107 郭亮-基于零信任体系下的SD-WAN实践（25页）.pdf

1、基于零信任体系下的SDWAN实践演讲嘉宾：郭亮040102203Part1零信任概述身边的零信任-COVID19以身份为中心健康码就是唯一持续验证14天轨迹动态授权码变色，权限变化远程办公成为常态，安全问题层出不穷网点员工远程访问外拓人员开展业务外包人员远程访问VPN使用体验差，自身漏洞多黑客进入VPN后可以任意攻击总部远程访问专线价格高终端中毒容易感染内网人员访问权限没有统一管理人员访问权限没有统一管理缺少审计，信息泄露后无法追溯手机、pad做业务，容易泄露数据人、机无统一认证管理分支网点出差外拓、外包专线过去以防火墙的IP来做ACL。未来要以IAM的身份来做边界。IP边界云服务移动办公IO

2、T设备身份边界伙伴数据IP边界万物互联时代，网络边界已经模糊零信任出现的原因-网络边界模糊，传统手段失效什么是零信任-从零开始建立信任安全假设网络始终充满威胁；内外部威胁无所不在；仅仅通过网络位置来评估信任是不够的。目标在不可信的网络中构建安全系统方法动态的基于身份的、细粒度的访问控制机制对所有设备、用户和网络流量进行身份认证、授权ZERO TRUST SECURITY观点1零信任建设无法一劳永逸，只有更好，没有最好；观点2零信任落脚点不仅仅是远程办公，零信任可以无所不在观点3零信任直接买不到，需要结合甲乙方共创Part2零信任体系零信任演进2020/2:美国国家标准与技术研究院NIST发布S

3、P800-207:Zero Trust Architecture 草案 第二版NIST定义的零信任组成IAMMSGSDPNever Trust,Always Verify增强的身份管理Enhance Identity Governance软件定义边界Software Defined Perimeter微隔离Micro-segmentation业界定义SIM是零信任的三件套零信任安全架构及组件以身份为核心的零信任架构大楼无特权网络不管位置都要用通过访问代理访问代理的单点登录强验证访问代理验证用户设备访问控制引擎持续给用户打分评级谷歌零信任体系以应用身份为核心的零信任架构应用发布出来，通过身份来控

4、制谁能访问。UEMIDP4ACESPG微软零信任体系SPGSPG信达网安以身份为核心构建零信任体系身份可信认证身份可信认证用户多因素身份认证持续身份认证设备可信认证设备可信认证设备初始化及注册终端安全检测及可信识别应用可信认证应用可信认证授权应用认证应用完整性校验访问评估引擎访问评估引擎设备环境设备环境用户信息用户信息动态行为评估引擎动态行为评估引擎访问行为基线评估访问行为基线评估场景分析评估引擎场景分析评估引擎场景模型信任评估场景模型信任评估AI自学习信任评估自学习信任评估应用应用应用应用应用应用动态风险评估信任等级计算持续的行为检测：身份、设备、行为、流量、日志等资产安全基线评估资产安全基

5、线评估时空信息时空信息业务健康状态系统安全状态访问客体信任等级访问主体信任等级基于泛身份化的可信核身访问控制，实践经验输出接入层终端移动终端控制层SSO API数据层接口服务/应用后置应用身份管理服务授权申请（ACL）业务策略和控制中心SDWAN-CPEDLP、UEBA应用授权API鉴权用户及API认证权限列表同步及订阅用户异常行为A.可信状态同步B.可信状态变更CPE网络准人认证身份信息服务UEM后台管理多因子认证UEM终端管理控制面数据面信达网安的零信任自身实践-SDWAN模型精细化授权用户访问权限，只能看到该看到的内网应用、API被安全代理到公网访问合规审计SDWAN-SOC控制层数据层

6、接入层用户越权下载机密文件：被拉黑，被通报终端中毒:终端杀毒，被拉黑终端IP变了:二次认证高强认证：指纹、人脸、OTP基于零信任体系架构解决远程办公问题分支网点出差SDWAN-CPESDWAN-SOCSDWAN-POP终端杀毒可信设备管理外拓、外包终端管理应用代理，可以在互联网上访问应用最小化授权不需要建立长连接，应用访问更稳定人员、终端统一认证，统一管理、统一授权动态风险控制安全数据可视威胁行为可追溯SDWAN-SOCSDWAN-POPSDWAN-CPESDWAN-VCPE免VPN，提高远程办公体验避免企业信息泄