零信任案例研究 | 零信任安全訪問助力能源企業(yè)新型數(shù)字化體系建設(shè)
責(zé)編:gltian |2024-07-08 10:26:45導(dǎo)語
能源是現(xiàn)代經(jīng)濟(jì)活動的重要支撐,對推動社會發(fā)展起著不可或缺的重要作用。隨著IOT、AI、大數(shù)據(jù)、云計算等新興技術(shù)的廣泛使用,能源行業(yè)也更加依賴數(shù)字化技術(shù)來管理和控制其基礎(chǔ)設(shè)施。這使得能源企業(yè)成為了網(wǎng)絡(luò)攻擊的重要目標(biāo),攻擊形式包括惡意軟件、勒索軟件、拒絕服務(wù)攻擊和網(wǎng)絡(luò)釣魚等。這些攻擊可能導(dǎo)致能源基礎(chǔ)設(shè)施的癱瘓、數(shù)據(jù)泄露,甚至威脅國家安全。
通過零信任理念對能源企業(yè)的現(xiàn)有網(wǎng)絡(luò)系統(tǒng)和安全防護(hù)能力進(jìn)行升級優(yōu)化,不僅可以實(shí)現(xiàn)細(xì)粒度的訪問控制能力,同時也可以幫助組織更好治理復(fù)雜多樣的數(shù)字化業(yè)務(wù)系統(tǒng)應(yīng)用。
安全牛在近期開展的《現(xiàn)代企業(yè)零信任網(wǎng)絡(luò)建設(shè)應(yīng)用指南》報告研究過程中,對某大型能源企業(yè)零信任安全訪問控制建設(shè)項目進(jìn)行了調(diào)研分析,并從用戶需求、方案設(shè)計、方案建設(shè)及運(yùn)營等維度,對項目實(shí)際建設(shè)經(jīng)驗和特點(diǎn)進(jìn)行了研究總結(jié)。
本案例正式收錄于《現(xiàn)代企業(yè)零信任網(wǎng)絡(luò)建設(shè)應(yīng)用指南》,項目由深圳竹云科技股份有限公司建設(shè)實(shí)施,并提供案例研究支持。
案例背景
某能源行業(yè)頭部集團(tuán)企業(yè),其集團(tuán)信息化建設(shè)工作始終聚焦“智能制造”、“互聯(lián)網(wǎng)+新業(yè)態(tài)”兩大主線展開,并不斷深化“兩化融合”。
近年來,隨著該集團(tuán)業(yè)務(wù)全面推廣上云、合作廠商人員及設(shè)備流動性增強(qiáng)以及遠(yuǎn)程辦公迅速增長,導(dǎo)致其傳統(tǒng)的物理安全邊界逐漸模糊、內(nèi)部資源暴露面快速擴(kuò)大,這對傳統(tǒng)邊界安全防護(hù)理念和手段帶來了多重挑戰(zhàn),亟需有更好的安全防護(hù)理念和解決思路。
在此背景下,集團(tuán)決定在集團(tuán)總部及下屬企業(yè)采用零信任理念對原有網(wǎng)絡(luò)系統(tǒng)進(jìn)行升級改造,并對向零信任網(wǎng)絡(luò)轉(zhuǎn)型提出了以下建設(shè)目標(biāo):
(1)為集團(tuán)及下屬企業(yè)建立以統(tǒng)一身份管理(IAM)為基礎(chǔ),融合零信任“從不信任、始終驗證”安全理念的持續(xù)信任評估和動態(tài)訪問控制體系;
(2)面向能源行業(yè)信息化訪問過程安全的應(yīng)用場景,通過零信任安全防護(hù)體系核心組件與零信任體系安全防護(hù)生態(tài)系統(tǒng)結(jié)合,為全集團(tuán)用戶、基礎(chǔ)設(shè)施和業(yè)務(wù)應(yīng)用提供可信接入、持續(xù)認(rèn)證、信任評估及動態(tài)訪問控制能力。
解決方案設(shè)計
