竹云：基于零信任与现代IAM的数字化转型实践（35页）.pdf

《竹云：基于零信任与现代IAM的数字化转型实践（35页）.pdf》由会员分享，可在线阅读，更多相关《竹云：基于零信任与现代IAM的数字化转型实践（35页）.pdf（35页珍藏版）》请在三个皮匠报告上搜索。

1、基于零信任与现代IAM的数字化转型实践演讲人：竹云董事长 董宁01.数字化转型面临的挑战02.零信任与现代IAM构筑安全新底座03.实践案例CONTENTS目录“零”零信任到底什么是“零信任”零信任是一种技术框架，概念或体系结构的一种，也是访问控制的一种模型，基本理论可以理解为不信任何人和任何设备，因此需要以一种动态发展中的理念和机制，并结合多层次立体化的技术手段来持续适应和抵御由新技术应用和新环境变化带来的风险。零信任体系：在不可信的网络环境下重建信任需要智能融合认证允许访问限制访问阻止访问1.应该假设网络始终存在外部威胁和内部威胁，仅仅通过网络位置来评估信任是不够的。2.默认情况下不应该信

2、任网络内部或外部的任何人/设备/系统，而是基于认证和授权重构业务访问控制的信任基础。3.每个设备、用户的业务访问都应该被认证、授权和加密。4.访问控制策略和信任应该是动态的，基于设备、用户和环境的多源环境数据计算出来。核心思想：默认情况下不应该信任网络内部和外部的任何人/设备/系统，需要基于认证和授权重构访问控制的信任基础。本质诉求：以身份为中心进行访问控制，引导安全体系架构从网络中心化走向身份中心化整体逻辑架构零信任架构：NIST ZTA-美国国家标准技术研究院 参考架构策略引擎（Policy Engine,PE）：该组件负责最终决定是否授予指定访问主体对资源（访问客体）的访问权限。策略引擎

3、使用企业安全策略以及来自外部源（例如IP黑名单、威胁情报服务）的输入作为“信任算法”的输入，以决定授予或拒绝对该资源的访问。策略引擎（PE）与策略管理器（PA）组件配对使用。策略引擎做出（并记录）决策，策略管理器执行决策（批准或拒绝）。策略管理器（Policy Administrator,PA）：该组件负责建立客户端与资源之间的连接（是逻辑职责，而非物理连接）。它将生成客户端用于访问企业资源的任何身份验证令牌或凭证。它与策略引擎紧密相关，并依赖于其决定最终允许或拒绝连接。实现时可以将策略引擎和策略管理器作为单个服务；这里，它被划分为两个逻辑组件。PA在创建连接时与策略执行点（PEP）通信。这种

4、通信是通过控制平面完成的。持续诊断和缓解（CDM）系统：该系统收集关于企业系统当前状态的信息，并对配置和软件组件应用已有的更新。企业CDM系统向策略引擎提供关于发出访问请求的系统的信息，例如它是否正在运行适当的打过补丁的操作系统和应用程序，或者系统是否存在任何已知的漏洞。行业合规系统（Industry Compliance System）：该系统确保企业遵守其可能归入的任何监管制度（如FISMA、HIPAA、PCI-DSS等）。这包括企业为确保合规性而制定的所有策略规则。威胁情报源（Threat Intelligence Feed）：该系统提供外部来源的信息，帮助策略引擎做出访问决策。这些可以

5、是从多个外部源获取数据并提供关于新发现的攻击或漏洞的信息的多个服务。这还包括DNS黑名单、发现的恶意软件或策略引擎将要拒绝从企业系统访问的命令和控制（C&C）系统。数据访问策略（Data Access Policies）：这是一组由企业围绕着企业资源而创建的数据访问的属性、规则和策略。这组规则可以在策略引擎中编码，也可以由PE动态生成。这些策略是授予对资源的访问权限的起点，因为它们为企业中的参与者和应用程序提供了基本的访问特权。这些角色和访问规则应基于用户角色和组织的任务需求。企业公钥基础设施（PKI）：此系统负责生成由企业颁发给资源、参与者和应用程序的证书，并将其记录在案。这还包括全球CA生

6、态系统和联邦PKI3，它们可能与企业PKI集成，也可能未集成。身份管理系统（ID Management System）：该系统负责创建、存储和管理企业用户账户和身份记录。该系统包含必要的用户信息（如姓名、电子邮件地址、证书等）和其他企业特征，如角色、访问属性或分配的系统。该系统通常利用其他系统（如上面的PKI）来处理与用户账户相关联的工件。安全信息和事件管理（SIEM）系统：聚合系统日志、网络流量、资源授权和其他事件的企业系统，这些事件提供对企业信息系统安全态势的反馈。然后这些数据可被用于优化策略并警告可能对企业系统进行的主动攻击。策略执行点（Policy Enforcement Point,