以一體化零信任方案構建新信任體系

文章來源：安全牛

隨著數字新時代的到來，云計算、大數據、移動互聯網等新興技術大量被應用，傳統(tǒng)的網絡安全架構已經不適應數字新時代的發(fā)展要求，基于傳統(tǒng)物理邊界的安全防護模式也在新技術的應用潮流下面臨更多挑戰(zhàn)。在此背景下，零信任架構安全理念順勢而生，用以解決傳統(tǒng)邊界安全防護方式無法解決的新風險。

為了滿足企業(yè)用戶在新形勢下的安全防護需求，派拉軟件研發(fā)推出一體化的零信任產品體系，從以身份為中心的動態(tài)訪問控制，逐步延伸到聯動終端管理、SDP、API網關、用戶行為分析等端到端安全能力全面覆蓋的零信任安全解決方案，為企業(yè)數字化轉型穩(wěn)定發(fā)展構建新信任體系。

零信任、軟件定義邊界、網絡準入、身份訪問與管理

（1）遠程辦公訪問風險

現有VPN等接入技術僅提供網絡級驗證，無法對用戶的訪問行為進行分析和監(jiān)控，一旦登錄就可以自由地在內網和本地之間進行重要數據和內部文件傳輸，在用戶賬號泄露或被仿冒情況下極易被黑客非法利用獲取重要數據。

（2）身份和訪問管理難以統(tǒng)一

隨著業(yè)務發(fā)展，企事業(yè)單位的系統(tǒng)與用戶數逐漸增多，每個系統(tǒng)都有一套相對獨立的賬號體系，集團的訪問控制無法通過身份進行統(tǒng)一用戶、統(tǒng)一認證、統(tǒng)一授權和集中審計。

（3）業(yè)務暴露面不斷擴大

越來越多的企事業(yè)單位選擇在互聯網側為客戶和員工提供服務，同時也把更多的信息技術資產（IP、端口等）暴露在了黑客的可視范圍之內，黑客可以通過資產暴露面發(fā)現脆弱點對企業(yè)進行惡意攻擊。

（4）內部威脅難以防御

很多企事業(yè)單位默認內部網絡安全可信而忽略了內網的用戶威脅，相對企業(yè)的邊界防護內網的安全建設相對較少，但往往一旦發(fā)生內網安全事件就會造成非常大的影響。

（5）傳統(tǒng)邊界防御模式失效

數據中心或信息系統(tǒng)遷移上云后企業(yè)的網絡邊界逐漸模糊，以數據中心內部和外部簡單劃分的安全邊界已不能滿足對企業(yè)資產的防護需求，企業(yè)面臨更多信任危機。

（6）特權賬號管理問題突出

云環(huán)境和遠程運維場景的增加，企事業(yè)單位內部經常會出現一個特權賬號多人使用的情況，賬號一旦泄露或被員工誤操作，就為數據的泄漏、勒索病毒的侵入埋下了安全隱患，且訪問過程外部無法干預，事件風險難以追溯。

派拉一體化零信任體系由身份認證管理中心IAM、零信任客戶端、零信任SDP控制器、零信任可信網關、MSG微隔離和其他細粒度訪問控制網關等組成，可以實現端到端的訪問資源全生命周期的安全交互保障。

■  方案通過身份認證管理系統(tǒng)IAM構建了“持續(xù)評估 動態(tài)授權”為目標的風險控制中心，對訪問主體和訪問行為進行風險分析；

■  SDP控制器負責決策判斷，同時解決終端設備先認證后連接與邊緣服務的隱藏，免受網絡的探測和攻擊；

■  可信網關是建立加密隧道服務與動態(tài)授權的策略執(zhí)行點，負責執(zhí)行和持續(xù)監(jiān)測；

■  MSG微隔離以“最小授權”為原則，對業(yè)務或應用進行細粒度精細化權限控制，同時解決服務熔斷、負載均衡與訪問權限檢查，保障每次請求訪問網絡線路獨立，故障與威脅影響面最小化；

■  業(yè)務網關主要是結合業(yè)務對外提供的訪問控制服務與審計能力。

為使組件間能更系統(tǒng)化協(xié)同工作，方案中的身份認證中心IAM和微隔離兩個關鍵組件分別映射到對訪問主體的信任管理和訪問客體授權管理，并通過加強兩個組件間的信息交換使訪問主體在不同的環(huán)境下自動獲得與風險匹配的訪問權限。

通過建設派拉一體化零信任體系，可為企事業(yè)單位提供全面、專業(yè)、便捷的零信任安全保護，具體成效如下：

（1）實現端到端的安全訪問

派拉一體化零信任平臺實現從終端、用戶、到加密訪問通道、身份認證、云資源的授權訪問的端到端的安全訪問。零信任客戶端提供終端安全容器，訪問設備進行安全保護，提供安全加密鏈路對訪問進行加密，在訪問過程中，不僅對用戶進行身份認證，同時也對訪問設備進行認證。對應用服務進行訪問時，直接參與到應用授權環(huán)節(jié)，從而保證了從設備到業(yè)務全程的安全管理。