根據(jù)該用戶對零信任網(wǎng)絡(luò)建設(shè)的需求分析,結(jié)合其當(dāng)前安全建設(shè)現(xiàn)狀,竹云科技采用了以統(tǒng)一身份為基礎(chǔ)的零信任訪問安全解決方案,為集團(tuán)/企業(yè)構(gòu)建體系化的零信任安全訪問控制系統(tǒng),以滿足其網(wǎng)絡(luò)安全縱深防御、動態(tài)防護(hù)訴求,同時實(shí)現(xiàn)應(yīng)用多場景認(rèn)證、內(nèi)外網(wǎng)安全訪問、細(xì)粒度訪問控制需求。
方案總體架構(gòu)設(shè)計如下:
在本方案中,設(shè)計包括了零信任安全網(wǎng)關(guān)、可信接入終端Agent、零信任控制中心、統(tǒng)一身份與認(rèn)證管理、密碼基礎(chǔ)設(shè)施五大組件類型。
1、零信任安全網(wǎng)關(guān)
零信任安全網(wǎng)關(guān)作為應(yīng)用唯一訪問入口,隱藏應(yīng)用真實(shí)訪問地址和端口,在可信驗證通過后與可信接入終端建立微隧道或TLS 網(wǎng)絡(luò)傳輸數(shù)據(jù)加密通道,并持續(xù)進(jìn)行訪問主體身份和目標(biāo)資源的權(quán)限認(rèn)證。在該項目中,依托已有云平臺分別部署內(nèi)網(wǎng)、外網(wǎng)訪問安全網(wǎng)關(guān)集群,實(shí)現(xiàn)內(nèi)、外網(wǎng)訪問流量隔離防護(hù)。
2、可信接入終端Agent
在用戶終端安裝可信接入終端,由集團(tuán)數(shù)字證書管理系統(tǒng)為可信接入終端簽發(fā)身份證書。根據(jù)可信接入終端上報的信息,信任評估引擎可以建立“用戶+終端設(shè)備+運(yùn)行環(huán)境”可信訪問模型。
3、零信任控制中心
零信任控制中心由安全策略決策引擎、信任評估引擎共同組成。其中,安全策略決策引擎提供SDP控制器和策略計算引擎的能力,對可信接入策略、認(rèn)證策略、訪問控制策略進(jìn)行配置、管理、評估決策。支持基于訪問主體、訪問環(huán)境、訪問客體、效力多維度靈活配置。信任評估引擎接入用戶行為日志、設(shè)備管理數(shù)據(jù)、資產(chǎn)價值數(shù)據(jù)進(jìn)行評估分析,建立用戶、終端設(shè)備、網(wǎng)絡(luò)初始信任值及應(yīng)用資源授權(quán)訪問所需信任等級;接入終端環(huán)境感知、網(wǎng)絡(luò)態(tài)勢感知、WAF 安全系統(tǒng)風(fēng)險結(jié)果數(shù)據(jù),分析影響信任等級的風(fēng)險因子,動態(tài)評估信任等級變化,將評估結(jié)果推送至安全策略決策引擎,決策引擎進(jìn)行策略命中計算并下發(fā)執(zhí)行,形成數(shù)據(jù)驅(qū)動的動態(tài)訪問控制體系。
4、統(tǒng)一身份與認(rèn)證管理
統(tǒng)一身份與認(rèn)證管理為零信任體系中核心的用戶管理和認(rèn)證中心, 支撐用戶全生命周期管理、身份認(rèn)證、單點(diǎn)登錄和合規(guī)審計。通過標(biāo)準(zhǔn)化集成(支持 SAML、Oauth、jwt 等多種主流認(rèn)證協(xié)議),實(shí)現(xiàn)用戶面向各業(yè)務(wù)系統(tǒng)的統(tǒng)一身份訪問,信息化系統(tǒng)集中管理、認(rèn)證授權(quán);用戶認(rèn)證方式支持多因素認(rèn)證(短信、OTP、數(shù)字證書、二維碼等),多種組合適應(yīng)多場景認(rèn)證;采集用戶認(rèn)證日志,為用戶行為分析提供數(shù)據(jù)支撐。
