竹云：基于零信任與現代IAM的數字化轉型實踐（35頁）.pdf

《竹云：基于零信任與現代IAM的數字化轉型實踐（35頁）.pdf》由會員分享，可在線閱讀，更多相關《竹云：基于零信任與現代IAM的數字化轉型實踐（35頁）.pdf（35頁珍藏版）》請在三個皮匠報告上搜索。

1、基于零信任與現代IAM的數字化轉型實踐演講人：竹云董事長 董寧01.數字化轉型面臨的挑戰02.零信任與現代IAM構筑安全新底座03.實踐案例CONTENTS目錄“零”零信任到底什么是“零信任”零信任是一種技術框架，概念或體系結構的一種，也是訪問控制的一種模型，基本理論可以理解為不信任何人和任何設備，因此需要以一種動態發展中的理念和機制，并結合多層次立體化的技術手段來持續適應和抵御由新技術應用和新環境變化帶來的風險。零信任體系：在不可信的網絡環境下重建信任需要智能融合認證允許訪問限制訪問阻止訪問1.應該假設網絡始終存在外部威脅和內部威脅，僅僅通過網絡位置來評估信任是不夠的。2.默認情況下不應該信

2、任網絡內部或外部的任何人/設備/系統，而是基于認證和授權重構業務訪問控制的信任基礎。3.每個設備、用戶的業務訪問都應該被認證、授權和加密。4.訪問控制策略和信任應該是動態的，基于設備、用戶和環境的多源環境數據計算出來。核心思想：默認情況下不應該信任網絡內部和外部的任何人/設備/系統，需要基于認證和授權重構訪問控制的信任基礎。本質訴求：以身份為中心進行訪問控制，引導安全體系架構從網絡中心化走向身份中心化整體邏輯架構零信任架構：NIST ZTA-美國國家標準技術研究院 參考架構策略引擎（Policy Engine,PE）：該組件負責最終決定是否授予指定訪問主體對資源（訪問客體）的訪問權限。策略引擎

3、使用企業安全策略以及來自外部源（例如IP黑名單、威脅情報服務）的輸入作為“信任算法”的輸入，以決定授予或拒絕對該資源的訪問。策略引擎（PE）與策略管理器（PA）組件配對使用。策略引擎做出（并記錄）決策，策略管理器執行決策（批準或拒絕）。策略管理器（Policy Administrator,PA）：該組件負責建立客戶端與資源之間的連接（是邏輯職責，而非物理連接）。它將生成客戶端用于訪問企業資源的任何身份驗證令牌或憑證。它與策略引擎緊密相關，并依賴于其決定最終允許或拒絕連接。實現時可以將策略引擎和策略管理器作為單個服務；這里，它被劃分為兩個邏輯組件。PA在創建連接時與策略執行點（PEP）通信。這種

4、通信是通過控制平面完成的。持續診斷和緩解（CDM）系統：該系統收集關于企業系統當前狀態的信息，并對配置和軟件組件應用已有的更新。企業CDM系統向策略引擎提供關于發出訪問請求的系統的信息，例如它是否正在運行適當的打過補丁的操作系統和應用程序，或者系統是否存在任何已知的漏洞。行業合規系統（Industry Compliance System）：該系統確保企業遵守其可能歸入的任何監管制度（如FISMA、HIPAA、PCI-DSS等）。這包括企業為確保合規性而制定的所有策略規則。威脅情報源（Threat Intelligence Feed）：該系統提供外部來源的信息，幫助策略引擎做出訪問決策。這些可以

5、是從多個外部源獲取數據并提供關于新發現的攻擊或漏洞的信息的多個服務。這還包括DNS黑名單、發現的惡意軟件或策略引擎將要拒絕從企業系統訪問的命令和控制（C&C）系統。數據訪問策略（Data Access Policies）：這是一組由企業圍繞著企業資源而創建的數據訪問的屬性、規則和策略。這組規則可以在策略引擎中編碼，也可以由PE動態生成。這些策略是授予對資源的訪問權限的起點，因為它們為企業中的參與者和應用程序提供了基本的訪問特權。這些角色和訪問規則應基于用戶角色和組織的任務需求。企業公鑰基礎設施（PKI）：此系統負責生成由企業頒發給資源、參與者和應用程序的證書，并將其記錄在案。這還包括全球CA生

