logo资料库

现代企业零信任安全构建应用指南.pdf

发布时间:2022-06-01 发布人:admin 分类:说明书 资料大小:7.69M 资料格式:pdf 举报 版权申诉
第1页 / 共60页
第2页 / 共60页
第3页 / 共60页
第4页 / 共60页
第5页 / 共60页
第6页 / 共60页
第7页 / 共60页
第8页 / 共60页
资料共60页,剩余部分请下载后查看
    21-03-LXR-ZY
    引 言 5G融合云计算、大数据、人工智能技术催生了众多互联网新兴业务,数字化转型成为国家经济发展的重 要抓手。“新基建”是国家从经济长远发展角度提出的新经济、新技术、新产业的国家战略,它是5G、人工智能、 大数据中心、工业互联网等科技创新领域的基础设施。互联网业务的访问不再一个个孤岛似的的网络连接,而 是更细度的端到端的远程访问,数据价值水涨船高,引发了外网APT攻击持续高发。同时,利用端到端连接 构造的APT攻击也更加多样化,勒索病毒、邮件钓鱼、0day漏洞利用让我们目睹了边界防御对端到端远程连 接访问时夹带威胁的无奈。 刚刚过去的2020年,快速爆发的疫情对各行各业都是一个极大的挑战,然而2020年已经过去了,疫情 并没有结束。这让我们意识“新冠”不是第一个也不会是最后一个影响人类传统生活模式的自然灾难,与病毒 共生成为全人类的共识。互联网远程工作、端云协同成为企业持续发展的必要条件,并成为当代人们生产生活 的常态。刚需之下,我们看到了传统VPN网络在远程办公访问重压下的苍白,设备瘫痪、利用漏洞绕过验证、 设备失陷等等。 边界防御在业务和安全的双重重压下备受挑战,“可信网络”成为传统安全防御架构演进的严重瓶颈和障 碍,“零信任”成为探索新基建网络安全建设的重要理念和实践。 免责声明 本报告中部分图表在标注有数据来源的情况下,版权归属原数据所有公司。安全牛取得数据的途径来源于 厂商调研、用户调研、第三方购买、国家机构、公开资料。如不同意安全牛引用,请作者来电或来函联系,我 们协调给予处理 ( 或删除 )。报告有偿提供给限定客户,应限于客户内部使用,仅供客户在开展相关工作过程 中参考。如客户引用报告内容进行对外使用,所产生的误解和诉讼由客户自行负责,安全牛不承担责任。
    报告关键发现 本次调研发现,78.9%国内用户认为零信任还处于概念热度期,但对运用零信任安全相关解决企业数 据中心远程访问、云计算服务访问、边缘计算、5G、新兴互联网等场景下的安全问题充满信心。 情影响。 超过80%的调研用户表示有零信任应用计划,其驱动因素包括有外来的互联网风险、业务发展及疫 零信任构架是融合了网络安全、认证、加密、计算环境安全、数据安全等技术构建的基于熵减的开放 的安全系统。构建零信任网络的核心组件和支撑组件都可以因地制宜,但身份验证是所有零信任实践的基础。 访问策略决策点前置,其安全能力和信任策略的可用性、有效性、可靠性将会成为新挑战。 基于云的零信任访问方案可以快速构建企业安全能力,帮助企业降低安全部署成本。 零信任技术可以将安全延伸到端,将成为未来端、边、管、云融合协同应用中端到端连接的新安全赛道。 目前用户认为零信任还没有技术/行业标准支撑,没有标准化的信任基线和通用的访问控制模型,企 业规划没有可衡量的尺度,是零信任体系建设的主要挑战。另外,安全产品缺少开放标准,不同厂家的产品之 间没有开放接口和互联互通,尽管市场上产品非常丰富,但多是各自孤立的系统,难与零信任核心组件有机融合。 部分用户认为零信任体系建设周期长、开发成本高,零信任投产上线后防御能力的增强和引入的风险 不清晰,其效益无法量化评估,建设是否能得到公司领导层的有力支持是个挑战。 最后,零信任架构技术复合度高,安全运维的复杂度也是用户担心的主要问题之一。 21-03-LXR-ZY
    目 录 ■ 第一章 零信任 (Zero Trust ) 简介 ............................................. 1 1.1 基本概念 ............................................................................................................... 1 1.2 驱动因素 ............................................................................................................... 2 1.3 发展历程 ............................................................................................................... 3 1.4 市场调研分析 ......................................................................................................... 4 1.5 技术成熟度 ............................................................................................................ 8 1.6 标准化现状 ............................................................................................................ 9 1.7 总结 ..................................................................................................................... 9 ■ 第二章 核心能力和技术实现 .................................................... 10 2.1 零信任架构 ............................................................................................................ 10 2.2 技术实现 ............................................................................................................... 11 2.3 能力模型 ............................................................................................................... 16 2.4 总结 ..................................................................................................................... 16 ■ 第三章 典型应用场景 ............................................................. 17 3.1 云计算应用 ............................................................................................................ 17 3.2 远程办公应用 ......................................................................................................... 18 3.3 远程会议 / 协同应用 ................................................................................................ 19 3.4 特权访问应用 ......................................................................................................... 20 ■ 第四章 企业零信任能力构建指南 .............................................. 22 4.1 企业零信任需求评估 ................................................................................................ 22 4.2 遵循的基本原则 ...................................................................................................... 22 21-03-LXR-ZY
