站长资讯网12月4日,主题为“数字合作创新 安全赋能基建”的2020云安全联盟CSA大中华区大会在上海开幕,奇安信身份安全事业部总经理张泽洲在大会演讲中表示,推动零信任架构的落地不能一蹴而就,需要以工程思维,妥善规划,分步建设,最终达成基于身份的、细粒度的动态访问控制机制。
图:奇安信身份安全事业部总经理张泽洲
数字化转型时代,数据中心也在向云化发展。云化数据中心具有数据价值集中、边界不断延伸、数据持续流动等特点;另一方面,高价值的数据必然充满诱惑,云化数据中心安全威胁和网络攻击的重点也相应的发生了变化,主要表现为利用弱密码、业务漏洞等手段突破边界;利用网络层面的“默认信任”进行横向移动;利用资产访问控制的缺失窃取数据,缺乏完善的针对资产的访问控制措施。
面对上述问题,张泽洲认为需要以资产为中心,从业务与安全两个视角重新审视安全架构。零信任正是解决上述问题的一种理念、方法和架构。零信任理念认为网络默认不可信,不能仅仅基于访问者在内网还是外网来决定访问权限,而是要基于从不信任、始终验证的原则,将安全措施从网络转移到具体的人员、设备和业务资产,在边界安全之上叠加基于身份的逻辑边界,其本质是基于身份的、细粒度的动态访问控制机制。
具体来说,零信任需要做好四个方面的关键能力。
首先,以身份为基石:构建并持续维持身份和权限基础数据的有序至关重要,这是精准访问控制的准绳;
其次,动态访问控制:应该基于访问路径,充分利用端到端的上下文属性作为访问决策的因素。其中需要注意的是,不仅仅需要考虑人员的属性,还要考虑设备的属性、网络的属性、环境的属性等等。访问策略所依赖的属性越多,访问策略越精准;
第三,验证并持续评估:对人员和设备进行强身份验证,并且在访问过程中结合各种数据进行持续评估;
最后,全场景业务安全访问:针对现代IT基础设施,业务场景很多,包括应用访问、运维、接口调用、功能和数据访问等等,需要在这些业务场景中设置访问控制点。
图:零信任安全逻辑架构
奇安信新一代身份安全工程作为奇安信“十大工程五大任务”之首,是零信任架构在新型业务场景落地建设的工程化框架。新一代网络安全框架从顶层视角出发,以系统工程的方法论结合“内生安全”理念,解构出面向数字化时代网络安全规划的“十大工程五大任务”,能指导不同行业输出符合其特点的网络安全架构,构建动态综合的网络安全防御体系。新一代身份安全框架将身份安全与零信任能力,通过不同的网络安全执行点调用到数字化环境的各个关键环节,最终实现端到端应用与数据的细粒度访问安全,支持客户的安全架构升级,助力数字化转型。
张泽洲强调,零信任作为一个安全架构进行落地,面临着流程、技术、管理等多个方面的挑战,必须结合企业现状,妥善规划,分步建设,逐步推进零信任的落地。分步构建一定要注意零信任建设的可持续性,要避免一个一个场景的零信任建设完成后,却变成一个一个的项目孤岛,安全能力打不通,安全策略没法统一,这和零信任架构的诉求是背道而驰的,不符合零信任的价值实现。
奇安信集团作为国内领先的零信任架构的践行者,拥有专注“零信任身份安全架构”研究的专业实验室——奇安信身份安全实验室,致力于解决国内“企业物理边界正在瓦解、传统边界防护措施正在失效”的新一代网络安全问题,并推出“以身份为基石、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信零信任身份安全解决方案。
该团队结合行业现状,大力投入对零信任安全架构的研究和产品标准化,牵头发起了首个国家标准《信息安全技术 零信任参考体系架构》的制定工作,并积极推动“零信任身份安全架构”在业界的落地实践。目前,该奇安信零信任安全解决方案已经在在政府、部委、金融、能源等行业进行广泛落地实施,为客户的大数据中心、核心业务资产等进行保护,支撑整体安全架构的变革,得到市场、业界的高度认可。
特别提醒:本网内容转载自其他媒体,目的在于传递更多信息,并不代表本网赞同其观点。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,并请自行核实相关内容。本站不承担此类作品侵权行为的直接责任及连带责任。如若本网有任何内容侵犯您的权益,请及时联系我们,本站将会在24小时内处理完毕。