《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 以一體化零信任方案構(gòu)建新信任體系

以一體化零信任方案構(gòu)建新信任體系

2022-11-11
來源:安全牛
關(guān)鍵詞: 零信任

  隨著數(shù)字新時代的到來,云計算,、大數(shù)據(jù),、移動互聯(lián)網(wǎng)等新興技術(shù)大量被應(yīng)用,傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)已經(jīng)不適應(yīng)數(shù)字新時代的發(fā)展要求,基于傳統(tǒng)物理邊界的安全防護(hù)模式也在新技術(shù)的應(yīng)用潮流下面臨更多挑戰(zhàn)。在此背景下,零信任架構(gòu)安全理念順勢而生,,用以解決傳統(tǒng)邊界安全防護(hù)方式無法解決的新風(fēng)險。

  為了滿足企業(yè)用戶在新形勢下的安全防護(hù)需求,,派拉軟件研發(fā)推出一體化的零信任產(chǎn)品體系,,從以身份為中心的動態(tài)訪問控制,逐步延伸到聯(lián)動終端管理,、SDP,、API網(wǎng)關(guān)、用戶行為分析等端到端安全能力全面覆蓋的零信任安全解決方案,,為企業(yè)數(shù)字化轉(zhuǎn)型穩(wěn)定發(fā)展構(gòu)建新信任體系,。

  標(biāo)簽

  零信任、軟件定義邊界,、網(wǎng)絡(luò)準(zhǔn)入,、身份訪問與管理

  用戶痛點

  (1)遠(yuǎn)程辦公訪問風(fēng)險

  現(xiàn)有VPN等接入技術(shù)僅提供網(wǎng)絡(luò)級驗證,,無法對用戶的訪問行為進(jìn)行分析和監(jiān)控,,一旦登錄就可以自由地在內(nèi)網(wǎng)和本地之間進(jìn)行重要數(shù)據(jù)和內(nèi)部文件傳輸,,在用戶賬號泄露或被仿冒情況下極易被黑客非法利用獲取重要數(shù)據(jù)。

 ?。?)身份和訪問管理難以統(tǒng)一

  隨著業(yè)務(wù)發(fā)展,,企事業(yè)單位的系統(tǒng)與用戶數(shù)逐漸增多,每個系統(tǒng)都有一套相對獨(dú)立的賬號體系,,集團(tuán)的訪問控制無法通過身份進(jìn)行統(tǒng)一用戶,、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)和集中審計,。

 ?。?)業(yè)務(wù)暴露面不斷擴(kuò)大

  越來越多的企事業(yè)單位選擇在互聯(lián)網(wǎng)側(cè)為客戶和員工提供服務(wù),同時也把更多的信息技術(shù)資產(chǎn)(IP,、端口等)暴露在了黑客的可視范圍之內(nèi),,黑客可以通過資產(chǎn)暴露面發(fā)現(xiàn)脆弱點對企業(yè)進(jìn)行惡意攻擊。

 ?。?)內(nèi)部威脅難以防御

  很多企事業(yè)單位默認(rèn)內(nèi)部網(wǎng)絡(luò)安全可信而忽略了內(nèi)網(wǎng)的用戶威脅,,相對企業(yè)的邊界防護(hù)內(nèi)網(wǎng)的安全建設(shè)相對較少,但往往一旦發(fā)生內(nèi)網(wǎng)安全事件就會造成非常大的影響,。

  (5)傳統(tǒng)邊界防御模式失效

  數(shù)據(jù)中心或信息系統(tǒng)遷移上云后企業(yè)的網(wǎng)絡(luò)邊界逐漸模糊,,以數(shù)據(jù)中心內(nèi)部和外部簡單劃分的安全邊界已不能滿足對企業(yè)資產(chǎn)的防護(hù)需求,,企業(yè)面臨更多信任危機(jī)。

 ?。?)特權(quán)賬號管理問題突出

  云環(huán)境和遠(yuǎn)程運(yùn)維場景的增加,,企事業(yè)單位內(nèi)部經(jīng)常會出現(xiàn)一個特權(quán)賬號多人使用的情況,賬號一旦泄露或被員工誤操作,,就為數(shù)據(jù)的泄漏,、勒索病毒的侵入埋下了安全隱患,且訪問過程外部無法干預(yù),,事件風(fēng)險難以追溯,。

