2019-08-24 11:48:00
來(lái)源:深信服科技
深信服精益信任aTrust安全架構(gòu)在零信任的基礎(chǔ)上做了增強(qiáng),通過(guò)信任和風(fēng)險(xiǎn)的反饋控制,實(shí)現(xiàn)“精確而足夠”的信任。同時(shí),精益信任aTrust安全架構(gòu)下,終端、邊界、外網(wǎng)的已有安全設(shè)備可以基于信任和風(fēng)險(xiǎn)的閉環(huán)進(jìn)行聯(lián)動(dòng),形成自主調(diào)優(yōu)、快速處置的統(tǒng)一安全架構(gòu)。
郭炳梁在演講中介紹了零信任的發(fā)展熱潮,并分析企業(yè)為什么需要零信任,以及深信服精益信任aTrust安全架構(gòu)與傳統(tǒng)零信任安全架構(gòu)的不同和變化。
零信任熱潮
企業(yè)的傳統(tǒng)防護(hù)理念是為企業(yè)內(nèi)網(wǎng)構(gòu)建防御邊界,縱向的流量將會(huì)受到重重的防護(hù),但是一旦進(jìn)入內(nèi)部,便將暢通無(wú)阻。基于傳統(tǒng)的安全理念,在企業(yè)發(fā)展初期,可以相對(duì)簡(jiǎn)單的實(shí)現(xiàn)網(wǎng)絡(luò)安全。
但隨著企業(yè)業(yè)務(wù)的不斷增長(zhǎng),需要開(kāi)設(shè)子公司、辦事處,將子公司和辦事處的邊界與總部的內(nèi)部網(wǎng)絡(luò)進(jìn)行聯(lián)通,越來(lái)越多的困擾出現(xiàn)在企業(yè)面前。
1. 擴(kuò)建慢:企業(yè)需要不斷采購(gòu)設(shè)備,進(jìn)行復(fù)雜的部署實(shí)施上線。
2. 成本高:子公司需要專線或VPN組網(wǎng)。
3. 運(yùn)維難:網(wǎng)絡(luò)、安全設(shè)備分散部署,難以維護(hù)。
這形成了企業(yè)發(fā)展過(guò)程中的成長(zhǎng)之痛。
同時(shí)移動(dòng)辦公的情況變得越來(lái)越多,更多的員工、供應(yīng)商、合作伙伴需要從全球、全國(guó)各個(gè)位置安全的接入企業(yè)內(nèi)網(wǎng)進(jìn)行訪問(wèn)。除此之外,應(yīng)用的移動(dòng)化,數(shù)據(jù)中心的云化也不斷帶來(lái)更多的問(wèn)題。
這種情況下,內(nèi)部網(wǎng)絡(luò)的安全邊界變得模糊,甚至趨于破碎,基于邊界的安全防護(hù)體系正在漸漸失效。
同時(shí),傳統(tǒng)的安全架構(gòu)基于網(wǎng)絡(luò)位置構(gòu)建信任區(qū),內(nèi)部網(wǎng)絡(luò)屬于受信特權(quán)區(qū)域。但內(nèi)網(wǎng)威脅持續(xù)增高,在傳統(tǒng)認(rèn)為受信的內(nèi)網(wǎng)區(qū)域,存在大量橫向移動(dòng)、嗅探暴破等惡意流量,無(wú)法被發(fā)現(xiàn)和控制。
APT攻擊更是內(nèi)網(wǎng)威脅里的重大隱患,攻擊方從企業(yè)的任意一個(gè)邊界突破進(jìn)入內(nèi)網(wǎng),長(zhǎng)期潛伏下來(lái),伺機(jī)尋找高機(jī)密系統(tǒng)的破綻,找準(zhǔn)機(jī)會(huì),一擊即中,實(shí)施信息竊取或破壞,成為了企業(yè)網(wǎng)安全的達(dá)克摩斯之劍。
以2009年發(fā)生的APT攻擊『極光行動(dòng)』為例,攻擊者通過(guò)特定員工的終端,入侵了谷歌內(nèi)網(wǎng)的gmail郵箱服務(wù)器,盜竊機(jī)密行為持續(xù)了數(shù)月之久。這讓谷歌痛下決心,在自身企業(yè)網(wǎng)實(shí)施Beyond Corp零信任安全架構(gòu)。
