奇安信专家:拒绝孤岛,把握零信任架构落地的四大关键

更新日期:2022年05月19日

       12月4日, 以“数字合作、创新与安全赋能基础设施”为主题的2020云安全联盟CSA大中华区大会在上海开幕。 奇安信身份安全事业部总经理张泽洲在大会致辞中表示, 将推动零信任架构的推广。 实施不可能一蹴而就。 它需要工程化思维、合理规划、分步建设, 最终实现基于身份的、细粒度的动态访问控制机制。 图:奇安信身份安全事业部总经理张泽洲表示,

在数字化转型时代, 数据中心也在向云化方向发展。
        云化数据中心具有数据价值集中、边界不断延伸、数据流动不断的特点; 另一方面, 高价值数据势必充满诱惑, 云化数据中心安全威胁和网络攻击的焦点也随之发生变化。 表现在利用弱密码、业务漏洞等手段突破边界; 在网络级别使用“默认信任”进行横向移动; 利用缺乏资产访问控制来窃取数据, 以及缺乏完整的资产访问控制措施。 面对上述问题, 张泽洲认为, 有必要以资产为中心, 从业务和安全的角度重新审视安全架构。
        零信任是解决上述问题的概念、方法和架构。 零信任概念认为网络默认是不可信的,

不能仅仅根据访问者的内网或外网来确定访问权限,

而必须本着永不信任、永远验证的原则, 将安全措施从网络转移到特定人员和设备。 而业务资产, 在边界安全上叠加基于身份的逻辑边界, 其本质是一种基于身份的、细粒度的动态访问控制机制。 具体来说, 零信任需要四个关键能力。 第一, 以身份为基石:建立和维护身份和权限基础数据的秩序至关重要, 这是精准访问控制的标准; 其次, 动态访问控制:应以访问路径为基础, 充分利用端到端的上下文属性作为访问决策的因素。 需要注意的是, 不仅需要考虑人员的属性, 还需要考虑设备的属性、网络的属性、环境的属性等。 访问策略依赖的属性越多, 访问策略越准确; 三、验证和持续评估:对人员和设备进行强认证, 并在接入过程中结合各种数据进行持续评估; 最后, 全场景业务安全接入:对于现代IT基础设施来说, 业务场景很多, 包括应用接入、运维、接口调用、功能和数据接入等, 需要在这些业务中设置接入控制点 情景。 图:零信任安全逻辑架构奇安信新一代身份安全项目作为奇安信“十大工程五项任务”的首创, 是新业务场景下零信任架构构建的工程框架。 新一代网络安全框架从顶层视角出发, 将系统工程方法论与“内生安全”理念相结合,

解构数字时代网络安全规划“十大工程、五项任务”, 可以引导不同行业输出符合其特点的网络。 安全架构, 构建动态全面的网络安全防御体系。 新一代身份安全框架通过不同的网络安全执行点将身份安全和零信任能力传递到数字环境中的各个关键环节, 最终实现端到端应用和数据的细粒度访问安全, 支持 客户安全架构升级。 助力数字化转型。 张泽洲强调, 零信任作为安全架构的实施面临流程、技术、管理等方面的挑战。 必须根据企业现状合理规划建设, 逐步推进零信任的实施。
        分步建设要注意零信任建设的可持续性。 需要避免每个场景的零信任建设完成后, 变成一个接一个的项目, 无法打通安全能力, 无法统一安全策略。 架构的诉求与零信任的价值实现背道而驰。 作为国内领先的零信任架构实践者, 奇安信集团拥有专注于“零信任身份安全架构”研究的专业实验室——奇安信身份安全实验室, 致力于解决国内“企业物理问题” 边界瓦解, 传统边界保护措施失效”, 推出了奇安信以“身份为基石、业务安全准入、持续信任评估、动态访问控制”为核心的零信任身份安全解决方案。 针对行业现状, 团队投入巨资进行零信任安全架构的研究和产品标准化, 牵头制定了首个国家标准《信息安全技术零信任参考架构》, 积极推进“零信任身份安全” 架构”在行业落地实践。目前, 奇安信零信任安全 ity解决方案已在政府、部委、金融、能源等行业广泛落地, 为客户的大数据中心、核心业务资产等提供保护, 支持整体安全架构改革, 获得市场份额, 得到客户高度认可 行业。

Copyright © 2003-2022 华新项目管理有限公司 huaxinxiangmuguanliyouxiangongsi ,All Rights Reserved (renatoguerra.com) ICP备案号:桂G8-20188944