6、態系統和聯邦PKI3，它們可能與企業PKI集成，也可能未集成。身份管理系統（ID Management System）：該系統負責創建、存儲和管理企業用戶賬戶和身份記錄。該系統包含必要的用戶信息（如姓名、電子郵件地址、證書等）和其他企業特征，如角色、訪問屬性或分配的系統。該系統通常利用其他系統（如上面的PKI）來處理與用戶賬戶相關聯的工件。安全信息和事件管理（SIEM）系統：聚合系統日志、網絡流量、資源授權和其他事件的企業系統，這些事件提供對企業信息系統安全態勢的反饋。然后這些數據可被用于優化策略并警告可能對企業系統進行的主動攻擊。策略執行點（Policy Enforcement Point,

7、PEP）：此系統負責啟用、監視并最終終止主體和企業資源之間的連接。這是ZTA中的單個邏輯組件，但也可能分為兩個不同的組件：客戶端（例如，用戶便攜式電腦上的代理）和資源端（例如，在資源之前控制訪問的網關組件）或充當連接門衛的單個門戶組件。除了企業中實現ZTA策略的核心組件之外，還有幾個數據源提供輸入和策略規則，以供策略引擎在做出訪問決策時使用。這些包括本地數據源和外部（即非企業控制或創建的）數據源。其中包括：CDM、Industry Compliance System、Threat Intelligence Feed、Data Access Policies、PKI、ID Management

8、System和SIEM?；顒尤罩荆ˋctivity Logs）該企業系統聚合資產日志，網絡流量，資源訪問操作以及其他事件，這些事件提供有關企業信息系統安全狀況的實時（或近實時）反饋。12345你的同事是在家辦公還是在酒店或是在出差途中辦公？If you say Yes他們是否經常使用個人手機來收發郵件？在我們手機上是否裝有非公司的APP?公司是否有同事在出租車、火車等室外場所丟失過手機或電腦？公司是否有員工離職到另外的公司工作？6我們是否經常使用微信與同事探討工作？123他們在公司場所外比如在家中、酒店或咖啡廳用個人手機或筆記本電腦訪問公司電子郵箱或應用系統時，是否總是通過使用公司的VPN?I

9、f you say No員工個人設備是否都有安裝公司發行的防病毒軟件？當員工離職前，其行為活動是否受到有效的控制？當前組織中的信息系統環境確定是安全的嗎？技術變革驅動零信任快速發展自2003年以來有4個主要技術驅動著零信任理念的發展。同時改變了人們的工作方式和消費習慣。2004年2007年2010年Now成立5年時間的Salesforce成功上市充分展示了全球市場對SaaS的需求首個智能手機被廣泛應用，隨之企業和消費者開始在個人移動設備上使用各種APP應用。AWS IaaS的收入超過了15億美元，并且在短短的10年內，今年的收入就達到400億美元。隨著互聯網3g、4g、5g技術的快速演變，網路

10、無處不在，而成本日益降低。傳統邊界防御逐步失效消費者內部網絡網絡位置經銷商合作伙伴物體/程序內部人員外部網絡 VPN網絡移動設備使用設備PC設備平板電腦人臉識別認證方式聲紋識別 指紋識別人力信息信息資產產品信息信息資產財務信息信息資產法務信息信息資產生產資料信息資產信息資產內部人員舊安全邊界：防火墻新安全邊界：身份建一個有護城河的城堡零信任是對技術進步并改變人們工作方式的一種有效回應。人們開始更多地在家中或旅途中工作，由此需要在原有的信息系統環境中，設立更多的訪問入口以及為每個用戶設定安全合理的訪問權限，確保訪問資源不被濫用眾多行業開始逐步選擇從第三方SaaS、IaaS、PaaS和IDaaS云