    4.3 架构设计的建议 ...................................................................................................... 23 4.4 旧系统迁移的建议 ................................................................................................... 24 4.5 新系统的建设建议 ................................................................................................... 24 ■ 第五章 行业应用实践 .............................................................. 26 5.1 银行远程办公的零信任应用 ...................................................................................... 26 5.2 制造企业权限管控的零信任应用 ................................................................................ 28 5.3 流动数据管控的零信任应用 ...................................................................................... 30 ■ 第六章 建设的挑战 .................................................................. 32 6.1 政策环境 ............................................................................................................... 32 6.2 安全效益 ............................................................................................................... 32 6.3 系统融合 ............................................................................................................... 33 6.4 实施过程 ............................................................................................................... 33 6.5 运维管理 ............................................................................................................... 33 ■ 第七章 演进趋势和未来展望 ..................................................... 34 相关参考文献 .................................................................................................................... 35 ■ 附:行业代表性零信任安全厂商 .................................................................... 36 A 奇安信科技集团 ....................................................................................................... 36 A.1 产品简介 ............................................................................................................... 36 A.2 系统架构 ............................................................................................................... 36 A.3 系统特色 ............................................................................................................... 36 A.4 方案价值 ............................................................................................................... 38 A.5 典型组网框图 ......................................................................................................... 38 A.6 综合能力说明 ......................................................................................................... 39 21-03-LXR-ZY
    B 深信服科技有限公司 .................................................................................................. 39 B.1 产品简介 ............................................................................................................... 39 B.2 系统架构 ............................................................................................................... 39 B.3 系统特色 ............................................................................................................... 40 B.4 典型组网框图......................................................................................................... 41 B.5 综合能力说明......................................................................................................... 42 C 新华三集团 ................................................................................................................ 42 C.1 产品简介 ............................................................................................................... 42 C.2 系统架构 ............................................................................................................... 42 C.3 平台特色 ............................................................................................................... 43 C.4 典型组网框图 ......................................................................................................... 43 C.5 综合能力说明 ......................................................................................................... 43 D 深圳竹云科技有限公司 .............................................................................................. 