（2）實現統(tǒng)一的身份安全管理

派拉一體化零信任平臺的身份認證管理中心IAM在統(tǒng)一門戶和信息服務平臺的基礎上，提供統(tǒng)一的用戶管理、授權管理、審計管理和用戶認證體系，將組織信息、用戶信息統(tǒng)一存儲，進行集中授權、集中登錄和集中身份認證，規(guī)范應用系統(tǒng)的用戶認證方式，及時響應因用戶組織、崗位或狀態(tài)等因素變化所帶來的應用系統(tǒng)管理風險，從而提高應用系統(tǒng)的安全性和用戶使用的方便性，實現企事業(yè)單位全部應用的單點登錄、訪問審計、用戶權限統(tǒng)計，實現真正意義上的集中化管理，能夠滿足企事業(yè)單位內部和外部審計，以及行業(yè)和政府監(jiān)管的要求，符合客戶當前和未來的業(yè)務要求和政策法規(guī)的要求。

（3）縮小信息資產暴露面

零信任一個重要理念就是先認證后連接，采用網絡隱身技術隱藏要訪問的資產，必須通過認證才能發(fā)起訪問連接通信。用戶身份驗證通過，發(fā)起正常的資源應用訪問請求，平臺通過SPA發(fā)送一個加密單數據包至網關，網關接收到單數據包并進行驗證，驗證通過，打開端口，建立與客戶端的連接。驗證失敗，則直接丟棄數據包，客戶端不會收到任何回應。

派拉一體化零信任平臺的SDP組件以此方式實現服務端IP和端口的隱藏，使客戶端無法直接查看應用，更不讓其對資源進行更高權限的操作，從而達到保護信息技術資產的效果。

（4）通過用戶行為分析監(jiān)測內網威脅

派拉一體化零信任平臺的UEBA用戶行為分析模塊通過廣泛的數據收集，使用機器學習(ML)、人工智能(AI) 技術，檢測用戶行為的細微變化，配合專家知識庫，發(fā)現內部人員潛在的威脅行為，能夠有效防止橫向攻擊、員工違規(guī)操作、賬號盜用等內部安全問題，同時能為安全事件調查提供。依據UEBA更具洞察力，通過對大數據和機器學習引擎的應用，能夠以極高的準確率命中異常事件，在威脅發(fā)現速度和準確率方面遠快于傳統(tǒng)的安全信息和事件管理(SIEM)系統(tǒng)。

（5）重新定義可信的訪問邊界

派拉一體化零信任平臺不再以傳統(tǒng)的內外網區(qū)分邊界，默認內網也不安全，所有的訪問都需要經過嚴格的多因素認證和動態(tài)授權，并且在建立信任之前不進行任何數據傳輸操作。此外還應通過分析、篩選和日志記錄等措施來驗證所有行為的正確性，并持續(xù)觀察是否存在代表威脅的信號。

（6）動態(tài)授權認證防止數據泄露

派拉一體化零信任平臺通過權限模型可管控到應用系統(tǒng)賬號的精細化權限，如：菜單、API等。為了持續(xù)監(jiān)控用戶操作，平臺在授權管理上增加了更細粒度的動態(tài)安全管控。平臺給用戶和被訪問資源之間搭建一條動態(tài)細粒度“訪問通道”。通道建立的訪問規(guī)則為：只面向被認證、被授權的用戶和服務開放，密鑰和策略也是動態(tài)生成單次使用。這種“臨時并單一”的訪問控制方式，將私有資源對非法用戶完全屏蔽，可顯著減少非法數據獲取和泄露事件的發(fā)生。

（7）特權訪問管理排除內部隱患

派拉一體化零信任平臺的特權訪問管理模塊通過對特權賬號訪問進行生命周期管理，定期自動更新改密，對權限進行分級管理并對高危操作進行二次認證，從訪問開始到訪問結束的整個過程可進行可視化記錄和追溯，并提供特權賬號訪問全行為審計管理，從嚴防范“內鬼”破壞事件發(fā)生。

■  通過派拉一體化零信任平臺構建客戶零信任身份治理體系，可以有效減少因身份管理不規(guī)范帶來的信息安全風險、隱私風險以及經營風險；

■  保障客戶的網絡安全建設符合國家相關法律法規(guī)的要求，實現用戶及應用系統(tǒng)的統(tǒng)一身份管控，提升了企業(yè)組織的IT治理水平；

■  有效解決企事業(yè)單位遠程辦公、系統(tǒng)遷移上云等場景的信任危機；

■  提供一套完整的持續(xù)的用戶管理規(guī)范及運營規(guī)范體系，提升信息化平臺建設質量及增效降本。