5、密碼基礎(chǔ)設(shè)施
密碼基礎(chǔ)設(shè)施包括密碼服務(wù)平臺和數(shù)字證書系統(tǒng)。密碼服務(wù)平臺發(fā)揮密碼算法的安全核心作用,持續(xù)保障零信任體系各組件在業(yè)務(wù)信息存 儲、傳遞、訪問等環(huán)節(jié)的完整性、保密性和可用性;數(shù)字證書系統(tǒng)對用戶、可信接入終端和設(shè)備進(jìn)行證書簽發(fā),唯一標(biāo)識數(shù)字身份,保證用戶、終端應(yīng)用和設(shè)備的合法性,并提供證書核驗?zāi)K,實(shí)現(xiàn)證書安全認(rèn)證, 確保用戶身份、應(yīng)用、設(shè)備可信。
建設(shè)實(shí)施與運(yùn)營
目前,該項目已經(jīng)順利完成前期試點(diǎn)(2022年7月完成)和應(yīng)用推廣(2023年5月完成)相關(guān)工作,總計接入業(yè)務(wù)應(yīng)用系統(tǒng)80余個,其中有3個應(yīng)用屬于集團(tuán)統(tǒng)建應(yīng)用,涉及集團(tuán)所有員工。項目中使用到零信任安全網(wǎng)關(guān)、可信接入終端(Agent)、零信任控制中心等四個主要產(chǎn)品部件,另外與企業(yè)原有的統(tǒng)一身份與認(rèn)證管理、密碼基礎(chǔ)設(shè)施進(jìn)行了整合,目前頒發(fā)Agent的授權(quán)數(shù)為5000個,項目后續(xù)的重點(diǎn)工作也包含推廣Agent的使用范圍。
在項目實(shí)施過程中,竹云科技充分利用該集團(tuán)現(xiàn)有的安全基礎(chǔ)和能力,與各安全系統(tǒng)的廣泛集成,使建設(shè)的零信任安全能力真正融入到了企業(yè)的業(yè)務(wù)安全之中,包括:
1、與資產(chǎn)管理、桌面管理、補(bǔ)丁管理系統(tǒng)進(jìn)行集成,收集設(shè)備信息和環(huán)境屬性,為建立設(shè)備可信、環(huán)境可信提供了便利;
2、與防火墻、 WAF、態(tài)勢感知等安全生態(tài)系統(tǒng)集成,充分利用各系統(tǒng)的日志、流量、情報收集分析,風(fēng)險發(fā)現(xiàn)能力,將風(fēng)險分析結(jié)果接入信任評估系統(tǒng),提升信任評估的范圍普適性、時效性、準(zhǔn)確性。
在零信任網(wǎng)絡(luò)實(shí)施完成后,后續(xù)仍需要大量的運(yùn)營工作支撐,其中一個關(guān)鍵要求就是要與各業(yè)務(wù)系統(tǒng)應(yīng)用中的安全性需求梳理對接,需要詳細(xì)了解各應(yīng)用系統(tǒng)的等保定級水平、安全內(nèi)控要求和業(yè)務(wù)流程,才能夠為應(yīng)用定制更加貼合的可信認(rèn)證策略和信任評估模型,最小化業(yè)務(wù)授權(quán),酌情應(yīng)用更多維度的 WAF 安全防護(hù)功能,并找到安全和用戶體驗的平衡點(diǎn)。
每個企業(yè)都有自己的管理模式,沒有任何一套信任評估和策略體系可以完全復(fù)制使用,每一次失敗的策略都會降低用戶的耐心,實(shí)現(xiàn)真正意義好用的零信任要經(jīng)過漫長的運(yùn)營、優(yōu)化過程。
案例特點(diǎn)分析
目前,該項目運(yùn)行穩(wěn)定,實(shí)際應(yīng)用效果符合建設(shè)預(yù)期,并體現(xiàn)以下特點(diǎn):
1、零集成
