零信任案例研究 | 零信任安全訪問助力能源企業新型數字化體系建設
責編:gltian |2024-07-08 10:26:45導語
能源是現代經濟活動的重要支撐,對推動社會發展起著不可或缺的重要作用。隨著IOT、AI、大數據、云計算等新興技術的廣泛使用,能源行業也更加依賴數字化技術來管理和控制其基礎設施。這使得能源企業成為了網絡攻擊的重要目標,攻擊形式包括惡意軟件、勒索軟件、拒絕服務攻擊和網絡釣魚等。這些攻擊可能導致能源基礎設施的癱瘓、數據泄露,甚至威脅國家安全。
通過零信任理念對能源企業的現有網絡系統和安全防護能力進行升級優化,不僅可以實現細粒度的訪問控制能力,同時也可以幫助組織更好治理復雜多樣的數字化業務系統應用。
安全牛在近期開展的《現代企業零信任網絡建設應用指南》報告研究過程中,對某大型能源企業零信任安全訪問控制建設項目進行了調研分析,并從用戶需求、方案設計、方案建設及運營等維度,對項目實際建設經驗和特點進行了研究總結。
本案例正式收錄于《現代企業零信任網絡建設應用指南》,項目由深圳竹云科技股份有限公司建設實施,并提供案例研究支持。
案例背景
某能源行業頭部集團企業,其集團信息化建設工作始終聚焦“智能制造”、“互聯網+新業態”兩大主線展開,并不斷深化“兩化融合”。
近年來,隨著該集團業務全面推廣上云、合作廠商人員及設備流動性增強以及遠程辦公迅速增長,導致其傳統的物理安全邊界逐漸模糊、內部資源暴露面快速擴大,這對傳統邊界安全防護理念和手段帶來了多重挑戰,亟需有更好的安全防護理念和解決思路。
在此背景下,集團決定在集團總部及下屬企業采用零信任理念對原有網絡系統進行升級改造,并對向零信任網絡轉型提出了以下建設目標:
(1)為集團及下屬企業建立以統一身份管理(IAM)為基礎,融合零信任“從不信任、始終驗證”安全理念的持續信任評估和動態訪問控制體系;
(2)面向能源行業信息化訪問過程安全的應用場景,通過零信任安全防護體系核心組件與零信任體系安全防護生態系統結合,為全集團用戶、基礎設施和業務應用提供可信接入、持續認證、信任評估及動態訪問控制能力。
解決方案設計
根據該用戶對零信任網絡建設的需求分析,結合其當前安全建設現狀,竹云科技采用了以統一身份為基礎的零信任訪問安全解決方案,為集團/企業構建體系化的零信任安全訪問控制系統,以滿足其網絡安全縱深防御、動態防護訴求,同時實現應用多場景認證、內外網安全訪問、細粒度訪問控制需求。
方案總體架構設計如下:
在本方案中,設計包括了零信任安全網關、可信接入終端Agent、零信任控制中心、統一身份與認證管理、密碼基礎設施五大組件類型。
1、零信任安全網關
零信任安全網關作為應用唯一訪問入口,隱藏應用真實訪問地址和端口,在可信驗證通過后與可信接入終端建立微隧道或TLS 網絡傳輸數據加密通道,并持續進行訪問主體身份和目標資源的權限認證。在該項目中,依托已有云平臺分別部署內網、外網訪問安全網關集群,實現內、外網訪問流量隔離防護。
2、可信接入終端Agent
在用戶終端安裝可信接入終端,由集團數字證書管理系統為可信接入終端簽發身份證書。根據可信接入終端上報的信息,信任評估引擎可以建立“用戶+終端設備+運行環境”可信訪問模型。
3、零信任控制中心
零信任控制中心由安全策略決策引擎、信任評估引擎共同組成。其中,安全策略決策引擎提供SDP控制器和策略計算引擎的能力,對可信接入策略、認證策略、訪問控制策略進行配置、管理、評估決策。支持基于訪問主體、訪問環境、訪問客體、效力多維度靈活配置。信任評估引擎接入用戶行為日志、設備管理數據、資產價值數據進行評估分析,建立用戶、終端設備、網絡初始信任值及應用資源授權訪問所需信任等級;接入終端環境感知、網絡態勢感知、WAF 安全系統風險結果數據,分析影響信任等級的風險因子,動態評估信任等級變化,將評估結果推送至安全策略決策引擎,決策引擎進行策略命中計算并下發執行,形成數據驅動的動態訪問控制體系。
4、統一身份與認證管理
統一身份與認證管理為零信任體系中核心的用戶管理和認證中心, 支撐用戶全生命周期管理、身份認證、單點登錄和合規審計。通過標準化集成(支持 SAML、Oauth、jwt 等多種主流認證協議),實現用戶面向各業務系統的統一身份訪問,信息化系統集中管理、認證授權;用戶認證方式支持多因素認證(短信、OTP、數字證書、二維碼等),多種組合適應多場景認證;采集用戶認證日志,為用戶行為分析提供數據支撐。
