趙廣輝-零信任身份治理在企業中的應用實踐分享（23頁）.pdf

《趙廣輝-零信任身份治理在企業中的應用實踐分享（23頁）.pdf》由會員分享，可在線閱讀，更多相關《趙廣輝-零信任身份治理在企業中的應用實踐分享（23頁）.pdf（23頁珍藏版）》請在三個皮匠報告上搜索。

1、零信任身份治理企業應用實踐分享派拉軟件2021年5月14日目 錄CONTENTS零信任身份治理規劃路徑零信任身份治理驅動因素零信任身份治理應用實踐0102033 概念定義：零信任安全通過零信任架構（ZTA）的三大技術：“SIM”去解決S：SDP軟件定義邊界I：IAM身份和訪問管理M：MSG微隔離42017年6月1日施行 是為了保障網絡安全，維護網絡空間主權和國家安全、社會公共利益，保護公民、法人和其他組織的合法權益，促進經濟社會信息化健康發展，制定的法律網絡安全法2019年12月1日實施等保2.0注重全方位主動防御、動態防御、整體防控和精準防護，除了基本要求外，還增加了對云計算、移動互聯、物聯

2、網、工業控制和大數據等對象全覆蓋。等保2.02020年1月1日實施 中華人民共和國密碼法旨在規范密碼應用和管理，促進密碼事業發展，保障網絡與信息安全，提升密碼管理科學化、規范化、法治化水平，是我國密碼領域的綜合性、基礎性法律。密碼法2018年5月25日實施一般數據保護條例(GDPR)是歐盟公民數據處理制定了一套統一的法律和更嚴格的規定，主要用于保護個人隱私權和促進此權利的行使，其中設定了嚴格的全球隱私要求，旨在監管個人數據的管理和保護方式，同時尊重個人選擇。GDPR外在因素：政策扶持與法規要求5內在驅動：風險控制與治理要求1威脅面越來越大，防不勝防 程序漏洞 惡意程序 勒索病毒：WannaCr

3、y、Petya、Bad Rabbit3終端種類越來越多，難于有效管理 PC終端 移動終端 物聯網終端 工控互聯網終端5傳統安全防御體系無法適應5G、云計算、物聯網發展，技術滯后2威脅攻擊種類越來越多，疲于應付 單機威脅：感染式病毒、二進制攻擊 網絡病毒與黑產：木馬、蠕蟲 流氓軟件與灰產：間諜軟件、廣告軟件 流量攻擊與敲詐：DDos、肉雞 黑客攻擊：黑洞門、SRC 高級威脅與勒索：黑客與病毒混合、漏洞與社會工程學4安全防御體系錯綜復雜，需要聯動協作 OSI安全體系:分層結構防護 P2DR:閉環動態模型 IATF:分開部署安全保障機制 IEC62443:縱深防御安全防護策略 NSA CGSV2:安

4、全保護與監測能力整合 NIST CSF:自身需求加強防御6零信任授權中心（ABAC）身份治理中心Zero Trust可信安全識別集成服務身份隔離身份治理身份映射密碼策略周期管理安全策略流程配置特權身份單點登錄風險感知終端識別識別策略風險模型多因素認證訪問AI因子身份管控API可信認證API訪問控制API資源接入身份鑒別More Security訪問動態授權動態授權訪問加密全維度安全審計管理審計行為審計風險審計審計報表訪問控制服務器特權身份IOT設備物聯網身份生態上下游API身份用戶內外用戶身份API 安全網關東西網絡微分段南北流量零信任無密碼認證細粒度授權實時監控流程配置API功能組件身份管理