傳統(tǒng)的安全架構(gòu)其實(shí)已經(jīng)很難去適應(yīng)企業(yè)的快速成長(zhǎng),也難以去適應(yīng)業(yè)務(wù)的快速變化,企業(yè)需要構(gòu)筑全新的網(wǎng)絡(luò)安全架構(gòu)。在這樣的大背景下,零信任應(yīng)運(yùn)而生。
零信任安全一詞最早出現(xiàn)在2010年,由IT和安全分析機(jī)構(gòu)Forrester的首席分析師約翰金德維提出。在2011年到2017年之間,谷歌在自身企業(yè)內(nèi)網(wǎng)進(jìn)行零信任的實(shí)踐并成功落地。谷歌Beyond Corp的零信任安全架構(gòu),通過(guò)全面身份化、多源信任評(píng)估和動(dòng)態(tài)訪問(wèn)控制,成功解決了破碎的邊界的問(wèn)題。
2017年開(kāi)始,業(yè)界廠商大力跟進(jìn),包括思科、微軟、亞馬遜等等。2018年至今,中央部委、國(guó)家機(jī)關(guān)、中大型企業(yè)開(kāi)始探索實(shí)踐零信任安全架構(gòu)。
零信任主要表現(xiàn)為以下三點(diǎn):
1. 信任最小化
所有設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)該被認(rèn)證、授權(quán)和加密。
2. 網(wǎng)絡(luò)無(wú)特權(quán)化
應(yīng)當(dāng)始終假設(shè)外部和內(nèi)部威脅每時(shí)每刻都充斥著網(wǎng)絡(luò),并且不能僅僅依靠網(wǎng)絡(luò)位置來(lái)建立信任關(guān)系。
3. 權(quán)限動(dòng)態(tài)化
訪問(wèn)控制策略應(yīng)該動(dòng)態(tài)的基于盡量多的數(shù)據(jù)源進(jìn)行計(jì)算和評(píng)估。
零信任的三個(gè)關(guān)鍵,第一全面身份化,第二多源信任評(píng)估,第三動(dòng)態(tài)訪問(wèn)控制。而傳統(tǒng)安全架構(gòu)一共面臨兩大關(guān)鍵問(wèn)題,一是破碎的邊界,一個(gè)是割裂的安全。
零信任解決了破碎的邊界問(wèn)題,但是安全從來(lái)不是任意一個(gè)安全產(chǎn)品可以獨(dú)自解決的,安全一定是需要聯(lián)動(dòng)和協(xié)作的。
深信服精益信任aTrust安全架構(gòu)主張,零信任需要和其他安全的設(shè)備進(jìn)行聯(lián)動(dòng),形成互補(bǔ)的安全體系,構(gòu)建統(tǒng)一的安全。
深信服精益信任統(tǒng)一安全架構(gòu)
在2019深信服創(chuàng)新大會(huì)的風(fēng)險(xiǎn)驅(qū)動(dòng)網(wǎng)絡(luò)安全建設(shè)專場(chǎng)上,深信服精益信任aTrust安全架構(gòu)正式發(fā)布,精益信任aTrust安全架構(gòu)在零信任的基礎(chǔ)上做了增強(qiáng)。精益信任安全架構(gòu)基于信任和風(fēng)險(xiǎn)的閉環(huán),整合終端、邊界、外網(wǎng)的已有安全設(shè)備,進(jìn)行統(tǒng)一聯(lián)動(dòng),形成自主調(diào)優(yōu)、快速處置的統(tǒng)一安全架構(gòu),最終實(shí)現(xiàn)內(nèi)外網(wǎng)“精確而足夠”的信任。
深信服精益信任aTrust安全架構(gòu)主要由全面身份化、多源信任評(píng)估、動(dòng)態(tài)訪問(wèn)控制、統(tǒng)一安全、可成長(zhǎng)等五點(diǎn)組成——
1. 全面身份化
