刘现磊-零信任实践：从远程办公开始（30页）.pdf

1、构建可控的互联世界如果疫情再爆发，我们可以做的更好构建可控的互联世界构建可控的互联世界联软与零信任网络访问联软与零信任网络访问2004网络访问控制（NAC）架构2004Jericho Forum去网络边界化，限制基于网络的隐式授权2010Forrester提出“Zero Trust”概念2014Google发布“BeyondCorp”2017OReily出版2019NIST SP 800-207 Draft2004中国最早的NAC厂商2012基于终端代理的进程级网络访问授权2011基于角色的场景化动态最小授权2013EMM可信接入代理人员、设备、应用分层独立授权2015无口令战略PC 移动智能

2、设备联动2017基于零信任架构的SDP产品2019UEM统一端点管理战略2020华为、安恒零信任生态SDP+UEM的软件定义访问战略美国国家标准与技术研究院发布SP800-207:Zero Trust Architecture草案第二版本。2020年：年：构建可控的互联世界构建可控的互联世界联软一直致力于推动零信任的发展联软一直致力于推动零信任的发展今年，CSA大中华区率先在国内推出零信任专家认证CZTP，CZTP是零信任领域首个面向个人的安全认证。官方授予联软：种子讲师种子讲师 一名，认证讲师认证讲师 两名。入选CCSIP 2020中国网络安全产业全景图标准的制定与赋能标准的制定与赋能大量客

3、户实践大量客户实践构建可控的互联世界构建可控的互联世界NIST NCCoE 实现零信任架构实现零信任架构草案版草案版（2020年年3月发布）月发布）NIST NCCoE 实现零信任架构实现零信任架构正式版正式版（2020年年10月发布）月发布）零信任最新变化：从理念走向落地零信任最新变化：从理念走向落地构建可控的互联世界构建可控的互联世界零信任主要落地方向与产品零信任主要落地方向与产品构建可控的互联世界SDP 与与 零信任零信任Gartner：ZTNA=SDPNIST：SDP作为ZTA推荐实现方案CSA：SDP是零信任的最高级实现方案构建可控的互联世界构建可控的互联世界技术层面 代理程序支持哪

4、些操作系统 是否支持SPA 是否集成UEM，对设备进行安全状态评估 是否集成UEM作为数据采集，集成UEBA进行上下文分析，进行持续信任评估以上来自Gartner 2020 ZTNA市场指南ROI层面 是否可以解决已存在的安全现实问题和发现未知的安全威胁？是否可以在未来一定时间范围为信息化系统的发展持续提供安全保障？是否可以顺畅对接现有安全投资，在此基础上还需要多大的持续安全投入？是否可以满足上级机构和国家对于信息化系统的安全检查要求？实施层面整体规划、分步建设、逐步验证 以终为始确定愿景 根据业务重要程度及风险影响进行优先级排序 优先在新场景中验证零信任架构增强 现有的NAC/EPP/AV/

5、EDR/SIEM/威胁情报等安全建设对零信任起到增强的作用 要充分考虑集成和融合以上来自中国信通院企业评估企业评估ZTNA（SDP）从哪些方面来考虑）从哪些方面来考虑构建可控的互联世界构建可控的互联世界联软联软SDP产品架构产品架构加密隧道加密隧道控制平面控制平面数据平面数据平面安全分析引擎安全分析引擎身份管理与身份管理与 访问控制访问控制信任评估引擎信任评估引擎UEM可信API代理个人个人/企业设备企业设备业务访问业务访问CRMOA邮件业务C业务B业务A私有云私有云公有云公有云数据中心数据中心外部应用外部应用接口调用接口调用个人计算环境多域安全沙箱本地磁盘多域安全沙箱可信接入代理UEBA威胁

6、情报威胁情报SIEMIAM态势感知态势感知 资产管理资产管理安全应用安全应用个人应用个人应用可信接入代理SPA1计算环境物理环境威胁环 境 感 知环 境 感 知全面身份化全面身份化基线行为持续信任评估持续信任评估基线应用设备人员234 数据安全组件 端点安全组件 安全分析组件 身份与访问管理组件构建可控的互联世界SPA SPA合法报文1非法终端非法终端SPA验证通过控制器开放TCP端口控制器不做回应安全分析引擎安全分析引擎身份管理与身份管理与访问控制访问控制信任评估引擎信任评估引擎UEM个人计算环境安全计算环境本地磁盘安全计算环境默认不相信任何连接，对核心资产进行隐藏：满足最小授权缓解对核心资