EISS-2023 零信任在企業中的落地實踐-魏克.pdf

1、零信任在企業中的落地實踐老虎國際 魏克目錄我們的安全需求010203零信任的特點實踐落地路線04零信任運營效果合規帶來的性能負擔為滿足合規和安全管理要求，我們的電腦安裝有VPN、防病毒軟件、DLP軟件和桌面管理軟件等，不僅增加了管理成本，也讓我們的終端有很大的負擔。桌面終端管理終端防病毒數據防泄漏遠程訪問管理合規跨境辦公需求全球職場一致的體驗快速靈活隨時隨地，快速靈活的訪問內部業務系統。一致體驗辦公區的體驗和非辦公區體驗達到同樣標準?？?、穩。保障安全替換VPN，實現入網后細粒度訪問控制，降低終端失陷后橫向移動風險。管理需求統一集中管理安全管理需求同一個控制臺的管理需求BYOD的安全需求軟件正版

2、化管理需求數據防泄漏需求人員安全管理訪問控制管理需求目錄我們的安全需求010203零信任的特點實踐落地路線04零信任運營效果零信任的特點以身份為中心SSO/AD身份認證飛書身份認證從不信任，持續驗證持續身份認證持續設備校驗持續合規校驗最小授權使用實時和恰好足夠的訪問權限、基于風險的自適應策略和數據保護，來限制用戶訪問。動態訪問控制根據授權訪問系統的：人、設備、環境和資源，訪問信任關系源自于對所有參與對象和行為的動態驗證。選擇零信任方案零公網暴露面員工較好體驗非侵入式網絡架構從網絡隔離到應用隔離場景即配置，簡單易用持續安全度量全面的行為可視全面的數據可視切面業務解偶架構高SLA保障遠程辦公移動辦

3、公本地辦公三方員工減少暴露面遠程訪問加速靈活接入反向連接應用隱身最小化數據權限防止橫向移動應用隔離最小權限隔離應用發現權限梳理動態策略持續校驗內網行為可視數據防泄漏數據防護7層訪問可視API敏感數據發現內網DLPIDC應用公共云應用私有云應用SaaS應用文案就近接入多節點容災應用自動網絡選路身份綁定動態認證目錄我們的安全需求010203零信任的特點實踐落地路線04零信任運營效果總體規劃，分布實施明確需求和方案部署零信任網絡域名和接口梳理權限和訪問控制策略梳理建立終端安全合規策略穩妥的推廣部署運營和告警處置明確需求和方案遠程辦公安全性差：原來使用VPN遠程辦公，多次受高危漏洞影響，VPN撥號入網

4、后訪問控制粒度粗，終端失陷后橫向移動風險高?？缇侈k公網絡質量差：國內訪問海外SaaS應用、海外訪問國內辦公應用網絡質量差。原DLP無法統管國內和海外：原DLP產品部署在國內，不支持國內海外一網統管，無法滿足海外辦公人員數據防泄漏需求。原DLP使用體驗差：原DLP產品客戶端太重，導致終端使用過程中經?？D。違規軟件管理成本高：缺乏自動檢測、分析、管理終端軟件的手段，違規軟件管理成本高?；旌显撇渴穑好舾袛祿M件均在本地IDC和云環境下部署。零信任網絡訪問：替換VPN，收斂辦公應用的互聯網暴露面，實現精細化和動態的訪問控制，保障內網應用訪問的安全性?？缇臣铀伲嚎焖贅嫿ㄈ蜣k公加速網絡，優化跨境訪問應

5、用的體驗。擴展數據防泄漏（XDLP）：替換原DLP產品，構建全球化、全鏈路數據防泄漏能力。終端軟件管理：通過軟件檢測和分析功能，幫助IT快速定位企業內違規軟件的分布，針對性進行處理。需求列舉解決方案部署零信任網絡Internet Access Private Access 互聯網訪問內網訪問公有云互聯網/SaaSIDC總部員工客戶端TLS反向隧道Connector移動、員工居家客戶端海外分支員工客戶端私有云ConnectorConnectorTLS反向隧道TLS反向隧道內網應用隱身安全網絡融合網絡就近接入單一化Agent場景一致的高安全水位統一管控的網絡和安全策略良好的網絡和終端用戶體驗海外網

