分享热点新闻
打造优质自媒体!

拒绝孤岛 把握零信任架构的四把钥匙

12月4日,主题为“数字合作、创新、安全、赋权基础设施”的2020云安全联盟CSA 大中华区大会在上海召开,奇安信身份安全事业部总经理张泽洲,在致辞中表示,推广零信任架构不是一朝一夕就能实现的,需要工程思维、妥善规划、分步建设,最终实现基于身份、细粒度的动态访问控制机制。

拒绝孤岛 把握零信任架构的四把钥匙 科学快报 第1张

图片:奇安信身份安全事业部总经理张泽洲,

在数字转型时代,数据中心也在向云化发展,云化数据中心具有数据价值集中、边界不断延伸、数据流不断的特点。另一方面,高价值数据必然充满诱惑,云化数据中心的安全威胁和网络攻击重点也随之发生变化,主要是利用弱密码和业务漏洞突破国界;使用网络级别的“默认信任”水平移动;利用缺乏资产访问控制的优势窃取数据,缺乏完善的资产访问控制措施。

面对上述问题,张泽洲认为有必要从业务和以资产为中心的安全角度重新审视安全架构。零信任是解决上述问题的一种思路、方法和框架。零信任的概念认为网络默认是不可信的,访问权限不能仅根据访问者是在内网还是外网来决定,而是基于从不信任和始终验证的原则,将安全措施从网络转移到特定的人员、设备和业务资产,将基于身份的逻辑边界叠加在边界安全上,本质上是一种基于身份的细粒度动态访问控制机制。

具体来说,零信任需要四个关键能力。

首先,以身份为基石:建立并持续维护身份和权限基础数据的秩序非常重要,这是准确访问控制的准则;

其次,动态访问控制:应该基于访问路径,充分利用端到端上下文属性作为访问决策的因素。需要注意的是,不仅要考虑人员的属性,还要考虑设备、网络、环境的属性。访问策略依赖的属性越多,访问策略就越准确。

三、验证和持续评估:对人员和设备的强认证,并结合访问期间的各种数据进行持续评估;

最后,全场景业务安全访问:对于现代IT基础设施,有很多业务场景,包括应用访问、运维、接口调用、功能和数据访问等。并且需要在这些业务场景中设置访问控制点。

拒绝孤岛 把握零信任架构的四把钥匙 科学快报 第2张

图:零信任安全逻辑架构

作为奇安信,“十大工程五大任务”的第一项,奇安信新一代身份安全工程是在新的业务场景下构建零信任架构的工程框架。新一代网络安全框架从顶层视角出发,以系统工程方法论和“内生安全”理念,解构数字时代网络安全规划的“十大工程五大任务”,引导不同行业输出自己的网络安全架构,构建动态、全面的网络安全防御体系。新一代身份安全框架通过不同的网络安全执行点,将身份安全和零信任能力调用到数字环境的每个关键环节,最终实现端到端应用和数据的细粒度访问安全,支持客户安全架构的升级,帮助数字转型。

张泽洲强调,零信任作为一种安全架构,面临着流程、技术和管理等多方面的挑战。要结合企业现状,做好规划,分步打造,逐步推进零信任落地。在分步建设中一定要注意零信任建设的可持续性,避免一个场景零信任建设完成后,成为一个又一个的项目孤岛,安全能力不行,安全政策不统一,与零信任架构的诉求背道而驰,不符合零信任的价值实现。

作为零信任架构在中国的领先实践者,奇安信集团拥有专业实验室—— 奇安信身份安全实验室,专注于“零信任身份安全架构”的研究。致力于解决新一代,“企业物理边界正在瓦解,传统边界保护措施正在失效”的国内网络安全问题,并在奇安信推出了以“身份为基石、业务安全访问、持续信任评估和动态访问控制”为核心的零信任身份安全解决方案。

结合行业现状,团队投入巨资研究零信任安全架构和产品标准化,牵头制定首个国家标准《信息安全技术 零信任参考体系架构》,积极推动行业实施“零信任身份安全架构”。目前,奇安信零信任安全解决方案已在政府、部委、金融、能源等行业广泛实施,保护客户的大数据中心和核心业务资产,支持整体安全架构改革,得到市场和行业的高度认可。