【深信服 杨志刚】从局部到全局深信服内部全面零信任实践.pdf

《【深信服 杨志刚】从局部到全局深信服内部全面零信任实践.pdf》由会员分享，可在线阅读，更多相关《【深信服 杨志刚】从局部到全局深信服内部全面零信任实践.pdf（17页珍藏版）》请在三个皮匠报告上搜索。

1、从局部到全局，深信服内部全面零信任实践演讲人：杨志刚 深信服科技 0102建设背景痛点和根源零信任项目背景平滑切入 减少依赖横向扩展 确保可用纵向增强 联动能力持续运营 迭代循环零信任落地实践CONTENTSCONTENTS目录建设背景业务发展中的分区分域建设 用户访问资源用户资源外网内网用户在内外网访问资源用户资源外网内网外网用户内网分成办公区和服务器区用户资源外网内网办公区外网用户服务器区进步分成不同安全级别的区域人员按职责分别访问不同区域一般用户介绍资源办公应用外网外网用户一般服务器区1一般办公区3一般人员研发人员代码开发区2核心服务器区0资源代码区研发用户角色研发人员内网ACL腐化业务

2、持续变化，且业务连通关系不能清晰的映射到ACL。人员离职迭代，且IT人员不能全面的理解业务。加之技术上ACL的管理对象为端口、IP、网段，且网中有网、多层映射，导致ACL的管理对象缺乏业务含义。以上导致ACL条目只增不减、颗粒过大，久而久之策略腐化、千疮百孔。深层根源为IT技术手段已经无法满足快速变化的大规模资产边界管理要求，外有业务压力、内无人力投入，被迫采用粗放式的方式管理ACL。内网外网一般用户角色资源-办公应用研发用户角色资源-代码库一般人员研发人员研发人员资源-补丁包资源-测试服务资源-漏洞管理资源-客户问题管理资源-Bug管理资源-客户需求管理资源-其他和未知资源-其他和未知ACL

3、腐化技服规划运维安全安服研发市场技服规划安服技服规划研发市场技服规划安服ACL腐化ACL腐化ACL腐化互联网访问理想的分区分域面临的挑战l用户活动范围广泛l人员众多职责切换l入职离职太多权限lACL腐化混乱外网用户建设背景大内网信息化建设和数字化转型让边界变得更模糊、权限更混乱建设背景安全痛点和根源人机不能匹配：黑客、内鬼、病毒行为难以跟踪，无法关联行为难以审计：缺乏业务日志，违规行为缺乏威慑，无法关联权限回收过慢：缺乏自动化手段，难以及时清理过期帐号、过大权限边界难以管理：无拓扑、变化快，难以管理和收缩暴露面数据分布广泛：信息化水平不足，数字化转型驱动，数据快速扩散应用漏洞频出：缺乏SDL，

4、应用和组件漏洞持续出现资产信息混乱：对照不清，物理位置-MAC-IP-应用-数据-业务-人员东西隔离困难：业务逻辑复杂，资产信息混乱，无法下发隔离策略黑客手段隐蔽：APT、0Day、免杀，魔高一丈，防不胜防信息化和自动化支持人员管理岗位管理终端管理账号管理安全管理应用管理服务器管理网络管理机房管理数据管理业务过程是连续的，用户在持续变化且行为多样、资源在持续变化且漏洞难免，同时用户和资源之间，资源和资源之间的的访问关系都在持续变化，而区域边界是离散的、相对静态的。在少数固定的隔离边界上，以粗颗粒度的、相对静态的安全策略，识别多种多样的用户行为、防护层出不穷的技术漏洞、维护快速变化的访问关系，必

5、然会遇到问题规模和资源投入的矛盾，问题规模大而资源投入小，安全运营往往虚化，痛点很难缓解。数字化转型加剧了这种矛盾。零信任尝试以多种方式解决这些问题：以SDP灵活的动态边界替代少数固定的边界，并统一维护资源清单、同时大量屏蔽系统漏洞；以增强的IAM统一维护用户身份、持续检测用户环境、持续评估用户行为；由于统一了资源清单和用户身份，安全策略对象的种类得到简并，有可能减少问题规模、并细化安全策略。以微隔离控制资源之间的东西向访问，增强流量可见性、并持续回收过期资源访问关系，缓解横向攻击风险。落地实践5步落地零信任，手把手l第一步 深刻学习零信任方法论l第二步 认真研究零信任白皮书l第三步 积极开展

6、零信任讨论会l第四步 敢于设置零信任DEADLINEl第五步 就很简单了，落地。这一步很简单，就交给你来完成了外网用户在分区分域之上部署零信任 建设和运营目标落地实践0 平滑切入 减少依赖在分区分域之上部署零信任 最小化实施：l部署组件l对接身份l发布资源建设1.部署零信任最小组件集 控制中心/代理网关/身份中心2.通过LDAP等协议，接入企业人员管理系统3.发布了一个资源“OA报销系统”4.用户可在办公内网和互联网，无感知访问“OA报销系统运营（便利性提升/安全性增强）1.通过OATH2协议，对接OA报销系统和零信任系统2.在零信任系统上配置通配符证书，OA报销系统使用HTTPS3.启用零信

7、任安全策略，安装aTrust客户端后才能访问 OA报销系统通过最小化的零信任项目实施，我们已经达到以下安全效果l大部分人机得到匹配l访问报销系统的人员行为可全面留痕、检索l人员离职时自动关闭报销系统权限l定义了访问报销系统的唯一路径和系统边界l避免了报销系统直接暴露给用户，缓解了漏洞风险 本阶段安全效果和痛点缓解人机不能匹配行为难以审计权限回收过慢边界难以管理数据分布广泛应用漏洞频出资产信息混乱东西隔离困难黑客手段隐蔽落地实践0 平滑切入 减少依赖落地实践1 横向扩展 确保可用在分区分域之上部署零信任 横向扩展：l双机部署 横向扩展l发布更多业务系统建设1.双机部署零信任组件，提升可用性2.根

