真情服務(wù)  厚德載物
      今天是:
      聯(lián)系我們

      市場部:0564-3227239
      技術(shù)部:0564-3227237
      財務(wù)部: 0564-3227034
      公司郵箱:lachs@126.com
      技術(shù)郵箱:cc1982@163.com
      地址:六安市淠望路103號

      技術(shù)分類
      推薦資訊
      當(dāng)前位置:首 頁 > 技術(shù)中心 > 網(wǎng)絡(luò) > 查看信息
      Gartner&奇安信:2022年 80%的應(yīng)用程序?qū)⑼ㄟ^零信任網(wǎng)絡(luò)訪問進(jìn)行訪問
      作者:永辰科技  來源:奇安信  發(fā)表時間:2020-8-10 17:21:59  點擊:2651
          奇安信集團(tuán)與Gartner對外發(fā)布《零信任架構(gòu)及解決方案》白皮書,對零信任架構(gòu)進(jìn)行了全面解讀,并對架構(gòu)遷移方案提出了系統(tǒng)建議。

      為幫助國內(nèi)市場更好的了解零信任架構(gòu),并且做好架構(gòu)遷移的相關(guān)工作,奇安信身份安全實驗室著手開展了大量的漢化工作,并于近日正式推出了中文版本。


      云計算和大數(shù)據(jù)時代,網(wǎng)絡(luò)安全邊界逐漸瓦解,內(nèi)外部威脅愈演愈烈,傳統(tǒng)的邊界安全架構(gòu)難以應(yīng)對,零信任安全架構(gòu)應(yīng)運而生。奇安信身份安全實驗室,作為奇安信集團(tuán)下屬專注“零信任身份安全架構(gòu)”研究的專業(yè)實驗室,是業(yè)界首部零信任安全技術(shù)圖書《零信任網(wǎng)絡(luò):在不可信網(wǎng)絡(luò)中構(gòu)建安全系統(tǒng)》譯者。

      2018年,以“零信任安全,新身份邊界”為技術(shù)思想,奇安信身份安全實驗室正式在業(yè)內(nèi)推出零信任身份安全解決方案,致力于解決國內(nèi)“企業(yè)物理邊界正在瓦解、傳統(tǒng)邊界防護(hù)措施正在失效”的新一代網(wǎng)絡(luò)安全問題,推出“以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估、動態(tài)訪問控制”為核心的奇安信零信任身份安全解決方案。

      該團(tuán)隊結(jié)合行業(yè)現(xiàn)狀,大力投入對零信任安全架構(gòu)的研究和產(chǎn)品標(biāo)準(zhǔn)化,積極推動“零信任身份安全架構(gòu)”在業(yè)界的落地實踐,其方案已經(jīng)在部委、央企、金融等行業(yè)進(jìn)行廣泛落地實施,得到市場、業(yè)界的高度認(rèn)可。

      Gartner認(rèn)為,到2022年,在面向生態(tài)合作伙伴開放的新型數(shù)字業(yè)務(wù)應(yīng)用程序中,80%將通過零信任網(wǎng)絡(luò)訪問(ZTNA)進(jìn)行訪問。零信任安全架構(gòu)基于“以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估、動態(tài)訪問控制”四大關(guān)鍵能力,構(gòu)筑以身份為基石的動態(tài)虛擬邊界產(chǎn)品與解決方案,助力企業(yè)實現(xiàn)全面身份化、授權(quán)動態(tài)化、風(fēng)險度量化、管理自動化的新一代網(wǎng)絡(luò)安全架構(gòu)。

      以下是報告核心要點。

      1 零信任參考架構(gòu)

      零信任的本質(zhì)是在訪問主體和客體之間構(gòu)建以身份為基石的動態(tài)可信訪問控制體系,其核心能力可以概括為以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估和動態(tài)訪問控制的關(guān)鍵能力,基于對網(wǎng)絡(luò)所有參與實體的數(shù)字身份,對默認(rèn)不可信的所有訪問請求進(jìn)行加密、認(rèn)證和強(qiáng)制授權(quán),匯聚關(guān)聯(lián)各種數(shù)據(jù)源進(jìn)行持續(xù)信任評估,并根據(jù)信任的程度動態(tài)對權(quán)限進(jìn)行調(diào)整,最終在訪問主體和訪問客體之間建立一種動態(tài)的信任關(guān)系。


      圖 零信任架構(gòu)的關(guān)鍵能力模型

      零信任架構(gòu)下,訪問客體是核心保護(hù)的資源,針對被保護(hù)資源構(gòu)建保護(hù)面,資源包括但不限于企業(yè)的業(yè)務(wù)應(yīng)用、服務(wù)接口、操作功能和資產(chǎn)數(shù)據(jù)。訪問主體包括人員、設(shè)備、應(yīng)用和系統(tǒng)等身份化之后的數(shù)字實體,在一定的訪問上下文中,這些實體還可以進(jìn)行組合綁定,進(jìn)一步對主體進(jìn)行明確和限定。

      2 零信任安全解決方案

      方案構(gòu)成

      奇安信零信任安全解決方案主要包括:奇安信TrustAccess動態(tài)可信訪問控制平臺、奇安信TrustID智能可信身份平臺、奇安信ID智能手機(jī)令牌及各種終端Agent組成,如下圖所示。

      奇安信零信任安全解決方案中,動態(tài)可信訪問控制平臺和智能可信身份平臺邏輯上進(jìn)行解耦,當(dāng)客戶現(xiàn)有身份安全基礎(chǔ)設(shè)施滿足零信任架構(gòu)要求的情況下,可以不用部署智能可信身份平臺,通過利舊降低建設(shè)成本。


