以零信任理念和体系化思想,构建安全访问系统
本次发布的三份文件遵循了今年5月美国总统拜登签署发布的关于加强联邦政府网络安全的行政令,该项命令中明确涉及多种特定的安全方法与工具,包括多因素身份验证、加密与零信任等等。这三份文件的发布表明整个美国联邦政府已经正式开启零信任战略。
如今,世界各国和组织都在相继出台或完善涉及零信任在内的数据安全标准及法规,以抵御日益复杂的网络威胁。零信任已成为全球网络安全领域的共识。
“天盾”零信任产品遵循“永不信任,始终验证”的原则,旨在隔离一切不可信的访问身份,排除一切不合规的操作行为。以数据为中心,实现用户访问场景的全流程身份认证、持续信任评估、动态访问控制、实时风险处置、全面业务审计,变被动为主动、变静态为动态,对应用、功能、服务、数据等核心资产的访问行为进行精细化管控,形成了以保护数据资源为核心的网络安全范式。
“天盾”零信任产品是面向业务全流程的安全防护,在零信任传统理念的基础上重点关注以下几个方面:
在身份管理和身份认证方面,“天盾”的做法是由认证服务提供统一登录门户,业务应用都注册在门户上,隐藏了应用的实际IP和端口,所有的访问都是基于门户域名的访问,并采用SPA单包认证技术,可有效预防网络攻击。
另外,还可进行多因子以及生物特征认证,特别是当访问一些高敏应用时提供补充认证服务,例如采用人脸识别登录门户系统,在使用高敏应用时需要通过人脸+声纹认证,认证失败时则会再次弹出认证窗口进行补充认证。
图:认证服务流程
目前,常规的零信任模式一般采用动态授权,使用ABAC授权模式(基于属性的访问控制),例如可以根据用户的岗位、职级进行设置授予相应的客体资源。然而在实际的业务场景下,ABAC的访问控制粒度还不够细,例如运维用户只能在工作日24:00-次日06:00从运维区域访问某类数据。
针对以上模式的不足,“天盾”提供了更进一步的PBAC授权模式(基于策略的访问控制),在ABAC授权模式的基础上增加环境属性、操作属性,加上响应的访问规则,形成基于策略的访问控制。
图:PBAC授权模式
我们在零信任的动态授权上有两个方面的考虑:一个是根据环境属性变化(包括时间、位置、终端评分等)导致用户的权限发生变化,并采用最小授权原则。另一个是用户的实体属性变化导致权限发生变化,例如一个用户从职位A变动为职位B,他的权限会自动根据职位发生变化,以前职位B能访问的权限会自动授予给该用户,这些都可以通过PBAC授权模式得以实现。
同时,“天盾”产品以保护大数据安全为目的,通过数据资源网关提供的大数据服务,可提供字段级(数据表的列)的权限管控,并且可以根据数据的分类分级,对数据进行分级管控。
一般的零信任产品在设计上仅仅关注技术实现问题,缺少对业务安全的考虑。美亚网安“天盾”零信任产品在设计上充分考虑技术和业务问题,提供具有特色的业务审计功能。
在业务审计功能方面,除了基本的审计功能外,“天盾”提供基于风险的预警管理,根据某部委的业务场景梳理出20+种业务风险模型,并且基于这些业务风险模型,创建预警模型,也就是说可以为用户在事件还未达到风险发生的情况下做出预警,从而及时避免风险情况发生。
图:审计服务模型
图:风险发现和处置
对于美亚网安来说,零信任体现的是一种思想理念,其技术实现和应用不是固化的,要贴近用户业务和使用场景,因此产品和功能服务必须具有自适应能力,不断进化,以全流程、体系化的思想去解决安全访问等问题。在零信任访问控制的道路上,美亚网安也将持续对“天盾”产品进行迭代和优化,为国家的网络安全事业贡献力量。
北京美亚柏科网络安全科技有限公司(简称:美亚网安)是国投智能控股企业厦门市美亚柏科信息股份有限公司(股票简称:美亚柏科,股票代码:300188)的全资子公司,是美亚柏科集团网络空间安全、大数据智能化、网络开源情报和智能装备制造四大产品战略重要组成部分。以服务国家网络强国战略为已任,力争成为网络空间安全的领先者。
在新一代网络空间安全的建设浪潮下,利用大数据和零信任技术,依托“狼烟计划”从使用者角度构建“一中心两体系”为核心的大数据安全产品;依托“长城计划”从监管者角度打造网络安全大数据产品。
美亚网安致力于网络安全、数据安全、内容安全等技术方向的研究,通过网络安全生态的建设,构建有竞争力的产品和解决方案,实现云计算、大数据、物联网、工业控制、移动互联五大领域的全覆盖。通过咨询规划、系统集成、平台产品、安全服务、教育培训等,全面支撑政府机关、监管单位、事业单位、大型企业等客户的网络安全建设与运营。
作者:美亚网安
编辑:赖越菲
校对:李银河 刘晓慧
——— 近期热文 ———热文
最高级别!美亚柏科顺利通过CMMI V2.0 ML5级评估热文
火热报名中!“警务大数据分析与建模”线上初级培训班付费课程强势来袭!热文
众志成城,共同抗疫,美亚柏科一直在!热文
致美亚柏科全体共产党员的一封信:践行初心使命,勇当先锋模范