赵广辉-零信任身份治理在企业中的应用实践分享（23页）.pdf

《赵广辉-零信任身份治理在企业中的应用实践分享（23页）.pdf》由会员分享，可在线阅读，更多相关《赵广辉-零信任身份治理在企业中的应用实践分享（23页）.pdf（23页珍藏版）》请在三个皮匠报告上搜索。

1、零信任身份治理企业应用实践分享派拉软件2021年5月14日目 录CONTENTS零信任身份治理规划路径零信任身份治理驱动因素零信任身份治理应用实践0102033 概念定义：零信任安全通过零信任架构（ZTA）的三大技术：“SIM”去解决S：SDP软件定义边界I：IAM身份和访问管理M：MSG微隔离42017年6月1日施行 是为了保障网络安全，维护网络空间主权和国家安全、社会公共利益，保护公民、法人和其他组织的合法权益，促进经济社会信息化健康发展，制定的法律网络安全法2019年12月1日实施等保2.0注重全方位主动防御、动态防御、整体防控和精准防护，除了基本要求外，还增加了对云计算、移动互联、物联

2、网、工业控制和大数据等对象全覆盖。等保2.02020年1月1日实施 中华人民共和国密码法旨在规范密码应用和管理，促进密码事业发展，保障网络与信息安全，提升密码管理科学化、规范化、法治化水平，是我国密码领域的综合性、基础性法律。密码法2018年5月25日实施一般数据保护条例(GDPR)是欧盟公民数据处理制定了一套统一的法律和更严格的规定，主要用于保护个人隐私权和促进此权利的行使，其中设定了严格的全球隐私要求，旨在监管个人数据的管理和保护方式，同时尊重个人选择。GDPR外在因素：政策扶持与法规要求5内在驱动：风险控制与治理要求1威胁面越来越大，防不胜防 程序漏洞 恶意程序 勒索病毒：WannaCr

3、y、Petya、Bad Rabbit3终端种类越来越多，难于有效管理 PC终端 移动终端 物联网终端 工控互联网终端5传统安全防御体系无法适应5G、云计算、物联网发展，技术滞后2威胁攻击种类越来越多，疲于应付 单机威胁：感染式病毒、二进制攻击 网络病毒与黑产：木马、蠕虫 流氓软件与灰产：间谍软件、广告软件 流量攻击与敲诈：DDos、肉鸡 黑客攻击：黑洞门、SRC 高级威胁与勒索：黑客与病毒混合、漏洞与社会工程学4安全防御体系错综复杂，需要联动协作 OSI安全体系:分层结构防护 P2DR:闭环动态模型 IATF:分开部署安全保障机制 IEC62443:纵深防御安全防护策略 NSA CGSV2:安

4、全保护与监测能力整合 NIST CSF:自身需求加强防御6零信任授权中心（ABAC）身份治理中心Zero Trust可信安全识别集成服务身份隔离身份治理身份映射密码策略周期管理安全策略流程配置特权身份单点登录风险感知终端识别识别策略风险模型多因素认证访问AI因子身份管控API可信认证API访问控制API资源接入身份鉴别More Security访问动态授权动态授权访问加密全维度安全审计管理审计行为审计风险审计审计报表访问控制服务器特权身份IOT设备物联网身份生态上下游API身份用户内外用户身份API 安全网关东西网络微分段南北流量零信任无密码认证细粒度授权实时监控流程配置API功能组件身份管理

5、（IAM）智能认证（MFA)行为分析（UEBA)日志分析（PLA)运维安全（OSC）可信终端零信任身份治理生态目 录CONTENTS零信任身份治理规划路径零信任身份治理驱动因素零信任身份治理应用实践0102038SDP客户端SDP客户端SDP客户端SDP控制器网关SPA+UDPSPA+UDPSPA+UDPIAM身份管理与认证平台TCP+mTLSTCP+mTLSTCP+mTLS细粒度授权PKI证书风险引擎行为分析多因素融合身份管理认证管理合规审计SIEM系统IDS/IPSWAFNACNGFW(下一代防火墙）EAM资产管理办公应用主机数据库文件设备网络核心应用SaaS应用SDP AHSDP AHS

6、DP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AH微隔离身份信息身份识别安全状态流量监测流量过滤设备验证设备信息认证授权风险监测端口权限打印机扫描仪终端终端终端终端802.1X路由器/服务器SDP AH端口权限内网互联网远程连接安全沙箱策略管理策略执行安全连接SDP平台零信任身份治理技术规划网关9零信任身份治理实施路径正式员工临时用户公共用户内部用户互联网用户建设身份管理，包括统一身份存储、统一用户管理、统一身份供给、统一身份访问管理试点应用系统接入，实现统一认证与单点登录；针对平台提供一套