  解決方案

  派拉一體化零信任體系由身份認(rèn)證管理中心IAM、零信任客戶端,、零信任SDP控制器,、零信任可信網(wǎng)關(guān)、MSG微隔離和其他細(xì)粒度訪問控制網(wǎng)關(guān)等組成,,可以實現(xiàn)端到端的訪問資源全生命周期的安全交互保障,。

  微信圖片_20221111170600.png

  圖1:派拉一體化零信任體系產(chǎn)品總體架構(gòu)圖

  ■  方案通過身份認(rèn)證管理系統(tǒng)IAM構(gòu)建了“持續(xù)評估 動態(tài)授權(quán)”為目標(biāo)的風(fēng)險控制中心,對訪問主體和訪問行為進(jìn)行風(fēng)險分析,;

  ■  SDP控制器負(fù)責(zé)決策判斷,,同時解決終端設(shè)備先認(rèn)證后連接與邊緣服務(wù)的隱藏,,免受網(wǎng)絡(luò)的探測和攻擊;

  ■  可信網(wǎng)關(guān)是建立加密隧道服務(wù)與動態(tài)授權(quán)的策略執(zhí)行點,,負(fù)責(zé)執(zhí)行和持續(xù)監(jiān)測,;

  ■  MSG微隔離以“最小授權(quán)”為原則,對業(yè)務(wù)或應(yīng)用進(jìn)行細(xì)粒度精細(xì)化權(quán)限控制,,同時解決服務(wù)熔斷,、負(fù)載均衡與訪問權(quán)限檢查,保障每次請求訪問網(wǎng)絡(luò)線路獨(dú)立,,故障與威脅影響面最小化,;

  ■  業(yè)務(wù)網(wǎng)關(guān)主要是結(jié)合業(yè)務(wù)對外提供的訪問控制服務(wù)與審計能力。

  為使組件間能更系統(tǒng)化協(xié)同工作,,方案中的身份認(rèn)證中心IAM和微隔離兩個關(guān)鍵組件分別映射到對訪問主體的信任管理和訪問客體授權(quán)管理,,并通過加強(qiáng)兩個組件間的信息交換使訪問主體在不同的環(huán)境下自動獲得與風(fēng)險匹配的訪問權(quán)限。

  方案特點

  通過建設(shè)派拉一體化零信任體系,,可為企事業(yè)單位提供全面,、專業(yè)、便捷的零信任安全保護(hù),,具體成效如下:

 ?。?)實現(xiàn)端到端的安全訪問

  派拉一體化零信任平臺實現(xiàn)從終端、用戶,、到加密訪問通道,、身份認(rèn)證、云資源的授權(quán)訪問的端到端的安全訪問,。零信任客戶端提供終端安全容器,,訪問設(shè)備進(jìn)行安全保護(hù),提供安全加密鏈路對訪問進(jìn)行加密,,在訪問過程中,,不僅對用戶進(jìn)行身份認(rèn)證,同時也對訪問設(shè)備進(jìn)行認(rèn)證,。對應(yīng)用服務(wù)進(jìn)行訪問時,,直接參與到應(yīng)用授權(quán)環(huán)節(jié),從而保證了從設(shè)備到業(yè)務(wù)全程的安全管理,。

 ?。?)實現(xiàn)統(tǒng)一的身份安全管理

  派拉一體化零信任平臺的身份認(rèn)證管理中心IAM在統(tǒng)一門戶和信息服務(wù)平臺的基礎(chǔ)上,提供統(tǒng)一的用戶管理,、授權(quán)管理,、審計管理和用戶認(rèn)證體系,將組織信息,、用戶信息統(tǒng)一存儲,,進(jìn)行集中授權(quán),、集中登錄和集中身份認(rèn)證,規(guī)范應(yīng)用系統(tǒng)的用戶認(rèn)證方式,,及時響應(yīng)因用戶組織,、崗位或狀態(tài)等因素變化所帶來的應(yīng)用系統(tǒng)管理風(fēng)險,從而提高應(yīng)用系統(tǒng)的安全性和用戶使用的方便性,,實現(xiàn)企事業(yè)單位全部應(yīng)用的單點登錄,、訪問審計、用戶權(quán)限統(tǒng)計,,實現(xiàn)真正意義上的集中化管理,,能夠滿足企事業(yè)單位內(nèi)部和外部審計,以及行業(yè)和政府監(jiān)管的要求,,符合客戶當(dāng)前和未來的業(yè)務(wù)要求和政策法規(guī)的要求,。