精益信任aTrust安全架構(gòu)通過(guò)前置安全接入網(wǎng)關(guān),強(qiáng)制所有訪問(wèn)都必須經(jīng)過(guò)認(rèn)證、授權(quán)和加密;精益信任aTrust安全架構(gòu)的關(guān)鍵是身份化,把用戶、設(shè)備和應(yīng)用都進(jìn)行全面的身份化,從原先的先訪問(wèn)資源再認(rèn)證身份,變?yōu)橄日J(rèn)證身份再訪問(wèn)資源,從而確保內(nèi)部網(wǎng)絡(luò)的安全;精益信任aTrust安全架構(gòu)基于單包授權(quán)(Single-Packet Authorization)技術(shù),可以防御DDoS攻擊,降低0day風(fēng)險(xiǎn)。
(1)統(tǒng)一身份認(rèn)證
精益信任aTrust安全架構(gòu)提供統(tǒng)一身份證,支持統(tǒng)一身份管理和多因素的統(tǒng)一身份認(rèn)證,最重要的是可以協(xié)同成一點(diǎn),將公司人員的入職、變更、離職全生命周期和安全聯(lián)動(dòng)起來(lái),從而實(shí)時(shí)調(diào)整安全的權(quán)限、安全策略,降低運(yùn)維的難度,提升安全系數(shù)。
(2)智能發(fā)現(xiàn)
精益信任aTrust安全架構(gòu)基于用戶的訪問(wèn)行為,結(jié)合用戶的組織架構(gòu)信息、崗位等信息,通過(guò)AI智能發(fā)現(xiàn)技術(shù),自動(dòng)生成訪問(wèn)權(quán)限報(bào)告,幫助管理員實(shí)現(xiàn)權(quán)限細(xì)化;精益信任aTrust安全架構(gòu)基于流量行為檢測(cè)分析,可以發(fā)現(xiàn)未知業(yè)務(wù)系統(tǒng),幫助管理員實(shí)現(xiàn)企業(yè)資源的資產(chǎn)管理,同時(shí)發(fā)現(xiàn)違規(guī)搭建、不合規(guī)的業(yè)務(wù)系統(tǒng)。
2. 多源信任評(píng)估
(1)終端安全評(píng)估
精益信任aTrust安全架構(gòu)在終端安全評(píng)估方面主要提供基于AI的多維度漏斗型終端環(huán)境檢測(cè)框架,包含基于文件信譽(yù)和基因特征的檢測(cè)引擎;精益信任aTrust安全架構(gòu)提供不依賴于特征的人工智能檢測(cè)能力,針對(duì)一些可疑的惡意的文件會(huì)通過(guò)沙盒進(jìn)一步的識(shí)別,消除風(fēng)險(xiǎn);精益信任aTrust安全架構(gòu)會(huì)利用當(dāng)前云化的能力,和云端、大數(shù)據(jù)平臺(tái)進(jìn)行聯(lián)動(dòng),提供多維的威脅情報(bào)秒級(jí)響應(yīng)檢測(cè),并根據(jù)結(jié)果授權(quán)。
(2)行為檢測(cè)分析
精益信任aTrust安全架構(gòu)在行為檢測(cè)分析方面,能持續(xù)采集全局實(shí)時(shí)流量,檢測(cè)內(nèi)部的威脅,有效發(fā)現(xiàn)木馬、病毒等攻擊行為,并且能實(shí)時(shí)聯(lián)動(dòng)訪問(wèn)控制系統(tǒng)調(diào)整信任等級(jí),控制接入和訪問(wèn)權(quán)限。
3. 動(dòng)態(tài)訪問(wèn)控制
動(dòng)態(tài)權(quán)限方面,精益信任aTrust安全架構(gòu)在訪問(wèn)主體和訪問(wèn)客體之間基于RBAC+ABAC,建立起動(dòng)態(tài)的訪問(wèn)控制。
