2019年新IT环境下的零信任体系最佳实践.pdf

《2019年新IT环境下的零信任体系最佳实践.pdf》由会员分享，可在线阅读，更多相关《2019年新IT环境下的零信任体系最佳实践.pdf（19页珍藏版）》请在三个皮匠报告上搜索。

1、新IT架构 零信任安全云计算和大数据时代网络安全边界逐渐瓦解物理边界移动办公合作伙伴云IoT/OT物理边界网络安全边界瓦解 用户多样化、设备多样化、业务多样化、平台多样化 数据在用户、设备、业务、平台之间持续流动数数字字化化转转型型推推动动ITIT技技术术环环境境的的快快速速进进化化！内外部威胁愈演愈烈，数据泄露触目惊心物理边界安全事件层出不穷数据泄露触目惊心外部威胁内部威胁边界安全思维为内网预设过度信任信任是安全最大的漏洞安安全全思思维维和和安安全全架架构构需需要要进进化化！零信任架构：在不可信的网络环境下重建信任 应该假设网络始终存在外部威胁和内部威胁，仅仅通过网络位置来评估信任是不够的。

2、默认情况下不应该信任网络内部或外部的任何人/设备/系统，而是基于认证和授权重构业务访问控制的信任基础。每个设备、用户的业务访问都应该被认证、授权和加密。访问控制策略和信任应该是动态的，基于设备、用户和环境的多源环境数据计算出来。零信任架构技术本质是构建以身份为基石的业务动态可信访问控制机制！零信任架构的业界实践约翰.金德维格率先提出零信任BeyondCorp项目完成，在超大型网络中率先实现零信任。业界众多厂商大力跟进完善2009201020112017NOWGoogle BeyondCorp是在构建零信任网络6年经验的基础上打造的新一代企业安全架构。通过将访问权限控制措施从网络边界转移到具体的

3、设备、用户和应用，让员工可以更安全地在任何地点工作，而不必借助于传统的VPN。零信任架构的理念演进范围的扩展：网络 用户、设备、工作负载能力的扩展：微隔离 可视、分析、自动化、编排GARTNER:CARTAGARTNER:CARTAFORRESTER:ZTXFORRESTER:ZTX零信任架构正在成为安全大战略零信任安全的概念：零信任是一种网络安全策略，它将安全嵌入到整个体系结构中，以阻止数据泄露。零信任安全的优势：这种以数据为中心的安全模型，消除了受信任或不受信任的网络、设备、角色或进程的概念，并转变为基于多属性的信任级别，使身份验证和授权策略在最小特权访问概念下得以实现。实现零信任，需要重

4、新思考我们如何利用现有的基础设施，以更简单、更高效的方式设计安全性，同时实现不受阻碍的操作。除了总体上保护架构的优势外，还有其他跨功能的好处。美国国防部数字现代化战略2019年7月12日奇安信对零信任的解读 以身份为基石 为人和设备赋予数字身份 为数字身份构建访问主体 为访问主体设定最小权限 业务安全访问 全场景业务隐藏 全流量加密代理 全业务强制授权 持续信任评估 基于身份的信任评估 基于环境的风险判定 基于行为的异常发现 动态访问控制 基于属性的访问控制基线 基于信任等级的分级访问 基于风险感知的动态权限安全能力内嵌入业务体系，构建自适应内生安全机制。以身份为基石为人和设备赋予数字身份为数

5、字身份构建访问主体为访问主体设定最小权限业务访问主体完整不可分割人设备应用程序访访问问主主体体主主体体环环境境 业务安全访问业务资产TLSTLSTLS外部平台数据交换用户终端业务访问物联设备边缘接入可信代理全场景业务隐藏全流量加密代理全业务强制授权 持续信任评估数字信任身份的数字信任基于身份的信任评估基于环境的风险判定主主体体信信任任用户身份属性凭证安全属性用户为分析设备身份属性终端安全状态系统为分析认证强度访问时间地理位置终端风险络风险威胁情报主体信任程度客体安全等级基于行为的异常发现 动态访问控制基于信任等级的分级访问当当主主体体信信任任等等级级于于客客体体安安全全等等级级时时，访访问问权

6、权限限才才真真正正授授予予人设备应用环境信任评估因安全等级风险感知环境威胁价值环境信任等级主体环境安全等级客体基于风险感知的动态权限提提升升信信任任|缓缓解解风风险险|拒拒绝绝访访问问基于属性的访问控制基线奇安信零信任身份安全参考架构TLSTLSTLS外部平台接调用用户终端业务访问物联设备边缘接可信API代理数据区可信应用代理零信任动态可信访问控制区用户区可信访问控制台智能可信身份平台智能身份分析系统终端感知网络感知信信任任评评估估身身份份权权限限动动态态授授权权访访问问代代理理感知认证零信任架构和业务需求聚合，逐