11、服務提供商進行訪問全球新冠疫情的發生，極大改變了人們工作方式，從而高速推動了遠程辦公領域的發展數字化已成為不同行業、不同業務交互的核心4G時代下的用戶交互5G時代下，用戶交互觸點急劇增多，每一個觸點均需保證身份安全可控，且可便捷攜帶；5G時代下，物物交互成為常態，物物之間身份互信是其信息交互的基礎。5G時代下的用戶交互移動設備PC設備汽車冰箱其他物體用戶移動設備PC設備用戶數字化共享平臺高效融合與賦能業務數字平臺全面感知協同運作創新應用智能處理精益管控充分整合智慧交通智慧醫療智慧公共安全智慧公共事業智慧社區智慧服務自動收費票據管理運輸信息管理電子病歷家庭健康服務醫療費用管理犯罪信息倉庫突發事件

12、響應數字監控系統高速寬帶網絡智慧的電力建筑群能耗評估水處理物業管理便民服務政務服務失業保險管理就業服務家庭服務住宅信息管理IAM戰略性定位用戶、組織、權限流程技術入職調崗兼職、返聘離職身份全生命周期管理用戶報表屬性權限密碼工作流面向不同類型用戶，內部用戶、外包用戶、合作伙伴、C端用戶等面向戰略面向業務辦公業務核心業務外部業務互聯網業務資源整合業務融合科技創新安全經營IAM（Identity and Access Management）即身份管理與訪問控制，是一個可有效控制人或物等不同類型用戶訪問行為和權限的管理系統，能夠有效控制什么人或物體在什么時間有權限訪問哪些資源。IAM核心價值：安全、效

13、率、降低成本、滿足GDPR和等保。IAM是數字化轉型的必要條件，組織信息化的頂層設計以及信息化管理的重要支撐部分。連接、控制、集約化、智能化IAM作為零信任的核心組件，提供端到端的安全和可信支撐基礎平臺統一身份統一訪問統一授權AI融合認證風險預警合規審計IAM平臺智慧城市智慧園區智慧交通公共安全刷臉識別指紋識別虹膜識別 掌紋識別 AI能力 聲紋識別核心價值未來延伸方向智能 融合 可信 賦能作為數字平臺的核心入口服務，為政府、企業數字化轉型提供端到端的零信任安全體系和可信支撐IAM整體業務架構國產自主可控，為信息安全保駕護航身份能力統一供給構建端到端全流程的安全防護體系會話集中控制/權限實時調整

14、事前預警事后追溯事中控制訪問信息全面評估訪問者員工、物理設備、客戶、供應商、主管單位、合作伙伴訪問時間白班時間、夜班時間、非工作時間訪問設備專用PAD、個人電腦、個人手機訪問地點行政大樓、辦公大樓、遠程訪問、境外訪問訪問方式CA證書、靜態密碼、指紋校驗訪問網絡企業內網、國內外網、境外網絡統一授信訪問環境持續監測訪問環境互聯網VPN企業內網環境風險設備風險時間風險行為風險特定風險地理環境境外公共辦公住宅授權設備非授權設備常用設備非常用設備設備指紋異常短時間異地登錄異于通常訪問時間異于規定時間短時間頻繁登陸敏感應用操作路徑異常連續多次登陸失敗同一IP連續多次不同賬號登陸黑白名單IP范圍風險IP風險

15、自動化關閉與融合認證能力應用/操作系統/網絡設備賦能策略按應用進行賦能按人/設備/組合進行賦能按組織按崗位融合認證框架使用策略認證順序認證組合（串行/并行）認證數據源設置認證策略已完成的認證緩存認證置信度衰減計算有效認證軌跡輸出用戶管理員權限集中管理，規避權限濫用，實現動態控制容器（應用)容器(應用)分類(審批)分類(管理)自動匹配權限管理實際角色1實際權限2應用1實際角色1實際權限2應用2同步映射賬號同步自動創建歸屬歸屬歸屬自動匹配同步同步同步用戶用戶用戶用戶身份能力云化服務私有云SAML/OAuth私有協議IAM公有云竹云城堡云橋身份能力實時審計公司愿景是成為全球數字身份領域的領航者竹云專