5、密碼基礎設施
密碼基礎設施包括密碼服務平臺和數字證書系統。密碼服務平臺發揮密碼算法的安全核心作用,持續保障零信任體系各組件在業務信息存 儲、傳遞、訪問等環節的完整性、保密性和可用性;數字證書系統對用戶、可信接入終端和設備進行證書簽發,唯一標識數字身份,保證用戶、終端應用和設備的合法性,并提供證書核驗模塊,實現證書安全認證, 確保用戶身份、應用、設備可信。
建設實施與運營
目前,該項目已經順利完成前期試點(2022年7月完成)和應用推廣(2023年5月完成)相關工作,總計接入業務應用系統80余個,其中有3個應用屬于集團統建應用,涉及集團所有員工。項目中使用到零信任安全網關、可信接入終端(Agent)、零信任控制中心等四個主要產品部件,另外與企業原有的統一身份與認證管理、密碼基礎設施進行了整合,目前頒發Agent的授權數為5000個,項目后續的重點工作也包含推廣Agent的使用范圍。
在項目實施過程中,竹云科技充分利用該集團現有的安全基礎和能力,與各安全系統的廣泛集成,使建設的零信任安全能力真正融入到了企業的業務安全之中,包括:
1、與資產管理、桌面管理、補丁管理系統進行集成,收集設備信息和環境屬性,為建立設備可信、環境可信提供了便利;
2、與防火墻、 WAF、態勢感知等安全生態系統集成,充分利用各系統的日志、流量、情報收集分析,風險發現能力,將風險分析結果接入信任評估系統,提升信任評估的范圍普適性、時效性、準確性。
在零信任網絡實施完成后,后續仍需要大量的運營工作支撐,其中一個關鍵要求就是要與各業務系統應用中的安全性需求梳理對接,需要詳細了解各應用系統的等保定級水平、安全內控要求和業務流程,才能夠為應用定制更加貼合的可信認證策略和信任評估模型,最小化業務授權,酌情應用更多維度的 WAF 安全防護功能,并找到安全和用戶體驗的平衡點。
每個企業都有自己的管理模式,沒有任何一套信任評估和策略體系可以完全復制使用,每一次失敗的策略都會降低用戶的耐心,實現真正意義好用的零信任要經過漫長的運營、優化過程。
案例特點分析
目前,該項目運行穩定,實際應用效果符合建設預期,并體現以下特點:
1、零集成
方案基于集團/企業統一身份管理系統擴展實現,集團范圍內應用系統已與統一身份系統完成集成工作,支持配置化應用接入,網關集群與 應用系統網絡可達,不影響現有應用系統的部署,無須做任何定制或升級,便于快速推廣。
2、低網絡改造成本
可信控制中心(控制器、策略引擎和信任評估引擎)與安全接入網關通信可達,支持云化部署,不影響現有網絡結構,無需做額外改造,有效降低企業IT建設成本。
3、可靈活選擇實施模式
支持有端(可信接入終端 Agent)與無端實施模式,有端模式防護能力更強,無端模式更易于推廣,用戶可根據安全防護需求、用戶體驗、建設成本選擇更適合的實施模式。
4、以信任的持續評估驅動動態訪問控制
通過信任等級的持續評估驅動決策引擎動態調整訪問控制策略,實現針對業務訪問的動態控制;信任評估涉及的風險計算因子支持風險規則自定義和組合關聯評估,可接入多源數據實現風險規則模型和信任評估模型的靈活擴展。
5、實現了多場景認證
顯著擴展了用戶統一身份認證能力,支持針對同一應用的不同業務模塊配置不同安全級別的認證方式,為普通業務提供便捷認證,為敏感業務提供安全認證,特殊操作提供補充認證。
6、用戶體驗良好
落地零信任體系后,在進行業務訪問時,原有的訪問體驗基本不變,甚至有所簡化,如外網訪問內網應用不再通過 VPN 方式,可直接通過外網安全網關進行訪問,在減少VPN 登錄環節的同時,降低通過VPN 打穿內網的安全風險,提升用戶體驗和訪問安全。
案例點評
在本案例項目中,方案架構設計遵循了控制面和數據面分離及先驗證后連接的零信任安全理念,有扎實的身份、權限、設備綜合管理能力,并向上擴展了數據安全、API安全能力,體現出細粒度安全訪問管理理念的追求。在產品設計方面,方案提供商基于客戶的行業特點挖掘了多種行業特性,能夠貼合用戶的實際業務需求,整體功能設計完善,同時也注重了在產品應用時的可用性。
來源:安全牛