方案基于集團(tuán)/企業(yè)統(tǒng)一身份管理系統(tǒng)擴(kuò)展實(shí)現(xiàn),集團(tuán)范圍內(nèi)應(yīng)用系統(tǒng)已與統(tǒng)一身份系統(tǒng)完成集成工作,支持配置化應(yīng)用接入,網(wǎng)關(guān)集群與 應(yīng)用系統(tǒng)網(wǎng)絡(luò)可達(dá),不影響現(xiàn)有應(yīng)用系統(tǒng)的部署,無須做任何定制或升級,便于快速推廣。
2、低網(wǎng)絡(luò)改造成本
可信控制中心(控制器、策略引擎和信任評估引擎)與安全接入網(wǎng)關(guān)通信可達(dá),支持云化部署,不影響現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu),無需做額外改造,有效降低企業(yè)IT建設(shè)成本。
3、可靈活選擇實(shí)施模式
支持有端(可信接入終端 Agent)與無端實(shí)施模式,有端模式防護(hù)能力更強(qiáng),無端模式更易于推廣,用戶可根據(jù)安全防護(hù)需求、用戶體驗、建設(shè)成本選擇更適合的實(shí)施模式。
4、以信任的持續(xù)評估驅(qū)動動態(tài)訪問控制
通過信任等級的持續(xù)評估驅(qū)動決策引擎動態(tài)調(diào)整訪問控制策略,實(shí)現(xiàn)針對業(yè)務(wù)訪問的動態(tài)控制;信任評估涉及的風(fēng)險計算因子支持風(fēng)險規(guī)則自定義和組合關(guān)聯(lián)評估,可接入多源數(shù)據(jù)實(shí)現(xiàn)風(fēng)險規(guī)則模型和信任評估模型的靈活擴(kuò)展。
5、實(shí)現(xiàn)了多場景認(rèn)證
顯著擴(kuò)展了用戶統(tǒng)一身份認(rèn)證能力,支持針對同一應(yīng)用的不同業(yè)務(wù)模塊配置不同安全級別的認(rèn)證方式,為普通業(yè)務(wù)提供便捷認(rèn)證,為敏感業(yè)務(wù)提供安全認(rèn)證,特殊操作提供補(bǔ)充認(rèn)證。
6、用戶體驗良好
落地零信任體系后,在進(jìn)行業(yè)務(wù)訪問時,原有的訪問體驗基本不變,甚至有所簡化,如外網(wǎng)訪問內(nèi)網(wǎng)應(yīng)用不再通過 VPN 方式,可直接通過外網(wǎng)安全網(wǎng)關(guān)進(jìn)行訪問,在減少VPN 登錄環(huán)節(jié)的同時,降低通過VPN 打穿內(nèi)網(wǎng)的安全風(fēng)險,提升用戶體驗和訪問安全。
案例點(diǎn)評
在本案例項目中,方案架構(gòu)設(shè)計遵循了控制面和數(shù)據(jù)面分離及先驗證后連接的零信任安全理念,有扎實(shí)的身份、權(quán)限、設(shè)備綜合管理能力,并向上擴(kuò)展了數(shù)據(jù)安全、API安全能力,體現(xiàn)出細(xì)粒度安全訪問管理理念的追求。在產(chǎn)品設(shè)計方面,方案提供商基于客戶的行業(yè)特點(diǎn)挖掘了多種行業(yè)特性,能夠貼合用戶的實(shí)際業(yè)務(wù)需求,整體功能設(shè)計完善,同時也注重了在產(chǎn)品應(yīng)用時的可用性。
來源:安全牛
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運(yùn)商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運(yùn)”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