【腾讯 田园】零信任可落地性思考.pdf

1、零信任可落地性思考演讲人：田园 单位名称 腾讯科技 01.零信任安全的发展和概念02.腾讯零信任安全实践03.内网零信任落地思考CONTENTSCONTENTS目录零信任加速发展成为安全部门领导者关注的安全新兴技术之一零信任架构一直在快速发展和成熟，不同版本的定义给予不同的维度进行描述，在零信任网络：在不可信网络中构建安全系统一书中，埃文吉尔曼（Evan Gilman）和道格巴斯（Doug Barth）将零信任的定义建立在如下五个基本假设之上：p网络无时无刻不处在危险的环境中。p网络中至始至终存在外部或内部威胁。p网络的位置不足以决定网络的可信程度。p所有的设备、用户和网络流量都应当经过认证和

2、授权。p安全策略必须是动态的，并基于尽可能多的数据计算出来零信任主要架构：NIST零信任和零信任架构的定义持续诊断和缓解（CDM）系统行业合规系统威胁情报源网络与系统行为日志数据访问策略企业公钥基础设施（PKI）身份管理系统安全信息与事件管理（SIEM）系统控制平面策略引擎（PE）策略管理器（PA）策略决策点（PDP）主体企业资源策略执行点（PEP）不可信可信零信任提供了一系列概念和思想，在假设网络环境已经被攻陷的前提下，其在执行下信息系统和服务中的访问请求时，降低其决策准确度的不确定性。零信任架构则是一种企业网络安全规划，它基于零信任理念，围绕其组件关系、工作流规划与访问策略构建而成。因此，

3、零信任企业是零信任架构规划的产物，是对企业网络基础设施（物理的和虚拟的）及运营策略的改造。零信任主要架构：Google的BeyondCorpBeyondCorp建立的目标：让每位谷歌员工都可以在不借助VPN的情况下通过不受信任的网络顺利开展工作。这意味着需要摈弃对企业特权网络(企业内网)的依赖并开创一种全新的安全访问模式。在这种全新的无特权内网访问模式下,访问只依赖于设备和用户身份凭证，而与用户所处的网络位置无关。BeyondCorp是中国做零信任网络安全的机构最为熟悉的边界安全模型，也是零信任在中国真正的起源。2011年Google开启代号为BeyondCorp的项目，在公司内部部署实施零信

4、任。2014年开始发表了一系列有关BeyondCorp落地的文章。2016年年腾讯在企业内部开始零信任网腾讯在企业内部开始零信任网络安全的实践和落地，并逐渐络安全的实践和落地，并逐渐扩展到整个集团扩展到整个集团2019年Gartner发表“Market Guide for Zero Trust Network Access”2010年Forrester的首席分析师 John Kindervag 提出 零信任（Zero Trust）的概念2013年云安全联盟CSA提出SDP软件定义边界概念，成为零信任的第一个技术解决方案2019年腾讯零信任安全或ITU-T国际标准立项，推动全球零信任标准化应用2

5、020年8月11日，美国NIST正式发布“零信任架构”标准（NIST SP800-207）1994年Jericho Forum探讨无边界化的网络安全架构与方案2020年腾讯联合零信任产业标准工作组发布零信任实战白皮书零信任概念的演进和实践01.零信任安全的发展和概念02.腾讯零信任安全实践03.内网零信任落地思考CONTENTSCONTENTS目录腾讯零信任建设背景及面临的挑战终端设备接入：总数10w+/天深圳北京成都上海广州各地办事处海外分公司桌面设备Windows 6w+，MacOS 8K+移动设备iphone 1w+，安卓 4k+*存在特殊安全需求，如并购、投资公司，临时合作公司职场，支

6、付业务部门，信息安全部门等。企业规模大终端基数大业务类型多操作系统多样职场分部多办公位置不确定协作厂商多互联网应用多接入意愿接入意愿运营精细化运营精细化场景覆盖深化场景覆盖深化接入改造接入改造接入意愿提升接入意愿提升建设思路从四个方面进行开展：“接入改造、场景覆盖深化、接入意愿优化、运营精细化接入改造、场景覆盖深化、接入意愿优化、运营精细化”身份统一建设，支撑场景关联分析 办公安全端&通道一体化 微隔离，内部东西向访问可视 byod安全抓手建设 api网关安全改造 威胁情报对接，soc协同分析与处置 UEBA，以正常的行为建立基线，识别风险场景 打通安全能力 实现半自动化安全运营 提高用户及安