      圖 奇安信零信任安全解決方案

      奇安信零信任安全解決方案在零信任參考架構(gòu)的基礎(chǔ)上對產(chǎn)品組件進(jìn)行了拆分和擴(kuò)展,但在總體架構(gòu)上保持了高度一致,將其產(chǎn)品組件映射到零信任參考架構(gòu)如下圖所示:


      圖 奇安信零信任安全解決方案與參考架構(gòu)的關(guān)系

      另外,奇安信零信任安全解決方案和奇安信豐富的安全產(chǎn)品和平臺之間可以實現(xiàn)聯(lián)動,比如奇安信的移動安全解決方案、數(shù)據(jù)安全解決方案以及云安全管理平臺等。

      典型應(yīng)用場景

      下面以一個典型應(yīng)用場景為例,描述奇安信零信任安全解決方案的邏輯原理。此應(yīng)用場景數(shù)據(jù)子網(wǎng)需要保護(hù)的資源包括業(yè)務(wù)應(yīng)用和API服務(wù),用戶/外部平臺子網(wǎng)的用戶終端需要訪問業(yè)務(wù)應(yīng)用,外部應(yīng)用需要通過接口調(diào)用API服務(wù),方案邏輯圖如下圖所示。


      圖 典型場景方案

      在此方案中,通過在用戶子網(wǎng)和數(shù)據(jù)子網(wǎng)之間部署邏輯的零信任訪問控制區(qū)構(gòu)建端到端的零信任解決方案。通過可信應(yīng)用代理接管所有的用戶終端業(yè)務(wù)訪問請求,通過可信API代理接管所有的外部應(yīng)用API調(diào)用請求,所有的訪問請求通過可信訪問控制臺進(jìn)行身份驗證及動態(tài)授權(quán)。

      可信終端感知系統(tǒng)持續(xù)對終端進(jìn)行感知和評估,可信網(wǎng)絡(luò)感知系統(tǒng)持續(xù)對網(wǎng)絡(luò)流量進(jìn)行感知和評估,并生成安全事件上報至智能身份分析平臺,智能身份分析平臺綜合訪問日志信息、安全事件信息、身份與權(quán)限信息進(jìn)行信息關(guān)鍵和信任評估,為可信訪問控制臺輸出信任等級作為權(quán)限判定或撤銷的依據(jù)。

      3 零信任遷移方法論

      零信任架構(gòu)作為一種全新的安全架構(gòu),和企業(yè)現(xiàn)有的業(yè)務(wù)情況、安全能力、組織架構(gòu)都有一定的關(guān)系,零信任遷移不可能一蹴而就,需要遵循一定的方法論,結(jié)合企業(yè)現(xiàn)狀,統(tǒng)一目標(biāo)和愿景后進(jìn)行妥善規(guī)劃并分步建設(shè)。


      圖 零信任遷移方法

      確定愿景

      零信任的建設(shè)和運營需要企業(yè)各干系方積極參與,可能涉及到安全部門、業(yè)務(wù)開發(fā)部門、IT技術(shù)服務(wù)部門和IT運營部門等。企業(yè)數(shù)字化轉(zhuǎn)型的關(guān)鍵決策者應(yīng)該將基于零信任的新一代安全架構(gòu)上升到戰(zhàn)略層面,確定統(tǒng)一的愿景,建議成立專門的組織(或虛擬組織)并指派具有足夠權(quán)限的人作為負(fù)責(zé)人進(jìn)行零信任遷移工作的整體推進(jìn),建議至少由CIO/CSO或CISO級別的人員在公司高層決策者的支持下推動零信任項目。

      規(guī)劃先行
      規(guī)劃的目的在于厘清形狀,確定路徑。對于零信任架構(gòu)而言,需要從兩個維度進(jìn)行梳理和評估,一是能力成熟度,二是業(yè)務(wù)范圍維度。企業(yè)需要評估當(dāng)前具備的安全能力,并基于風(fēng)險、安全預(yù)算、合規(guī)要求等信息,確定安全能力建設(shè)的優(yōu)先級。一般來說新建業(yè)務(wù)和核心業(yè)務(wù)作為第一優(yōu)先級考慮。

      分步建設(shè)
      根據(jù)規(guī)劃的思路導(dǎo)向,建設(shè)階段的劃分依各企業(yè)而各有不同。如果是能力優(yōu)先型建設(shè)思路,需要針對少量的業(yè)務(wù)構(gòu)建從低到高的能力,通過局部業(yè)務(wù)場景驗證零信任的完整能力,然后逐步遷移更多的業(yè)務(wù)。

      首先在一個較小業(yè)務(wù)范圍內(nèi),構(gòu)建中等的零信任安全能力,對整體方案進(jìn)行驗證;方案驗證完成后,對驗證過程的一些局部優(yōu)化點進(jìn)行能力優(yōu)化,并同時遷入更多的業(yè)務(wù)進(jìn)一步驗證方案并發(fā)現(xiàn)新的安全需求;最后,基于驗證結(jié)果規(guī)劃后續(xù)能力演進(jìn)階段,逐步有序的提升各方面的零信任能力。

       
       
       
      合作伙伴
      微軟中國 | 聯(lián)想集團(tuán) | IBM | 蘋果電腦 | 浪潮集團(tuán) | 惠普中國 | 深信服 | 愛數(shù)軟件 | 華為
      六安市永辰科技有限公司 版權(quán)所有 © Copyright 2010-2021 All Rights 六安市淠望路103號 最佳瀏覽效果 IE8或以上瀏覽器
      訪問量:2947432    皖I(lǐng)CP備11014188號-1
      国产日韩欧美亚洲,免费AV一区二区三区播放,国产亚洲日韩欧美日本,欧美精品二三区