從身份開始的零信任實踐-數據安全與用戶隱私保護論壇（13頁）.pdf

1、從身份開始的零信任實踐曲赟神州數碼 應用安全專家零信任信任度設備用戶環境應用/服務/數據重要性持續認證動態授權風險性/信任度=？訪問主體訪問客體可信性風險性ZeroTrust零信任的本質1.以身份為中心通過身份治理平臺實現設備、用戶、應用等實體的全面身份化，采用設備認證和用戶認證兩大關鍵技術手段，從0開始構筑基于身份的信任體系，建立用戶全新的身份邊界。2.業務安全訪問所有的業務都隱藏在零信任可信接入網關之后，只有認證通過的設備和用戶，并且具備足夠的權限才能訪問業務。3.動態訪問控制訪問控制需要符合最小權限原則進行細粒度授權，基于盡量多的屬性進行信任和風險度量，實現動態自適應訪問控制。某金融客戶

2、遠程辦公突發新冠肺炎疫情影響，近百萬員工遠程辦公，需要在極短時間內，解決員工遠程辦公安全接入問題。有VPN，但僅供運維人員與少量出差人員使用，無法滿足全員使用需求；VPN 短期內難以大規模擴容；并且，大規模用戶接入VPN，投資過大，性價比不高；已經全員使用釘釘，希望員工通過釘釘可以安全訪問內部業務系統?？蛻裘媾R的問題身份中臺助力遠程辦公基于零信任理念，通過IDaaS身份認證中臺，可信接入網關SPG，打造遠程辦公解決解決方案：應用通過可信接入網關SPG的反向代理模式對外發布，避免直接暴露在公網上；并通過 IDaaS，集成到釘釘工作臺；對于釘釘用戶，登錄釘釘后，即可單點登錄使用工作臺各類應用（使用

3、釘釘身份認證），對于部分高安全性應用，可配置開啟二次認證（如短信、刷臉等），確保訪問安全；對于非釘釘的用戶，通過連接SPG，只有通過用戶認證和環境評測才可以訪問后端應用，后端應用的訪問是通過SPG反向代理來提供，在用戶端需安裝一個IDP Agent，用于對用戶端環境的檢測，并將檢測數據發送給SPG可信環境評測，用于對用戶的訪問的策略分析。對于運維和開發人員，保留采用目前已有VPN連接的方式。解決方案上線快無需改變現有網絡架構一周完成部署上線，有效解決遠程辦公問題純軟件形態，支持集群，可快速擴容內部業務系統不直接暴露統一身份，提供用戶訪問過程中的動態認證，并可基于設備、網絡、行為等因素，自動開啟

4、雙因素認證或鎖定賬戶，有效阻止各類非法訪問 提供開放接口，可與企業既有的各種安全設備對接聯動；統一身份管理打通身份和應用，為企業的零信任戰略，提供身份基礎高安全易擴展客戶收益某政府客戶業務安全內部數據對外開放，眾多單位調用數據：開放接口眾多，調用缺少有效管理手段，無法明確知道是誰調用；服務出現故障沒有告警，難以溯源；存在敏感數據被爬風險；接口升級困難，存在http明文，sql語句等方式，安全風險較大?？蛻裘媾R的問題身份中臺保障業務安全部署IDaaS統一身份中臺，并結合可信接入網關，實現對API訪問的身份化管理：提供對API的身份化管理，為訪問者分配獨立的AK/SK，并提供賬戶、認證、授權、審計

5、的全方位管理能力；通過可信接入網關，提供API的安全代理；訪問前先進行身份驗證，只有合法用戶才能訪問授權的API服務；可信接入網關，提供SSL卸載、API格式轉換能力，對外統一為 Restful API接口；流量控制、負載均衡、服務熔斷、審計等功能確保數據安全。解決方案客戶收益客戶收益成本低業務系統無需改造提供負載均衡、協議轉換等多種能力效果好協議轉換，對外統一為Restful API，確保傳輸安全服務監測、健康檢查，保證業務的可用性高安全完善的身份認證能力，保障業務安全；豐富的日志記錄，出現問題有據可查零信任以身份為中心Google 零信任實踐1）使用由公司提供且持續管理的設備，2）通過身份

6、認證，且3）符合訪問控制引擎中的策略要求，才能4）通過專門的訪問代理5）訪問特定的公司內部資源。微軟零信任模型利用機器學習、實時評估引擎、策略等進行針對用戶、客戶端、位置和設備進行綜合判定，來持續自適應的訪問各類業務，并提供包含禁止、允許、限制訪問、開啟MFA、強制重制密碼、阻止或鎖定非法認證等策略用戶 ID設備 ID網絡 ID應用 ID協議 ID員工（職位、屬性）合作伙伴客戶運維人員外包人員Android、iOS、macOS、WindowsBYOD、COPE、COBO啞設備IoT設備WiFi、4G/5G公司網絡、公眾網絡VPDNIP/位置客戶端/Web本地應用/SaaS應用自有應用/第三方應用TCP/UDPHttp/Https萬物皆有身份 泛身份化管理零信任落地 從身份開始可落地 適應企業的 IT 環境，不要革命，需要平滑網絡網絡隱身不暴露攻擊面身份統一身份多因素認證最小化授權設備可信設備設備生命周期管理永不信任 持續驗證風險動態驗證風控引擎+實時策略THANKS