16、注于身份與訪問管理（IAM）以及云應用安全領域，完全自主可控的國產化技術?？偛课挥谏钲谀仙娇萍紙@，在青島設立數字身份國際研究院，在北京、上海、廣州、青島、杭州、武漢、成都、西安設有分支機構。國內率先將IAM理念和方案技術產品推行落地中國的國家高新技術企業。具有全棧的 IAM產品線，從 PC端、移動端、互聯網到云端，從 2E（Employees）到 2B（Business Partners）到 2C（Customers）到 2IoT，平臺產品具備很強易用性、兼容性、擴展性、可靠性。公司擁有國家發改委、生態環境部、國家衛健委、國務院國資委、國家市場監督管理總局、中國氣象局、國家藥品監督管理局、國家

17、信息中心等部委，以及中石化、中核建、中國兵器裝備、中國五礦、中海油、中國中鐵、國藥集團、東風汽車集團、華僑城集團、中國人壽、農業發展銀行、招商銀行、廣發銀行等眾多行業頭部客戶，涵蓋政府、金融、能源、航空、汽車、高端制造等領域。2016年中石化替換IBM，并以特大型企業統一身份治理方案獲得中央企業網絡安全與工業互聯網十佳解決方案第一名，以及金融科技安全以及全球身份管理創新服務等行業眾多重要獎項。是華為在全球IAM領域的唯一供應商、戰略合作伙伴，完成數十個省市公安廳局、智慧城市以及一帶一路國家項目建設，是華為安全聯盟核心成員，牽頭智慧城市IAM標準建設。承擔國務院國資委在線監管平臺統一用戶與權限管

18、理模塊標準建設。CSA大中華區IAM工作組組長單位，制定IAM行業標準與白皮書，組員來自于華為、中移動、啟明星辰、OKTA等二十多個單位。專注于身份管理與訪問控制（IAM)領域、云應用安全領域專注領域全球500+客戶提供IAM服務客戶分布提供規劃、咨詢、產品、實施、運維及培訓服務提供服務竹云客戶已為全球超過500個大型客戶成功實施IAM項目，主要分布在政務、能源、制造、航空、銀行、保險、汽車、地產、醫療等。包括國家發改委、生態環境部、國家衛健委、國務院國資委、國家市場監督管理總局、中國氣象局、國家藥品監督管理局、國家信息中心等部委，中石化集團、中核建集團、中國五礦集團、兵器裝備集團、中海油集團

19、、中國中鐵集團、中信集團、中檢集團、三峽集團、國投集團、國藥集團、中冶集團、華僑城集團、東風集團等20余家央企，中國農業發展銀行、招商銀行、華夏銀行、廣發銀行等金融企業，上港集團、海爾集團、濰柴動力、廣汽集團、深圳巴士集團等眾多大型集團企業。龍崗區政府龍崗衛計局南山衛計局福田衛計局竹云榮譽竹云“基于零信任現代IAM技術的智慧城市安全管控平臺”入選工信部智慧城市安全領域示范項目竹云“基于安全大數據和零信任的工業互聯網安全防護平臺”入選工信部工業互聯網安全領域項目2018中央企業網絡安全與工業互聯網十佳解決方案第一名2020中國網絡安全能力圖譜中，竹云在IAM“身份與訪問控制”領域位居首位，為首要

20、“代表性”企業“千帆匯”青島-深圳創新大賽PK賽總冠軍、最佳人氣獎和一等獎2019華為最佳行業解決方案伙伴獎融合中間件全球身份管理創新服務獎項冠群東盟和中國區身份與訪問管理集成新興之星大獎國際創客區域大賽一等獎2017中國科博會自主創新獎2016年度金融行業科技創新突出貢獻獎“2020年中國網絡安全成長之星”榜單中，竹云作為唯一的IAM國產化廠商入選2019金灣獎暨粵港澳大灣區十大卓越創新力企業廣發銀行集中身份管理平臺項目成功入選為廣東省金融試點項目之一核心競爭力擁有眾多專注IAM領域從底層代碼開發，完全自主可控的國產化技術，參與制定重要行業標準；產品線豐富，覆蓋從線下、移動端、互聯網到云端，

