【深信服 杨志刚】从局部到全局深信服内部全面零信任实践.pdf

1、从局部到全局，深信服内部全面零信任实践演讲人：杨志刚 深信服科技 0102建设背景痛点和根源零信任项目背景平滑切入 减少依赖横向扩展 确保可用纵向增强 联动能力持续运营 迭代循环零信任落地实践CONTENTSCONTENTS目录建设背景业务发展中的分区分域建设 用户访问资源用户资源外网内网用户在内外网访问资源用户资源外网内网外网用户内网分成办公区和服务器区用户资源外网内网办公区外网用户服务器区进步分成不同安全级别的区域人员按职责分别访问不同区域一般用户介绍资源办公应用外网外网用户一般服务器区1一般办公区3一般人员研发人员代码开发区2核心服务器区0资源代码区研发用户角色研发人员内网ACL腐化业务

2、持续变化，且业务连通关系不能清晰的映射到ACL。人员离职迭代，且IT人员不能全面的理解业务。加之技术上ACL的管理对象为端口、IP、网段，且网中有网、多层映射，导致ACL的管理对象缺乏业务含义。以上导致ACL条目只增不减、颗粒过大，久而久之策略腐化、千疮百孔。深层根源为IT技术手段已经无法满足快速变化的大规模资产边界管理要求，外有业务压力、内无人力投入，被迫采用粗放式的方式管理ACL。内网外网一般用户角色资源-办公应用研发用户角色资源-代码库一般人员研发人员研发人员资源-补丁包资源-测试服务资源-漏洞管理资源-客户问题管理资源-Bug管理资源-客户需求管理资源-其他和未知资源-其他和未知ACL

3、腐化技服规划运维安全安服研发市场技服规划安服技服规划研发市场技服规划安服ACL腐化ACL腐化ACL腐化互联网访问理想的分区分域面临的挑战l用户活动范围广泛l人员众多职责切换l入职离职太多权限lACL腐化混乱外网用户建设背景大内网信息化建设和数字化转型让边界变得更模糊、权限更混乱建设背景安全痛点和根源人机不能匹配：黑客、内鬼、病毒行为难以跟踪，无法关联行为难以审计：缺乏业务日志，违规行为缺乏威慑，无法关联权限回收过慢：缺乏自动化手段，难以及时清理过期帐号、过大权限边界难以管理：无拓扑、变化快，难以管理和收缩暴露面数据分布广泛：信息化水平不足，数字化转型驱动，数据快速扩散应用漏洞频出：缺乏SDL，

4、应用和组件漏洞持续出现资产信息混乱：对照不清，物理位置-MAC-IP-应用-数据-业务-人员东西隔离困难：业务逻辑复杂，资产信息混乱，无法下发隔离策略黑客手段隐蔽：APT、0Day、免杀，魔高一丈，防不胜防信息化和自动化支持人员管理岗位管理终端管理账号管理安全管理应用管理服务器管理网络管理机房管理数据管理业务过程是连续的，用户在持续变化且行为多样、资源在持续变化且漏洞难免，同时用户和资源之间，资源和资源之间的的访问关系都在持续变化，而区域边界是离散的、相对静态的。在少数固定的隔离边界上，以粗颗粒度的、相对静态的安全策略，识别多种多样的用户行为、防护层出不穷的技术漏洞、维护快速变化的访问关系，必

5、然会遇到问题规模和资源投入的矛盾，问题规模大而资源投入小，安全运营往往虚化，痛点很难缓解。数字化转型加剧了这种矛盾。零信任尝试以多种方式解决这些问题：以SDP灵活的动态边界替代少数固定的边界，并统一维护资源清单、同时大量屏蔽系统漏洞；以增强的IAM统一维护用户身份、持续检测用户环境、持续评估用户行为；由于统一了资源清单和用户身份，安全策略对象的种类得到简并，有可能减少问题规模、并细化安全策略。以微隔离控制资源之间的东西向访问，增强流量可见性、并持续回收过期资源访问关系，缓解横向攻击风险。落地实践5步落地零信任，手把手l第一步 深刻学习零信任方法论l第二步 认真研究零信任白皮书l第三步 积极开展

6、零信任讨论会l第四步 敢于设置零信任DEADLINEl第五步 就很简单了，落地。这一步很简单，就交给你来完成了外网用户在分区分域之上部署零信任 建设和运营目标落地实践0 平滑切入 减少依赖在分区分域之上部署零信任 最小化实施：l部署组件l对接身份l发布资源建设1.部署零信任最小组件集 控制中心/代理网关/身份中心2.通过LDAP等协议，接入企业人员管理系统3.发布了一个资源“OA报销系统”4.用户可在办公内网和互联网，无感知访问“OA报销系统运营（便利性提升/安全性增强）1.通过OATH2协议，对接OA报销系统和零信任系统2.在零信任系统上配置通配符证书，OA报销系统使用HTTPS3.启用零信