在訪問(wèn)主體方面,精益信任aTrust安全架構(gòu)會(huì)確認(rèn)用戶身份是否可信,如最低程度的可信是基于密碼的身份驗(yàn)證,如果需要獲得更高的權(quán)限,至少需要密碼和另外一個(gè)因素配合進(jìn)行驗(yàn)證,如短信,而更高的身份可信,則是生物特征,如指紋、人臉識(shí)別;身份可信確認(rèn)之后,環(huán)境是否可信也需要確認(rèn),一個(gè)可信任的人在一個(gè)不安全的環(huán)境里也可能是不安全的;最后需要確認(rèn)行為是否可信,基于用戶訪問(wèn)行為進(jìn)行持續(xù)的行為可信檢測(cè)。
在訪問(wèn)客體方面,精益信任aTrust安全架構(gòu)會(huì)基于角色和組織架構(gòu)的靜態(tài)授權(quán),如財(cái)務(wù)人員能訪問(wèn)財(cái)務(wù)相關(guān)的業(yè)務(wù)系統(tǒng)、研發(fā)人員能訪問(wèn)研發(fā)相關(guān)的業(yè)務(wù)系統(tǒng),再根據(jù)主體的信任等級(jí)和客體的信任等級(jí)加上已有的靜態(tài)授權(quán),實(shí)現(xiàn)動(dòng)態(tài)的訪問(wèn)權(quán)限控制。
4. 統(tǒng)一安全
(1)開(kāi)放融合
精益信任aTrust安全架構(gòu)在開(kāi)放融合方面,可以和各類安全產(chǎn)品融合聯(lián)動(dòng),實(shí)現(xiàn)統(tǒng)一的安全,包括并不僅僅限于EDR、IAM、UEBA、NAC等系統(tǒng),還會(huì)通過(guò)多種安全模型的建模,多維度地去針對(duì)各類行為做好標(biāo)簽化分類,最終與精益信任aTrust安全架構(gòu)進(jìn)行對(duì)接,促使安全從割裂走向融合。
(2)全局可視
在全局方面,相比于傳統(tǒng)的安全架構(gòu),aTrust在進(jìn)行全面的身份化后,對(duì)內(nèi)網(wǎng)的所有流量進(jìn)行檢測(cè),從而做到對(duì)于內(nèi)網(wǎng)安全狀況的威脅可視,基于用戶安全行為的全局可視,最終促使安全從黑盒走向可視可控,解決不可視,流量混雜的問(wèn)題。
5. 可成長(zhǎng)
精益信任aTrust安全架構(gòu)中的安全網(wǎng)關(guān)能一體化提供完整的身份化能力,完整的多源信任評(píng)估能力,完整的多源控制能力,同時(shí)會(huì)提供基礎(chǔ)的統(tǒng)一身份認(rèn)證能力、終端檢測(cè)能力、行為分析檢測(cè)能力。
在這個(gè)基礎(chǔ)上精益信任aTrust安全架構(gòu)根據(jù)企業(yè)的不同發(fā)展階段,和更專業(yè)的EDR/UEBA等產(chǎn)品對(duì)接聯(lián)動(dòng),通過(guò)對(duì)方案的組合去實(shí)現(xiàn)企業(yè)發(fā)展的具體要求,自適應(yīng)的去匹配企業(yè)發(fā)展的各個(gè)場(chǎng)景和階段,從而為企業(yè)量身打造一個(gè)統(tǒng)一安全體系。
擬態(tài)分布式文件存儲(chǔ)設(shè)備云計(jì)算在軍隊(duì)信息化建設(shè)中的應(yīng)用在線學(xué)習(xí)室產(chǎn)品選型論:PC還是云桌面?---“軍事職業(yè)教育”在線學(xué)習(xí)室建設(shè)思考與分析【信服博士談存儲(chǔ)】海量非結(jié)構(gòu)化數(shù)據(jù)存儲(chǔ)中的小對(duì)象合并技術(shù)銀河麒麟云平臺(tái)軟件大數(shù)據(jù)技術(shù),發(fā)展趨勢(shì)如何?突破性能極限,阿里云神龍最新解讀弱電機(jī)房綜合布線如何設(shè)計(jì)與施工?數(shù)據(jù)中心可視化運(yùn)維管理系統(tǒng)大數(shù)據(jù)引發(fā)混合云井噴 四大場(chǎng)景與三大技術(shù)
