(fēng)險非法用戶身份

端口掃描隱藏

流量竊聽

高風(fēng)險終端

系統(tǒng)漏洞應(yīng)安全屬性應(yīng)

越權(quán)訪問權(quán)限基線

權(quán)限遺留主體 加密

訪問 用 分級行為 訪問合法主體

合理請求 合規(guī)信任 動態(tài)權(quán)限 &非法終端

非指定終端最小權(quán)限

訪問控制旁路

爬取數(shù)據(jù)強(qiáng)制授權(quán)

中間人攻擊

安全預(yù)期偏差

異常行為身份關(guān)聯(lián)

非授權(quán)訪問

接口風(fēng)險感知環(huán)境風(fēng)險全面身份化 風(fēng)險度量化 授權(quán)動態(tài)化 管理自動化奇安信零信任身份安全架構(gòu)奇安信零信任身份安全架構(gòu)

用戶區(qū)認(rèn)證TLSTLS

可信應(yīng)用代理可信API代理

零信任動態(tài)可信訪問控制區(qū)身份權(quán)限動態(tài)授權(quán) 可信訪問控制臺信任評估

數(shù)據(jù)區(qū)物聯(lián)設(shè)備邊緣接入

TLS

訪問 智能身分析代理感知終端感知 網(wǎng)絡(luò)感知感知實踐：某部委新一代實踐：某部委新一代IT架構(gòu)下的大數(shù)據(jù)智能化業(yè)務(wù)業(yè)務(wù)建設(shè)：云大物移業(yè)務(wù)開展、數(shù)據(jù)共享、數(shù)據(jù)安全數(shù)據(jù)集中：多部門、多平臺、多業(yè)務(wù)數(shù)據(jù)融合，風(fēng)險集中網(wǎng)絡(luò)打通：打破業(yè)務(wù)之間、部門之間網(wǎng)絡(luò)邊界，互通互訪

DC1

DC2DC5

DC3DC6

DC4業(yè)務(wù)1 業(yè)務(wù)2 …

業(yè)務(wù)N

如何確保業(yè)務(wù)的安全、可信、合規(guī)？網(wǎng)絡(luò)隔離/數(shù)據(jù)隔離終端用戶終端用戶終端用戶部業(yè)務(wù) 業(yè)務(wù) 終端用戶終端用戶終端用戶部終端用戶終端用戶終端用戶省業(yè)物業(yè)物業(yè)物業(yè)務(wù)理務(wù)理務(wù)理務(wù)訪隔訪隔訪隔訪問離問離終端用戶終端用戶終端用戶省終端用戶終端用戶終端用戶市終端 終端 終端用戶終端用戶終端用戶市用戶 用戶 用戶 用戶 互通互訪實踐：梳理核心資產(chǎn)的訪問路徑，構(gòu)建虛擬身份邊界實踐：梳理核心資產(chǎn)的訪問路徑，構(gòu)建虛擬身份邊界可信API代理服務(wù)器環(huán)境感知內(nèi)部人員可信API代理服務(wù)器環(huán)境感知

大數(shù)據(jù)中心微服務(wù)應(yīng)用1 3微服務(wù)應(yīng)用可信應(yīng)用代理終端可信環(huán)境感知暴露面 大數(shù)據(jù)平臺 可信應(yīng)用代理終端可信環(huán)境感知關(guān)系型數(shù)據(jù)庫可信API代理大數(shù)據(jù)–結(jié)構(gòu)化 4可信API代理

外部應(yīng)用外部應(yīng)用（API調(diào)用）外部數(shù)據(jù)外部人員可信應(yīng)用代理終端可信環(huán)境感知

2

非結(jié)構(gòu)化數(shù)據(jù)、文件 云計算平臺

暴露面

服務(wù)平臺靜態(tài)的物理網(wǎng)絡(luò)邊界

可信訪問控制臺

動態(tài)的虛擬身份基礎(chǔ)設(shè)施（TrustID身份基礎(chǔ)設(shè)施（TrustID或利舊）實踐：基于零信任架構(gòu)的動態(tài)可信安全訪問平臺實踐：基于零信任架構(gòu)的動態(tài)可信安全訪問平臺基于零信任架構(gòu)設(shè)計，大數(shù)據(jù)子網(wǎng)不再暴露物理網(wǎng)絡(luò)邊界，建設(shè)跨網(wǎng)安全訪問平臺隱藏業(yè)務(wù)應(yīng)用和數(shù)據(jù)。用戶終端終端可信感知Agent用戶子網(wǎng) 安全訪問控制區(qū) 用戶終端終端可信感知Agent外部應(yīng)用服務(wù)器外部應(yīng)用服務(wù)器Agent

可信環(huán)境感知系統(tǒng)調(diào)用可信環(huán)境感知系統(tǒng)

日志上報風(fēng)險事件日志上報

應(yīng)用訪問動態(tài)授權(quán)智能身份分