Top
首页 > 正文

奇安信专家:拒绝孤岛,把握零信任架构落地的四大关键

发布时间:2020-12-07 11:41        来源:        作者:

12月4日,主题为“数字合作创新 安全赋能基建”的2020云安全联盟CSA大中华区大会在上海开幕,奇安信身份安全事业部总经理张泽洲在大会演讲中表示,推动零信任架构的落地不能一蹴而就,需要以工程思维,妥善规划,分步建设,最终达成基于身份的、细粒度的动态访问控制机制。

image.png

图:奇安信身份安全事业部总经理张泽洲

数字化转型时代,数据中心也在向云化发展。云化数据中心具有数据价值集中、边界不断延伸、数据持续流动等特点;另一方面,高价值的数据必然充满诱惑,云化数据中心安全威胁和网络攻击的重点也相应的发生了变化,主要表现为利用弱密码、业务漏洞等手段突破边界;利用网络层面的“默认信任”进行横向移动;利用资产访问控制的缺失窃取数据,缺乏完善的针对资产的访问控制措施。

面对上述问题,张泽洲认为需要以资产为中心,从业务与安全两个视角重新审视安全架构。零信任正是解决上述问题的一种理念、方法和架构。零信任理念认为网络默认不可信,不能仅仅基于访问者在内网还是外网来决定访问权限,而是要基于从不信任、始终验证的原则,将安全措施从网络转移到具体的人员、设备和业务资产,在边界安全之上叠加基于身份的逻辑边界,其本质是基于身份的、细粒度的动态访问控制机制。

具体来说,零信任需要做好四个方面的关键能力。

首先,以身份为基石:构建并持续维持身份和权限基础数据的有序至关重要,这是精准访问控制的准绳;

其次,动态访问控制:应该基于访问路径,充分利用端到端的上下文属性作为访问决策的因素。其中需要注意的是,不仅仅需要考虑人员的属性,还要考虑设备的属性、网络的属性、环境的属性等等。访问策略所依赖的属性越多,访问策略越精准;

第三,验证并持续评估:对人员和设备进行强身份验证,并且在访问过程中结合各种数据进行持续评估;

最后,全场景业务安全访问:针对现代IT基础设施,业务场景很多,包括应用访问、运维、接口调用、功能和数据访问等等,需要在这些业务场景中设置访问控制点。

image.png

图:零信任安全逻辑架构

奇安信新一代身份安全工程作为奇安信“十大工程五大任务”之首,是零信任架构在新型业务场景落地建设的工程化框架。新一代网络安全框架从顶层视角出发,以系统工程的方法论结合“内生安全”理念,解构出面向数字化时代网络安全规划的“十大工程五大任务”,能指导不同行业输出符合其特点的网络安全架构,构建动态综合的网络安全防御体系。新一代身份安全框架将身份安全与零信任能力,通过不同的网络安全执行点调用到数字化环境的各个关键环节,最终实现端到端应用与数据的细粒度访问安全,支持客户的安全架构升级,助力数字化转型。

张泽洲强调,零信任作为一个安全架构进行落地,面临着流程、技术、管理等多个方面的挑战,必须结合企业现状,妥善规划,分步建设,逐步推进零信任的落地。分步构建一定要注意零信任建设的可持续性,要避免一个一个场景的零信任建设完成后,却变成一个一个的项目孤岛,安全能力打不通,安全策略没法统一,这和零信任架构的诉求是背道而驰的,不符合零信任的价值实现。

奇安信集团作为国内领先的零信任架构的践行者,拥有专注“零信任身份安全架构”研究的专业实验室——奇安信身份安全实验室,致力于解决国内“企业物理边界正在瓦解、传统边界防护措施正在失效”的新一代网络安全问题,并推出“以身份为基石、业务安全访问、持续信任评估、动态访问控制”为核心的奇安信零信任身份安全解决方案。

该团队结合行业现状,大力投入对零信任安全架构的研究和产品标准化,牵头发起了首个国家标准《信息安全技术 零信任参考体系架构》的制定工作,并积极推动“零信任身份安全架构”在业界的落地实践。目前,该奇安信零信任安全解决方案已经在在政府、部委、金融、能源等行业进行广泛落地实施,为客户的大数据中心、核心业务资产等进行保护,支撑整体安全架构的变革,得到市场、业界的高度认可。

每日必读

专题访谈

合作站点