5、（IAM）智能認證（MFA)行為分析（UEBA)日志分析（PLA)運維安全（OSC）可信終端零信任身份治理生態目 錄CONTENTS零信任身份治理規劃路徑零信任身份治理驅動因素零信任身份治理應用實踐0102038SDP客戶端SDP客戶端SDP客戶端SDP控制器網關SPA+UDPSPA+UDPSPA+UDPIAM身份管理與認證平臺TCP+mTLSTCP+mTLSTCP+mTLS細粒度授權PKI證書風險引擎行為分析多因素融合身份管理認證管理合規審計SIEM系統IDS/IPSWAFNACNGFW(下一代防火墻）EAM資產管理辦公應用主機數據庫文件設備網絡核心應用SaaS應用SDP AHSDP AHS

6、DP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AHSDP AH微隔離身份信息身份識別安全狀態流量監測流量過濾設備驗證設備信息認證授權風險監測端口權限打印機掃描儀終端終端終端終端802.1X路由器/服務器SDP AH端口權限內網互聯網遠程連接安全沙箱策略管理策略執行安全連接SDP平臺零信任身份治理技術規劃網關9零信任身份治理實施路徑正式員工臨時用戶公共用戶內部用戶互聯網用戶建設身份管理，包括統一身份存儲、統一用戶管理、統一身份供給、統一身份訪問管理試點應用系統接入，實現統一認證與單點登錄；針對平臺提供一套

7、完整的統一賬號管理規范、接入服務及運營規范體系?；诘谝浑A段提升和加強身份管理相關方面的功能接入更多的應用并進行推廣提供身份治理增強功能應用接入ABAC權限管理SDP安全網關平臺構建NAC技術與SDP融合風險預警與動態評估控制零信任身份治理生態融合試點應用SaaS互聯網應用1.一期試點3-4個月（含上線支持1個月）；2.二期推廣預計5-6個月左右，完成全部推廣；3.三期將根據具體需求，選擇性的進行實施，預計5-6個月完成。用戶管理認證管理角色授權自助服務日志審計動態授權風險預警與控制IDaaSSDP安全網關范圍建設目標與內容功能應用建設周期階段一：基礎身份治理與試點階段二：外延身份治理與上新階

8、段三：SDP網關構建與應用多因素認證應用推廣設備用戶運維用戶互聯網用戶CIAMIoT身份區塊鏈目 錄CONTENTS零信任身份治理規劃路徑零信任身份治理驅動因素零信任身份治理應用實踐01020311多維度用戶數字身份資產設備身份運維人員外部人員正式人員基本信息業務信息組織信息設備信息環境信息安全策略零信任身份治理需要從5個維度及4個方面（人員、設備、環境及策略）進行身份梳理和集中管控?；ヂ摼W人員12統一用戶數字身份管理用戶管理認證管理統一訪問入口用戶庫IAM平臺授權管理審計管理HR姓名員工編號部門職務身份證號員工狀態APIAPI應用系統APILDAP用戶同步單點登錄管理員管理運營臨時用戶賬號申

9、請訪問認證內部用戶CRMSRMOA郵件報銷財務預算外部用戶訪問認證自助服務風險分析賬號申請訪問認證WSRESTLDAPOAuthSAMLJDBCOIDCXMLEssoAPIAPI/ESB服務管理服務集成接口規范服務路由統一服務入口適配器（SAP/EBS/Siebel/數據庫）通訊接入（JMS/WS/MQ/FTP）統一標準規范服務監控報文轉換服務發布ONEID/統一入口 HR/外部用戶，作為上游數據源，通過數據同步或者注冊/錄入的方式至IAM，同時下游系統從IAM獲取數據；根據用戶業務使用的需要，用戶可自助申請開通業務權限；所有的管理類事件、訪問類事件，都統一記錄在審計模塊，在IAM中集中展現；