  (3)縮小信息資產(chǎn)暴露面

  零信任一個重要理念就是先認(rèn)證后連接,,采用網(wǎng)絡(luò)隱身技術(shù)隱藏要訪問的資產(chǎn),,必須通過認(rèn)證才能發(fā)起訪問連接通信。用戶身份驗證通過,,發(fā)起正常的資源應(yīng)用訪問請求,,平臺通過SPA發(fā)送一個加密單數(shù)據(jù)包至網(wǎng)關(guān),網(wǎng)關(guān)接收到單數(shù)據(jù)包并進(jìn)行驗證,,驗證通過,,打開端口,建立與客戶端的連接,。驗證失敗,則直接丟棄數(shù)據(jù)包,,客戶端不會收到任何回應(yīng),。

  派拉一體化零信任平臺的SDP組件以此方式實現(xiàn)服務(wù)端IP和端口的隱藏,使客戶端無法直接查看應(yīng)用,,更不讓其對資源進(jìn)行更高權(quán)限的操作,,從而達(dá)到保護(hù)信息技術(shù)資產(chǎn)的效果。

 ?。?)通過用戶行為分析監(jiān)測內(nèi)網(wǎng)威脅

  派拉一體化零信任平臺的UEBA用戶行為分析模塊通過廣泛的數(shù)據(jù)收集,,使用機(jī)器學(xué)習(xí)(ML)、人工智能(AI) 技術(shù),,檢測用戶行為的細(xì)微變化,,配合專家知識庫,發(fā)現(xiàn)內(nèi)部人員潛在的威脅行為,,能夠有效防止橫向攻擊,、員工違規(guī)操作,、賬號盜用等內(nèi)部安全問題,同時能為安全事件調(diào)查提供,。依據(jù)UEBA更具洞察力,,通過對大數(shù)據(jù)和機(jī)器學(xué)習(xí)引擎的應(yīng)用,能夠以極高的準(zhǔn)確率命中異常事件,,在威脅發(fā)現(xiàn)速度和準(zhǔn)確率方面遠(yuǎn)快于傳統(tǒng)的安全信息和事件管理(SIEM)系統(tǒng),。

  (5)重新定義可信的訪問邊界

  派拉一體化零信任平臺不再以傳統(tǒng)的內(nèi)外網(wǎng)區(qū)分邊界,,默認(rèn)內(nèi)網(wǎng)也不安全,,所有的訪問都需要經(jīng)過嚴(yán)格的多因素認(rèn)證和動態(tài)授權(quán),并且在建立信任之前不進(jìn)行任何數(shù)據(jù)傳輸操作,。此外還應(yīng)通過分析,、篩選和日志記錄等措施來驗證所有行為的正確性,并持續(xù)觀察是否存在代表威脅的信號,。

 ?。?)動態(tài)授權(quán)認(rèn)證防止數(shù)據(jù)泄露

  派拉一體化零信任平臺通過權(quán)限模型可管控到應(yīng)用系統(tǒng)賬號的精細(xì)化權(quán)限,如:菜單,、API等,。為了持續(xù)監(jiān)控用戶操作,平臺在授權(quán)管理上增加了更細(xì)粒度的動態(tài)安全管控,。平臺給用戶和被訪問資源之間搭建一條動態(tài)細(xì)粒度“訪問通道”,。通道建立的訪問規(guī)則為:只面向被認(rèn)證、被授權(quán)的用戶和服務(wù)開放,,密鑰和策略也是動態(tài)生成單次使用,。這種“臨時并單一”的訪問控制方式,將私有資源對非法用戶完全屏蔽,,可顯著減少非法數(shù)據(jù)獲取和泄露事件的發(fā)生,。

