陳綱：傳統集團型企業零信任試水（19頁）.pdf

1、目目 錄錄傳統集團型企業的“特點”安全運營的難處零信任的設計與試水01傳統自建數據中心，多安全分區架構傳統集團型企業的“特點”02“內網”更安全！互聯網？No No！01傳統自建數據中心，多安全分區架構傳統集團型企業的“特點”02“內網”更安全！互聯網？No No！01傳統自建數據中心，多安全分區架構03傳統行業，員工安全意識弱傳統集團型企業的“特點”02“內網”更安全！互聯網？No No！01傳統自建數據中心，多安全分區架構03傳統行業，員工安全意識弱04什么都要自建，但“外包”開發傳統集團型企業的“特點”02“內網”更安全！互聯網？No No！01傳統自建數據中心，多安全分區架構03傳統行

2、業，員工安全意識弱04什么都要自建，但“外包”開發傳統集團型企業的“特點”05無數歷史包袱要兼顧SSO 身份管理SSO 身份管理（eHR）員工信息/賬號信息外包賬號管理數據回收與供應主數據目標業務系統統一認證AD賬號同步工具維護工具集-賬號/導航欄/門戶授權/特殊控制微軟AD目標業務系統目目 錄錄傳統集團型企業的“特點”安全運營的難處零信任的設計與試水安全運營的難處防不住“邊界”太多 對外不對內 賬號/權限交叉使用看不見“盲點”太多“身份”混亂 難以“端到端”關聯補不全 要“補”的 太多 會“補”的 太少目目 錄錄傳統集團型企業的“特點”安全運營的難處零信任的設計與試水零信任的設計先訪問，再驗

3、證先驗證，再訪問動態授權：基于用戶的環境及身份，動態鑒權，基于不同業務、不同身份分配不同的權限加密訪問：HTTP轉HTTPS，實現HTTP業務加密訪問，減少業務系統改造工作數據安全：零改造為業務添加動態水印，識別業務系統中的敏感數據，對越權訪問行為進行控制靈活部署：分布式部署，應當具備高性能、高可用、高擴展特性基于零信任的思路，規劃設計了包含IAM身份及權限管理，零信任網關，零信任沙箱三大部分的零信任方案。零信任的設計零信任的試水 身份賬號管理 二次驗證/多重驗證 權限同步/權限撤銷 定時啟停/閑置禁用 統一業務發布層 減少業務系統直接暴露 業務系統分級發布 打通端點認證互信 分場景訪問 必要

4、時準入控制 服務于安全審計 支撐安全運營身份改造收斂邊界整合端點審計分析零信任的設計與試水 重建統一身份管理，并增強賬號的全生命周期管理，拓展多重驗證手段提升用戶體驗 加強權限管理建設，調崗/離職權限回收 充分消費身份系統各類信息，如用戶、機構、崗位、職級、權限策略身份賬號管理二次驗證/多重驗證權限同步/權限撤銷定時啟停/閑置禁用身份改造收斂邊界整合端點審計分析零信任的設計與試水統一業務發布層減少業務系統直接暴露業務系統分級發布身份改造收斂邊界整合端點審計分析 重構業務發布層和訪問接入層 保障分角色業務訪問控制需求 收斂并淘汰老舊接入方式和業務發布模式零信任的設計與試水打通端點認證互信分場景訪問必要時準入控制身份改造收斂邊界整合端點審計分析 根據業務敏感度和數據安全等級，分場景接入 登錄身份與業務系統訪問身份綁定 實行必要的準入控制零信任的設計與試水有效的用戶行為分析 只有匯集點點滴滴 才能得以收獲全貌服務于安全審計支撐安全運營身份改造收斂邊界整合端點審計分析零信任長期建設目標保障數據安全，根據“身份”實施細粒度訪問控制，持續有效支撐集團的安全運營！利用零信任架構，以身份為中心最小化權限原則不信任原則動態驗證授權可視化策略控制