44 D.1 产品简介 ............................................................................................................... 44 D.2 系统架构 ............................................................................................................... 44 D.3 平台特色 ............................................................................................................... 45 D.4 典型组网框图 ........................................................................................................ 46 D.5 综合能力说明 ........................................................................................................ 46 E 数篷科技(深圳)有限公司 ....................................................................................... 47 E.1 产品简介 ............................................................................................................... 47 E.2 系统架构 ............................................................................................................... 47 E.3 系统特色 ............................................................................................................... 48 E.4 典型组网框图 ......................................................................................................... 49 E.5 综合能力说明 ......................................................................................................... 49 F 中兴通讯股份有限公司 .............................................................................................. 50 F.1 产品简介 ............................................................................................................... 50 F.2 系统架构 ............................................................................................................... 51 F.3 系统特色 ............................................................................................................. 51 F.4 综合能力说明 ......................................................................................................... 52 21-03-LXR-ZY
    ■ 零信任 (Zero Trust ) 简介 1.1 基本概念 Forrester是最早提出零信任(Zero Trust, ZT)概念的组织。其定义是:零信任是专注于数据保护的网络安全范式。 面对边界安全的局限性,它提供了一组相对折衷的安全思想:在信息系统和服务中对每个访问请求执行精确的且最小 的访问权限,来最小化数据访问风险的不确定性。默认不授予任何访问信任,而是基于对访问程序的不断评估动态授 予执行任务所需的最小特权,从而将资源限制为那些仅需要访问的资源。 来源:NIST 800-207 Zero Trust Architecture NIST定义了零信任架构(Zero Trust Architecture, ZTA)。认为零信任架构是基于零信任原则建立的企业 网络安全架构,包含了组件、流程和访问策略。旨在防止数据泄露和限制内部横向移动,是企业实现数据端到 端安全访问的方法。 内容来源:NIST 800-207 Zero Trust Architecture Gartner进一步发布了零信任网络访问(Zero Trust Network Access,ZTNA)建设指南。将零信任网络 访问定义为是一种围绕应用程序或一组应用程序创建基于身份和上下文的逻辑访问边界的产品或服务。在零信 任的网络访问中应用程序是隐藏的,不会被发现,并且通过信任代理对访问的客户资源进行限制。代理在允许 访问或禁止网络中其他位置的横向移动之前,验证指定参与者的身份、上下文和策略的遵从性。这在公网可见 性中隐藏应用程序资产,可显著减少攻击面。 在2020年的ZTNA的市场指南中,增加了用于应用程序访问的传统VPN技术,消除了以往允许员工和合作伙伴连 接和协作所需要的过度信任。建议安全和风险管理的高级管理层使用ZTNA快速扩大远程访问,或作为安全访问服务边 缘(Secure Access Service Edge, SASE)战略的一部分。 内容来源:2020 Gartner Market Guide for Zero Trust Network Access 综上,网络安全范畴里的“信任”等于“权限”,零信任的实质是通过在网络中消除未经验证的隐含信任 构建安全的业务访问环境。“从不信任,始终验证”是零信任的核心思想,权限最小化是基本原则,在不可信 网络中构建安全系统是零信任的终极目标。 图1 零信任概念演进 1 21-03-LXR-ZY
    1.2 驱动因素 在国家“新基建”政策的推动下,云计算、大数据、物联网、移动通信等新兴技术快速发展,互联网应用 场景变多。千人千面的业务需求下,海量的人、设备、应用接入了互联网,用户类型、设备种类、应用端点越 来越多。设备管理难度增加,访问关系变得极度复杂,各种身份的人、各种类型的设备、应用程序在不同环境 下错综复杂的糅合在了一起。 云计算颠覆了传统的边界防御架构。互联网技术发展使基于数据中心、云服务的数据共享成为企业战略新 的业务范式,开放的应用和数据部署在本地及多云计算中心的虚拟机上,不再全部运行在企业自己的硬件设施 上。用户访问云计算中心开放的IaaS,PaaS或SaaS服务,业务数据从云延伸到端,使得边界难以划分,边 界防御实施越来越难。因此每一个应用和数据的安全访问成为了企业关注的重点。 图2边界防护安全模型 数字化转型使业务的暴露面越来越大。数字化转型带来的是资源开放和共享,越来越多的企业应用部署到 云端,企业数据通过云服务共享,资产暴露面变大,受攻击维度也就越多。 外部严峻的网络威胁态势。随着业务数据含金量提高,黑客不再满足低效的网络层的流量劫持和DDOS 攻击,转而采用效力和隐蔽性更强,针对特定对象、长期、有计划、有组织的定向攻击方式。2018年以来全 球APT攻击持续高发,勒索事件高居不下,大量的APT攻击利用电子邮件进入员工主机投毒、安装恶意代码、 注入木马,通过反连、控制、加密等手段使该主机失陷。其攻击能力已超越了传统网络安全的防御能力,黑客 可以很容易绕过网络访问策略进一步攻击应用程序基础结构。 基于位置进行内网访问不再可信。访客、供应商、合作伙伴甚至企业自己的员工携带BYOD设备访问企业 网络以完成必要的任务,使企业内网的风险持续升高。如,众所周知的棱镜门事件,2018年的特斯拉生产系 统机密数据泄露事件,2020年的Twitter账号劫持事件,都有效说明“最坚固的堡垒总是从内部攻破的”,访 问位置不能说明访问可信。 企业内部,子网划分安全域的隔离方式不能满足细粒度业务访问的安全需求。利用网络策略漏洞渗透到内 网的恶意软件,通过对同网段的主机端口扫描在网内横向移动获取特权账号登陆凭证,提权后窃取敏感信息。 2 21-03-LXR-ZY
    分享到:
    收藏

    相关推荐

    资料库

    行业

    共收录7266份资料,累计15个分类,关注成员有19位,主要包括:物流,旅游,餐饮零售,网络游戏,咨询,金融,电子政务,外包,教育,制造,医疗,嵌入式,互联网,交通,电信

    热门标签

    物流 旅游 餐饮零售 网络游戏 咨询 金融 电子政务 外包 教育 制造 医疗 嵌入式 互联网 交通 电信

    最新资料