10、用戶通過統一訪問入口實現單點登錄 IAM與ESB/API平臺實現接口發布和訂閱13自適應用戶數字身份認證中心化身份認證173聯盟身份認證企業認證（集中管控）聯邦認證（網站互通）身份區塊鏈（無代碼認證互信）中心化身份系統的本質就是中央集權化的權威機構掌握著身份數據，圍繞數據進行的認證、授權、多因素等。聯盟身份體系下，用戶的在線身份有了一定的可移植性，不同應用自己用的身份系統（及賬戶對應的數據）之間實現互通。分布式數字身份標識符（DID）是由字符串組成的標識符，用來代表一個數字身份，不需要中央注冊機構就可以實現全球唯一性，其特點是用戶擁有自己的身份，并且可以互通。去中心化身份認證14增強身份認證O

11、TP認證OTP手勢認證二維碼認證短信認證密碼認證郵件認證指紋認證OTP聲紋認證虹膜認證掌脈認證人臉認證SAMLOpenIDOauth2.0JWTCAS SSOMicrosoftADOracleOAM融合認證框架認證策略認證組合認證調度認證配置認證鏈條統一 API 服務IOSAndroidWeb云端物聯網設備為Web應用、移動應用、電腦等多個渠道登錄提供多種認證方式及認證組合，提供認證引擘配置(包括生物認證、非生物認證、社交認證、第三方認證方式)，實現認證服務統一，可根據不同的業務場景提供可配置的交叉組合、2FA、MFA服務，整體提升認證強度，滿足對認證方式的需求。15身份區塊鏈安全企業單位面向

12、市民或用戶提供身份代理服務和程序，用戶進行下載安裝，并注冊用戶信息，其用戶信息由用戶自行進行管理和對外發布；企業單位針對身份代理服務和程序可提供增強身份管理服務包括PKI數字證書、設備認證及多因素認證等服務，對用戶的設備和身份信息進行安全增強管理；身份代理服務和程序與應用系統通過標準API接口和協議進行集成，實現身份標識的上鏈注冊、撤銷、管理及驗證聲明等功能。企業區塊鏈 醫療區塊鏈 公安區塊鏈 交通區塊鏈 財政區塊鏈 其它區塊鏈聯盟區塊鏈學生患者市民車主其它訪問認證納稅人訪問認證訪問認證訪問認證訪問認證訪問認證企業應用醫療應用公安應用交通應用財政應用其它應用身份代理身份代理身份代理身份代理身份

13、代理身份代理區塊鏈身份信息區塊鏈身份信息區塊鏈身份信息區塊鏈身份信息區塊鏈身份信息區塊鏈身份信息16身份合規審計集團各類型用戶報表業務系統賬號統計報表業務系統活躍分析管理行為統計報表用戶認證審計事件1.員工分類統計報表，（正式員工、實習生、業主用戶、供應商等）2.員工職稱技能報表3.員工兼職兼崗報表1.員工業務系統賬號報表（賬號準確統計、業務系統管理賬號使用準確統計）2.業務系統空賬號、僵尸賬號統計1.業務系統訪問活躍度報表2.異常行為報表（頻繁修改密碼、頻繁登錄失?。?.員工業務系統訪問報表1.管理員變更員工信息（部門、崗位、職稱等）、業務系統賬號開通2.員工自主修改個人信息安全治理、合規管

14、理和風險控制身份、帳號操作審計事件用戶訪問行為審計事件統計報表及展現訪問行為操作行為異常行為統一身份管理平臺審計展現17動態授權訪問控制應用1應用2應用3應用4應用權限同步分發API統一權限開發框架權限服務集中管理統一權限模型權限初始化服務統一授權服務統一鑒權服務權限回收服務工作流服務分級分權服務權限委托服務應用注冊服務自動化人員崗位管理全局角色管理自動化規則模型自動化規則引擎合規化合規審計規則合規審核計劃審閱策略合規審核報告自助服務中心權限自助申請流程權限搜索權限智能推薦統一權限試圖應用中心提供一套完整的模型體系，能支持RBAC、ACL、ABAC、TBAC等權限模型，同時支持自定義各種模型。