6、關廣州網關北京網關零信任網絡域名、端口梳理業務應用內網正式運維應用運維公共運維部門應用研發應用研發公共研發部門應用測試應用公共測試業務測試梳理權限并建立訪問控制和終端策略依據部門為主要維度，做應用訪問權限的梳理，給部門適當授權。授權邏輯是一級部門相對寬松，三級部門相對嚴格。當遇到個人需求的時候，需要走工單申請，然后增加對應的訪問授權。權限部門維度一級部門二級部門三級部門個人維度權限申請寬嚴禁止使用個人U盤啟動周期性病毒檢測設備屬性標記（公司設備、個人設備）電腦磁盤加密檢測屏幕保護檢測弱口令檢測盜版軟件檢測緊急高危漏洞自動修復終端合規策略列舉權限梳理思路穩妥的推廣部署添加應用（域名、IP、端口）

7、確保連通（連通性測試）配置訪問控制策略（建立部門、人員與應用的映射關系）安裝客戶端（按部門維度安裝客戶端）觀察聯通狀態（關聯后端應用梳理）5%的灰度（部門部分人員使用）部門覆蓋（全部門推廣覆蓋）運營和告警處置合規檢測 違規終端 違規人員 終端補?。↖T）應用軟件（IT）內網訪問 訪問控制 應用管理 應用發現安全防護 漏洞修復 病毒查殺 威脅情報數據安全 數據地圖 敏感數據定義目錄我們的安全需求010203零信任的特點實踐落地路線04零信任運營效果單一Agent解決多個痛點問題企業分支企業總部物理邊界DMZMPLS專線多個終端Agent，多個硬件設備部署在DMZ防入侵檢測DNS 安全上網行為管理

8、數據防泄漏DLP終端安全終端DLP防病毒桌面管理居家辦公移動辦公零信任網絡軟件定義DMZ上云1個終端Agent，無需硬件部署防入侵檢測DNS 安全上網行為管理數據防泄漏DLP終端DLP防病毒桌面管理 單一Agent，覆蓋終端桌面管理，防病毒和終端DLP，軟件管理，并牽引流量到安全云，進行安全防護覆蓋 終端離開公司內網，沒有網絡安全的覆蓋，容易被入侵，并且數據泄露風險增加 終端眾多agent，影響用戶體驗解決的問題提升的能力外發管控零信任訪問控制應用敏感數據識別HRRDPGitHubMySqlOACRMJira內網應用辦公文檔設計文件財務報表源代碼總部/分支差旅/居家員工/外包/伙伴桌面/移動公

9、司U盤個人U盤百度網盤SaaS應用S1S2S3S4禁用通道授權通道禁用通道外發預警風險員工可疑員工需重點關注員工321允許下載終端數據識別和流轉監控源代碼設計文檔文檔財務報表禁止下載允許訪問下載預警零信任網絡用戶行為分析敏感數據可控、可管零信任應用訪問應用敏感數據識別應用資產管理權限管控應用敏感數據下載管控終端數據防泄漏終端敏感數據識別終端數據流轉監控終端外設傳輸通道管控網絡數據防泄漏網絡外發通道管控Web郵件數據防泄漏全域UEBA異常行為分析帶用戶標識的內外網訪問4/7層日志風險員工識別通過數據看效果日常在線率 近30天，平均80%在線。違反合規策略人數 從34.8%到 0.1%Agent故障率 2個工單/月零信任的制度保障制度要求 修訂制度 明確罰責流程審批 授權變更 資源變更管理審計 定期對訪問控制和授權審計應急響應 編制零信任網絡應急響應預案關注我們安世加 專注于網絡安全行業，通過互聯網平臺、線上線下沙龍、峰會、人才招聘等多種形式，致力于創建亞太地區最好的甲乙雙方交流學習的平臺，培養安全人才，提升行業的整體素質，助推安全生態圈的健康發展。