8、据应用服务器的机房和网络分布，分布式部署零信任代理3.发布更多应用系统，尽量使用高可用架构运营（便利性提升/安全性增强）1.在零信任系统上，统一启用双因素认证在内部发布的部分应用（脱敏）知识库系统补丁管理系统质量和满意度运营系统OKR系统销售管理系统订单管理系统 本阶段安全效果和痛点缓解落地实践1 横向扩展 确保可用通过零信任项目的横向扩展，我们已经达到以下安全效果l绝大部分人机得到匹配l访问多数系统的人员行为可全面留痕、检索l人员离职时自动关闭多数系统权限l定义了访问多数系统的唯一路径和系统边界l避免了大部分应用系统直接暴露给用户，缓解了漏洞风险l实现了大部分应用系统的双因素认证人机不能匹配

9、行为难以审计权限回收过慢边界难以管理数据分布广泛应用漏洞频出资产信息混乱东西隔离困难黑客手段隐蔽PDPPEPPEPPEPPEPMSS云脑落地实践2 纵向增强 联动能力 以零信任组件为挂载点，对接用户终端、网络边界、服务器端点上的安全能力，视其为扩展的PEP/PIP，实现多点的联动封锁和信息收集 以零信任组件为挂载点，对接SIP/FutureX运营中心，复用流量信息和多源日志，增大分析深度。视aTrust/SIP/FutureX为更广义的PDP 对接云端的MSS/云脑，获取专家能力和情报信息，联动处置事件，视其为PIP和更广义的PDP（便利性提升/安全性增强）0.启用终端安全策略建设运营在分区分

10、域之上部署零信任 纵向增强：l联动终端EDR、AF，实现多点联动封锁和信息收集l联动SIP/NGSOC，实现多源日志分析l联动MSS，补充专家能力和情报信息，联动处置通过零信任项目的横向扩展，我们已经持续完善以下安全效果1.绝大部分人机得到匹配2.访问多数系统的人员行为可全面留痕、检索3.人员离职时自动关闭多数系统权限4.定义了访问多数系统的唯一路径和系统边界5.避免了大部分应用系统直接暴露给用户，缓解了漏洞风险6.实现了大部分应用系统的双因素认证 本阶段安全效果和痛点缓解人机不能匹配行为难以审计权限回收过慢边界难以管理数据分布广泛应用漏洞频出资产信息混乱东西隔离困难黑客手段隐蔽落地实践2 纵

11、向增强 联动能力落地实践3 持续运营 迭代循环持续运营，从人工处置到SOAR：l安全是动态的，主要价值落地在运营阶段l运营工作量过大，大部分工作应通过SOAR落地运营（便利性提升/安全性增强）1.自动梳理资产清单，导入aTrust、AD、SIP、AF流量日志到NGSOC等，自动发现流量中的服务器资产信息2.(半)自动梳理资产访问关系，导入cwpp流量日志到NGSOC，结合SIP/AF的流量日志信息，自动发现高价值服务器的流量关系3.全面生成人员行为应用访问日志，使用NGSOC存储和分析aTrust业务访问体制，对所有发布的应用，免改造实现业务日志能力4.自动收缩暴露面，使用NGSOC中存储的a

12、Trust/AD流量日志，联动AD/AF自动封锁内网服务器到互联网的过期接口。按以下规则:a)aTrust中已发布的内网服务器IP和端口，在AD上自动封锁 b)AD中出现过的IP:Port对，3个月无访问流量则自动封锁。c)后续结合资产扫描发现工具，驱动规则b进一步发挥作用建设1.持续按需建设落地实践3 持续运营 迭代循环通过零信任项目的横向扩展，我们已经持续完善以下安全效果1.绝大部分人机得到匹配2.访问多数系统的人员行为可全面留痕、检索3.人员离职时自动关闭多数系统权限4.定义了访问多数系统的唯一路径和系统边界5.避免了大部分应用系统直接暴露给用户，缓解了漏洞风险6.实现了大部分应用系统的

13、双因素认证7.自动梳理资产清单8.自动梳理资产访问关系9.自动收缩暴露面 本阶段安全效果和痛点缓解人机不能匹配行为难以审计权限回收过慢边界难以管理应用漏洞频出黑客手段隐蔽数据分布广泛资产信息混乱东西隔离困难项目收益l极大地收缩了业务暴露面，对业务进行权限收缩，以白名单进行微隔离，极大地减少了业务遭受恶意攻击的概率；l针对内外部访问，通过零信任构建的动态访问策略，实现不同敏感度应用的不同安全控制，并通过业务访问时的增强认证等方式减少身份仿冒、钓鱼威胁。安全收益l仅边界ACL运维节省5倍以上的人力投入，原本需要5-6人才能完成的各区域边界ACL运维工作，当前仅投入1人即可集中在零信任平台完成，而且完全是基于用户身份的可视化权限，不仅释放了运维压力，也避免了过去因为ACL权限不可视导致的权限管理复杂、权限腐化等问题。l全渠道、全业务的一致性的免密办公体验；l内网业务接入时间缩短50%以上l远程接入效率提升100%，提高了业务人员的响应速度，客户问题响应提升30%；l为3000+合作伙伴提供了随时随地接入能力。运维收益业务收益