21、貼合業務需求；產品兼容性、易用性、可靠性、擴展性強IAM領域專業技術團隊國內規模最大，300+技術人才儲備；核心團隊穩定，行業經驗超過10年，具備豐富的國內外大型項目服務經驗擁有眾多頭部客戶，已簽約國務院國資委、國家發改委、國家信息中心、信用中國、國家衛健委等國家部委；央企市場份額已簽約超過20%，以及眾多大型集團企業，行業覆蓋制造、能源、航空、政務、銀行、保險、汽車、地產、醫療等多個業務板塊 在技術、團隊規模、頭部客戶案例、品牌處于行業領先頭部客戶專業解決方案全面貼合業務場景業務專家技術骨干規模國內最大技術領先擁有完全自主知識產權業務發展 核心里程碑核心團隊主要在海外為歐美客戶提供IAM方案

22、咨詢、技術培訓和服務交付2016年，竹云成為中石化集團統一身份管理平臺國產化選型產品供應商；2017年平臺上線驗收；2018年完成集團下屬八家企業試點推廣，獲得中央企業網絡安全與工業互聯網解決方案第一名2013年自主研發推出IAM系列核心模塊；2015年正式推出全套國產化IAM平臺產品IAM市場認知顯著提高，行業快速增長，公司聚焦更多行業頭部客戶，從銀行擴展到制造、能源、航空、汽車、政務等多領域央企總部市場占有率超過20%，并簽約眾多制造、能源、航空等大型集團企業；承擔國務院國資委IAM項目建設并牽頭建立IAM行業標準規范，為國資國企在線監管系統提供全面支撐；三個月內完成B輪和B+輪增資，由東

23、方富海、達晨、子于資本、首建投、深投控等頂級機構聯合投資過億元人民幣竹云業務逆勢增長，在重點行業、創新業務場景示范項目有了重大突破，并完成3億元C輪戰略增資，由紅杉資本中國基金和昆侖資本聯合戰略入股2013年以前2013-2015年2016-2017年2018年2019年2020年實踐案例-國務院國資委：統一用戶和權限管理平臺，建立行業規范，加強國資國企內控監管用戶和權限體系由各應用分散建設，缺乏頂層設計；委內外用戶身份真實性無法驗證；用戶一致性無法保證，同名不同人，同人不同權；外部用戶管理粗放化、條塊化；在數據分散割據時，問題較小，在數據普遍共享后，就會產生“迂回路徑”問題；缺乏有效管理、監

24、控、驗證手段，各業務系統管理能力參差不齊?，F狀及問題解決方案建設國資委國資監管三網的統一用戶和權限管理平臺，實現統一用戶，統一權限，統一認證及統一審計等核心能力；集成對接國資委國資監管業務三網環境內的應用系統，實現各應用系統的統一身份、統一訪問；建立智能風控與安全審計體系，保障用戶身份可信，實現“身份識別-智能感知-預警防范-審計追溯”的風險管理機制；制定國資監管統一用戶和權限管理規范指南國資監管統一用戶權限管理應用集成規范等標準規范。項目價值 建立面向國資國企在線監管系統的委內，央企及地方國資委的統一身份庫，實現用戶，賬號，組織在國資監管系統內的全生命周期管理；建立權限管理體系，實現用戶在應

25、用中的業務權限與數據權限的有效控制，確保合適的人在合理的時間訪問適當的系統和數據；制定國資委與地方國資委和央企的統一用戶與權限管理平臺身份聯動及認證互信的技術標準和集成規范，確保國資委，地方國資委，中央企業的國資監管業務的有序進展。實踐案例-中石化集團：為百萬內外部用戶提供統一、便捷、合規的身份管理 原有系統較“重”，捆綁組件多，配置資源多；平臺架構復雜度高，運維難度大，維護成本高、推廣難；原廠服務、咨詢和實施費用高、響應慢；現狀及問題解決方案 重新搭建平臺，包括權限、用戶、訪問和合規管理；提供內外用戶全生命周期管理和用戶數據供給服務；接入總部及下屬企業應用，實現單點及統一認證；面向用戶提供自助服務；對設備進行集中訪問管控，同時對應用狀態實時監控。項目價值 身份集中，認證便捷，新的IAM系統成為中石化信息管理系統權威的用戶數據源與認證源；建立統一規范，簡化應用接入流程，杜絕資源浪費 搭建完全自主可控平臺，滿足石化安全要求 運營感知，集中管控，滿足對上市企業合規審計的需求面向中石化總部及各區域百萬內外部客戶；對數百家下屬企業進行推廣，上千+應用接入THANKS