  (7)特權(quán)訪問管理排除內(nèi)部隱患

  派拉一體化零信任平臺的特權(quán)訪問管理模塊通過對特權(quán)賬號訪問進(jìn)行生命周期管理,,定期自動更新改密,,對權(quán)限進(jìn)行分級管理并對高危操作進(jìn)行二次認(rèn)證,從訪問開始到訪問結(jié)束的整個過程可進(jìn)行可視化記錄和追溯,,并提供特權(quán)賬號訪問全行為審計管理,,從嚴(yán)防范“內(nèi)鬼”破壞事件發(fā)生。

  方案價值

  ■  通過派拉一體化零信任平臺構(gòu)建客戶零信任身份治理體系,,可以有效減少因身份管理不規(guī)范帶來的信息安全風(fēng)險,、隱私風(fēng)險以及經(jīng)營風(fēng)險;

  ■  保障客戶的網(wǎng)絡(luò)安全建設(shè)符合國家相關(guān)法律法規(guī)的要求,,實現(xiàn)用戶及應(yīng)用系統(tǒng)的統(tǒng)一身份管控,,提升了企業(yè)組織的IT治理水平,;

  ■  有效解決企事業(yè)單位遠(yuǎn)程辦公、系統(tǒng)遷移上云等場景的信任危機(jī),;

  ■  提供一套完整的持續(xù)的用戶管理規(guī)范及運(yùn)營規(guī)范體系,,提升信息化平臺建設(shè)質(zhì)量及增效降本。

      用戶反饋

  “派拉一體化零信任解決方案,,保證了在疫情防控常態(tài)化形勢下,,我機(jī)構(gòu)遠(yuǎn)程辦公各業(yè)務(wù)的安全需求,通過應(yīng)用安全容器,、零信任SDP接入,、統(tǒng)一身份認(rèn)證與管理等新安全技術(shù),為公司各類辦公應(yīng)用的快速投產(chǎn)和推廣,,實現(xiàn)有效安全賦能和效率提升,,提供了有力支撐,有效降低遠(yuǎn)程辦公過程中的安全風(fēng)險,,為疫情期間的網(wǎng)絡(luò)安全運(yùn)營提供了較可靠的保障,。”

  ——來自某大型金融機(jī)構(gòu)用戶

  “制造業(yè)在數(shù)據(jù)驅(qū)動的新模式下,,通過構(gòu)建一體化零信任安全體系,,打通全鏈路的服務(wù)觸點,通過融合AI智能認(rèn)證,、風(fēng)險分析,、細(xì)顆粒度權(quán)限管控等技術(shù)手段,充分挖掘我司內(nèi)外部數(shù)字價值,,提升用戶體驗和品牌粘度,,賦能從研發(fā)、設(shè)計,、生產(chǎn),、制造、銷售,、售后全鏈路的數(shù)字化轉(zhuǎn)型,,滿足上百萬C端,、B端用戶身份管理和業(yè)務(wù)訪問環(huán)節(jié)的安全需求,。”

  ——來自某大型汽車集團(tuán)用戶

  “派拉一體化零信任從安全管理,、認(rèn)證管理,、技術(shù)實施等多方面入手為我們建立起了完整可靠的零信任身份管理體系,實現(xiàn)了以安全保業(yè)務(wù),、用安全促業(yè)務(wù)的目標(biāo)”

  ——來自某能源央企用戶

  評論

  對于企業(yè)組織,,零信任的建設(shè)需要融入到企業(yè)的數(shù)字化業(yè)務(wù)環(huán)境中,,企業(yè)的零信任規(guī)劃不僅要符合當(dāng)前的業(yè)務(wù)需求,也要能更好地支撐未來業(yè)務(wù)的擴(kuò)展需求,。因此,,零信任應(yīng)用落地時,組織可以從系統(tǒng)化建設(shè)的角度,,嘗試用一體化的零信任解決方案,,從場景出發(fā),結(jié)合業(yè)務(wù)在網(wǎng)絡(luò)空間分布的現(xiàn)狀,,使每一個業(yè)務(wù)都形成閉環(huán)的安全訪問,。可以認(rèn)為,,一體化的零信任解決方案模式,,是一種有效的零信任安全建設(shè)嘗試。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章,、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容,、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。