为了更好的零信任,我们做了次自我实践
随着新型信息技术不断迭代,万物互联时代已然到来。当下网络边界泛化模糊化、访问路径多样化带来诸多安全挑战,基于边界的传统安全防御模型已然无法满足许多用户的网络安全需求。“零信任”横空出世,打破默认的“信任”,以其“持续验证、永不信任”的理念,重新构建访问控制的信任基础,为广大用户提供最坚实的安全保障。
安恒信息AiTrust团队在广泛研究和实践的基础上,先后通过三个大版本的迭代和数十个项目,和用户达成项目投产规划上的三大共识:
1 实践场景从简入手,从低频转向高频,并重视用户内部沟通上的成本和挑战;
2 不急于迭代用户现网的VPN设备,要逐步替代或留有缓冲周期并发多通道;
3 定期维护终端信任评估策略,有条件的用户,可以考虑建设UBEA平台,做无监督学习训练,通过训练模型和算法,利用多源日志充分发掘潜在业务风险。
当前,我们已具备快速交付上线的零信任敏捷性方案。接下来,将通过三个真实场景的用户体验,在无边界化趋势的背景下还原零信任的落地以及其安全价值。
一
安恒信息内部零信任落地案例
行动是最好的证明,安恒信息以自己为样板,诠释零信任方案的落地。
需求
随着公司的发展,外办员工数量激增,办事处销售、办事处技术、合作伙伴、出差的产品组研发、服务商......他们在外访问公司内网时存在一定的安全风险。因此,需要将外部访问的人员通过角色进行细化,根据他们日常访问的应用系统和数据资源进行梳理和区分,设定不同的身份认证机制和安全防护策略,在远程访问、远程运维、远程开发场景下,提供敏捷高效安全可控的零信任方案。
行动
安恒信息内部案例零信任方案
通过上线安恒信息自研的零信任方案,我们对外提供了以零信任沟通的统一访问入口,通过终端安全技术,实现了账号、设备、行为一体化的信任评估能力,结合零信任的特点“先认证后连接”,保证了公司面向互联网的业务系统和数据资产安全隐身,并通过动态权限控制、数据保护策略保证了多样化终端远程接入后的安全保障能力。
二
CS城市商业银行案例
需求
基于用户在数字化转型中现状和安全需求,遵循零信任安全基本理念,逐步规划实施零信任。用户十分重视本次开发,要求无论全新建设或者迁移,都需要基于零信任进行整体安全架构设计和规划,并尽量减少对员工工作的影响。
行动
CS城市商业银行零信任方案
通过零信任第一阶段的落地,安恒信息AiTrust团队实现了对于移动办公接入终端较高的安全性以及国产化对接推进,并对接行内同步建设的IAM系统,达成了终端设备、用户账号、访问基线一体化动态安全策略的初步目标。
后续我们还将引入UEBA等人工智能分析技术,持续优化终端的安全画像,以减少行内业务系统和重要数据资产外泄的风险。
三
WZ大数据资源管理局案例
需求
用户要求在现有的访问体系下向新的安全访问控制体系进行迁移,在搭建好基础架构后,统一控制台的对应用系统开放单点登录及访问工具集成能力,优先对开发中的和新上线的业务系统进行单点登录对接,并将单点登录能力形成标准文档,作为后续政务外网应用开发、接入一体化智能化公共数据平台服务前的必选项之一。
行动
WZ大数据资源管理局的零信任方案
安恒信息AiTrust团队在一体化智能化公共数据平台侧采用分步骤的方式对接口的访问进行迁移。在项目实施前期阶段,并没有对公共数据平台上已有接口做强制的访问策略切换,而只针对新上线的接口,在公共数据平台上启用源IP白名单,只接收API安全代理转发来的请求。同时,由API安全代理兼容公共数据平台的认证能力,不再向新上线的应用提供公共数据平台自身的认证凭证,使其必须经API安全管控系统访问,完成遗留的通道切换后,再处理网络策略的连通性。在访问过程中,统一控制台收集API安全代理上报的日志,对API的访问频度、调用方分布、异常行为、API敏感数据进行分析和展示,根据分析结果、API重要程度逐渐进行白名单策略的切换。
安恒信息围绕以身份为基础、资源为核心的目标,通过持续信任评估、动态访问控制等手段,实现主客体(用户、终端、应用、服务、数据等)之间的访问安全,提升企业网络安全防护体系的主动性。方案自推出以来已服务政府、运营商、金融、商业企业等多个重点用户。
2022-04-12
2022-04-11
2022-04-08