基于智慧安全3.0的零信任實踐落地
責編:gltian |2021-08-11 10:15:57隨著新基建和數字經濟的加速建設,5G、云計算、大數據、人工智能等新技術、新應用不斷深入發展,?網絡安全正面臨惡意程序樣本泛濫、APT攻擊持續演進、0-day漏洞等前所未有的挑戰。同時,國家高度重視網絡安全風險,《網絡安全法》、《數據安全法》陸續出臺,網絡安全在IT架構中的分量日益加重。種種形勢表明,安全已不只是合規的要求,需要更多的考慮業務全流程保障要求,從體系化角度去進行安全建設。
2021年,綠盟科技提出“智慧安全3.0”新戰略,要求以體系化建設為指引,構建“全場景、可信任、實戰化”的安全運營能力,達到“全面防護,智能分析,自動響應”的防護效果。“智慧安全3.0”將安全理念擴展到整個網絡空間,并融入新的安全要素。“可信任”作為安全要素之一,提出安全建設要從業務視角出發,融入零信任思想,為用戶構建訪問信任模型,實現對用戶業務環境的可信任保障。
智慧安全3.0下的零信任
零信任思想落地實踐主要基于SDP、IAM、MSG等技術,在訪問主體到訪問客體之間,建立業務平面的安全訪問通道,將控制平面零信任分析和控制平臺作為零信任大腦,結合終端安全管理、統一身份認證等功能,構建多環節信任驗證與訪問控制、智能分析與風險識別、動態決策響應等能力。
1、多環節信任驗證與訪問控制
零信任體系默認網絡內部和外部的主體、客體均不可信,需要基于認證和授權動態,重構業務訪問控制的信任基礎。在訪問過程中的各個環節,對終端、用戶、應用、API的身份進行多種形式驗證,結合業務場景及業務敏感程度,提供多層級可選的控制粒度。通過在每個階段嵌入對應的安全訪問控制策略執行點,實現應用和服務的動態控制,保證安全訪問控制策略的有效實施。
2、智能分析與風險識別
在零信任架構中,主體與客體之間的訪問認證不是一次性的,需要進行持續評估,借助大數據引擎的強大算法,基于多維特征聚類的風險和威脅識別方法,通過對終端、網絡和服務器端的訪問全路徑進行威脅監控,匯聚終端環境、訪問頻率、認證授權、攻擊流量、越權訪問等風險數據,智能化完成用戶建模和行為分析,基于信任評估模型,識別安全風險。
3、動態策略自動化響應
針對在零信任網絡各對象動態變化的環境,基于零信任的策略控制引擎下發指令,從而確保在不斷變化的過程中,始終具有可信條件的對象才能訪問受控允許的資源。在整個訪問過程中,依靠零信任的評估引擎和策略控制引擎,形成威脅研判的信任鏈,根據信任的緊迫度及危險程度等條件,按照響應優先級調用微場景化的通用Playbook執行腳本,實現對威脅的全局封堵、權限調整及用戶二次認證等響應過程。
4、安全聯動、打造一體化縱深防御
零信任是一種安全理念,是對現有安全能力的一種完善和補充。綠盟科技“智慧安全3. 0”正是結合這種理念,實現安全體系的全面升級。“智慧安全3.0”從頂層設計開始定義安全體系并規劃安全建設,已不只是考慮合規的要求,而是更多的考慮業務全流程保障要求,從體系化角度進行安全建設。“全場景”以全棧安全產品支撐解決方案,適應不同用戶場景的需要,針對用戶網絡建設具備自適應攻擊防護能力的縱深防御體系。“可信任”理念結合零信任模型,支撐用戶構建可信任的能力,針對用戶業務環境打造具備自適應訪問保護能力的可信認證授權體系。最后通過基于“實戰化“的安全運營體系,形成自適應攻擊防護以及自適應訪問保護能力的協同閉環機制,構建按需調度的安全能力。
零信任場景化落地實踐
綠盟科技在研究零信任理論體系的同時,也很重視落地應用實踐,于2014年啟動零信任關鍵技術研究,2019年陸續發布多款關鍵產品,現在整體解決方案已在各個行業落地,對用戶業務環境進行可信任保障。
1、暴露面隱藏場景
在一些日常應用場景中,需要將內網的應用暴露到公網,并在公網進行訪問操作,增加業務系統的安全風險。零信任架構可以將應用隱藏起來,基于SDP技術有效防止攻擊者對企業應用的探測、掃描、滲透測試等,減少企業對外的攻擊暴露面。
2、遠程辦公場景
針對遠程辦公場景,綠盟科技“零信任”可以解決VPN訪問形式線路不穩、存在橫向移動、權限粗放等弊端。利用零信任架構的特點,用戶無論是在企業內網還是互聯網,都是不被信任的,必須先通過零信任體系認證,根據用戶權限才能訪問后臺應用,最大限度地保證用戶安全,便捷地訪問企業內網應用。
3、遠程運維訪問管理
在本地及遠程運維場景中,運維人員管理不同應用時需登錄不同堡壘機,而不同堡壘機存在安全認證策略不統一,沒有統一入口,運維管理成本高等問題。零信任架構模型可以統一身份運維賬號、統一入口、統一登錄,零信任體系和堡壘機之間的聯動也能對運維帳戶進行動態管理,提高運維安全性和管理效率。
4、全方位API防護場景
針對API業務暴露公網會被黑產未授權調用,生成釣魚路徑,受害者報警等問題,零信任架構可以提供API安全代理與業務隱藏、調用者身份認證、權限控制等能力,實現對API場景的全方位安全防護。
5、SASE云上零信任安全
隨著企業數字化轉型的深入發展,企業業務上云成為常態,針對業務上云之后的業務暴露面大、終端管控難、認證方式簡單等問題,零信任架構可以以SD-WAN網絡為基礎,通過SDP、VPN等多種方式,快捷安全接入SASE,以零信任訪問控制為核心,結合終端安全,滿足高效運維運營、遠程辦公效率優化等場景需求。
面對數字化轉型時代的網絡安全挑戰,用戶可以基于“智慧安全3.0”藍圖,逐步將業務安全與零信任安全架構相融合,以此來構建完備的安全防護體系。綠盟科技也將憑借二十一年的網絡安全技術能力積累,持續為用戶業務的順暢運行保駕護航。
來源:安全牛