15、采用分層設計理念，頂層是自助服務中心，用戶可在統一權限申請入口自助申請權限。18動態風險分析與評估身份日志設備日志應用日志數據日志網絡日志DNS日志采集監控模型管理策略管理大屏展示數據處理數據分析規則引擎風險服務數據清洗數據轉換數據匹配數據建模聚合/分類分布式計算風險規則深度挖掘風險量化風險數據風險評估實時數據日志文件數據庫APIAgent大數據存儲消息隊列規則匹配統計查詢同步高速緩存數據入庫數據入庫數據查詢風險查詢風險評估風險控制實時傳輸用戶行為分析操作習慣訪問習慣環境風險分析網絡環境（互聯網、VPN、內網）地理環境（異地、辦公、住宅）時間風險分析異于通常實際登錄短時間頻繁登錄非工作時間登錄

16、短時間異地登錄威脅情報分析風險IP、黑產手機號密碼撞庫、拖庫分析密碼泄露分析慢性攻擊檢測設備風險分析設備指紋異常非常用設備非授權設備異常風險分析敏感應用操作異常連續多次登錄失敗訪問上下文異常同一IP連續不同賬號登錄智能風險識別與評估19SDP安全網關控制WEB網關運維網關API網關針對企業業務應用實現資源訪問請求控制針對企業運維應用實現資源訪問請求控制SDP旨在通過軟件的方式，在移動+云的時代背景下，為企業構建起一個虛擬邊界，利用基于身份的訪問控制機制，通過完備的權限認證機制，為企業應用和服務提供隱身保護，使網絡黑客因看不到目標而無法對企業的資源發動攻擊，有效保護企業的數據安全，其功能主要包括

17、資源隱藏、SPA單包認證、MTLS雙向加密、動態訪問控制、網絡代理、風險取證、風險控制。針對企業數據共享實現資源訪問請求控制20SDP安全網關部署模式客戶端-網關模型客戶端-服務器模型服務器-服務器模型客戶端-服務器-客戶端模型客戶端-網關-客戶端模型網關-網關模型SDP控制器SDP客戶端網關服務器服務器服務器SDP客戶端SDP控制器SDP客戶端網關服務器服務器服務器SDP客戶端網關網關SDP控制器網關服務器服務器服務器網關網關網關服務器服務器服務器網關網關SDP客戶端SDP客戶端網關服務器服務器服務器網關網關SDP客戶端SDP客戶端SDP控制器SDP客戶端SDP客戶端SDP控制器SDP客戶端

18、SDP客戶端網關SDP控制器C/S網關C/S網關1234562101中國領先的信息安全服務提供商，公司致力于身份安全、業務安全、數據安全三大安全領域，為客戶打造一站式信息安全和價值創新服務。04公司擁有一流的技術團隊，核心人員來自于IBM等國際一流企業，具有雄厚的技術背景和15+年咨詢、策劃、實施經驗。03公司具有多年的技術積累和沉淀，擁有專業的自主研發技術平臺和核心技術。02公司于2008年在上海成立，北京、廣州、深圳、長春、武漢、成都等城市設有服務機構。公司擁有500+人的團隊，其愿景成為一家卓越的軟件公司，客戶滿意，員工健康快樂。05上海北京長春廣州深圳成都武漢公司簡介22身份安全派拉大數據安全平臺辦公應用核心應用基礎應用互聯網應用云應用業務系統智慧門戶派拉企業服務總線平臺-ESB派拉API安全網關平臺-API GW業務安全數據安全派拉線下身份治理派拉線上身份治理派拉云端身份治理派拉增強身份治理身份管理認證管理授權管理審計管理特權管理2C消費者身份管理平臺2B經銷商身份管理平臺2P合作商身份管理平臺身份服務認證服務多因素風控服務審計服務運營服務智能融合認證平臺智能風險感知平臺智能身份區塊鏈平臺智能IoT身份管理平臺派拉大數據湖平臺派拉大數據計算平臺派拉大數據日志分析平臺全棧產品線THAN KS