新IT架构 零信任安全
云计算和大数据时代网络安全边界逐渐瓦解
云
数字化转型推动IT技术环境的快速进化！
物理边界
网络安全 边界瓦解
移动办公
物理边界
合作伙伴
① 用户多样化、设备多样化、业务多样化、平台多样化 ② 数据在用户、设备、业务、平台之间持续流动
IoT/OT
内外部威胁愈演愈烈，数据泄露触目惊心
物理边界
用户子网
安全访问控制区
数据子网
用户终端
终端 可信感知
Agent
应用访问
可信应用代理
日志上报
应用访问 动态授权
业务应用 业务应用
应用
环境风险感知
环境风险感知
外部应用
服务器 可信感知
Agent
可信环境 感知系统
API调用
智能身份
可信访问
风险 分析平台 信任
控制台
事件
等级
日志上报
可信API代理
动态授权 API调用
动态
授权 可信访问 控制台
信任评估 智能身份分析系统
终端感知 网络感知
数据区
零信任架构和业务需求聚合，逐步迁移
？
梳理业务资产 确定保护目标
梳理访问全路径 确定业务暴露面
梳理身份权限 确定安全需求
优化完善，逐步迭代，覆盖更多业务场景
梳理实施方案 确定建设步骤
收缩暴露面、缓解威胁
非法用户
身份
合法主体
智能可信身份平台 统一认证服务
或现有PKII/ACAM/4A
人脸 声纹 应用API服务 数据API服务
零信任安全的优势：
• 这种以数据为中心的安全模型，消除了受信任或不受信任的网 络、设备、角色或进程的概念，并转变为基于多属性的信任级 别，使身份验证和授权策略在最小特权访问概念下得以实现。
• 实现零信任，需要重新思考我们如何利用现有的基础设施，以 更简单、更高效的方式设计安全性，同时实现不受阻碍的操作。
2009~2010
约翰.金德维格率先提出零信任
2011~2017
BeyondCorp项目完成，在超 大型网络中率先实现零信任。
NOW
业界众多厂商大力跟进完善
零信任架构正在成为安全大战略
《美国国防部数字现代化战略》 2019年7月12日
零信任安全的概念：
• 零信任是一种网络安全策略，它将安全嵌入到整个体系结构中， 以阻止数据泄露。
案例：大数据场景引发新的安全挑战
业务建设：云大物移业务开展、数据共享、数据安全 数据集中：多部门、多平台、多业务数据融合，风险集中 网络打通：打破业务之间、部门之间网络边界，互通互访
DC2
DC3
DC1
DC4
DC5
DC6
业务1
业务2
…
网络隔离/数据隔离
业务N
业务
业务
业务
业务
业
务 访
物 理 隔
业
务 访
非法终端
主体
非指定终端
最小 权限
流量窃听
系统漏洞
端口扫描
隐藏
合理请求
爬取数据
加密
访问控制旁路
强制 授权
中间人攻击
高风险终端
合规信任
安全 属性
异常行为
访问 行为
安全预期偏差
身份 关联
权限遗留
越权访问
权限 基线
应
用
动态权限
&
接
口
非授权访问
风险 感知
分级 访问
环境风险
全面身份化 风险度量化 授权动态化 管理自动化
内部威胁
外部威胁
信任是安全 最大的漏洞
边界安全思维为内网预设过度信任
安全事件层出不穷 数据泄露触目惊心
安全思维和安全架构需要进化！
零信任架构：在不可信的网络环境下重建信任
① 应该假设网络始终存在外部威胁和内部威胁，仅仅通过网络位置来 评估信任是不够的。
② 默认情况下不应该信任网络内部或外部的任何人/设备/系统，而 是基于认证和授权重构业务访问控制的信任基础。
基于身份的信任评估
认证强度
访问时间 地理位置 ……
基于环境的风险判定
终端风险
行络风险 威胁情报 ……
主体信任
主体信任程度
客体安全等级
基于行为的异常发现
④ 动态访问控制
环境
信任等级 主体
基于属性的访问控制基线
基于风险感知的动态权限
提升信任|缓解风险|拒绝访问
人
设备 应用 环境
信任评估因行
风险感知
基于信任等级的分级访问
当主体信任等级行于客体安全 等级时，访问权限才真正授予源自环境安全等级 客体
威胁
价值
环境
安全等级
奇安信零信任身份安全参考架构
外部平台 接行调用
用户终端 业务访问
物联设备 边缘接行
用户区 认证 TLS
TLS
TLS 感知
零信任动态可信访问控制区
可信应用代理
可信API代理
访问 代理
智能可信身份平台 身份权限
• 除了总体上保护架构的优势外，还有其他跨功能的好处。
奇安信对零信任的解读
安全能力内嵌入业务体系，构建自适应内生安全机制。
① 以身份为基石
✓ 为人和设备赋予数字身份 ✓ 为数字身份构建访问主体 ✓ 为访问主体设定最小权限
② 业务安全访问
✓ 全场景业务隐藏 ✓ 全流量加密代理 ✓ 全业务强制授权
③ 持续信任评估
✓ 基于身份的信任评估 ✓ 基于环境的风险判定 ✓ 基于行为的异常发现
④ 动态访问控制
✓ 基于属性的访问控制基线 ✓ 基于信任等级的分级访问 ✓ 基于风险感知的动态权限
① 以身份为基石
为访问主体 设定最小权限
为数字身份 构建访问主体
为人和设备 赋予数字身份
人
设备
访问 主体
应用 程序
主体环境
业务访问主体
③ 每个设备、用户的业务访问都应该被认证、授权和加密。 ④ 访问控制策略和信任应该是动态的，基于设备、用户和环境的多源
环境数据计算出来。
零信任架构
技术本质是构建以身份为基石的业务动态可信访问控制机制！
零信任架构的业界实践
Google BeyondCorp是在构建零信任网络6年经验的基础上打造的新一代企业安全 架构。通过将访问权限控制措施从网络边界转移到具体的设备、用户和应用，让员工 可以更安全地在任何地点工作，而不必借助于传统的VPN。
完整不可分割
② 业务安全访问
外部平台 数据交换
TLS
用户终端
业务访问
TLS
物联设备 边缘接入
TLS
可信代理
业务资产
全场景业务隐藏 全流量加密代理 全业务强制授权
③ 持续信任评估
数字 信任
身份的数字信任
✓ 用户身份属性 ✓ 凭证安全属性 ✓ 用户行为分析
✓ 设备身份属性 ✓ 终端安全状态 ✓ 系统行为分析
物 理 隔
业
务 访
物 理 隔
业
务 访
问
离
问
离
问
离
问
终端 用户
终端 用户
终端 用户
终端 用户
互通 互访
如何确保业务的安全、可信、合规？
部
终端
终端
终端
用户
用户
用户
省
终端
终端
终端
用户
用户
用户
市
终端
终端
终端
用户
用户
用户
案例：方案逻辑架构
• 基于云计算和大数据技术新建大数据共享业务平台，用户量>60万，访问场景和人员复杂，数据敏感度高。 • 基于零信任架构设计，数据子网不再暴露物理网络边界，建设跨网安全访问控制区隐藏业务应用和数据。