2018年CASB保護零信任環境下的數據安全實踐.pdf

1、64E564E5保護零信任環境t的數據安全實踐保護零信任環境t的數據安全實踐 白小勇 煉石網絡 68A 提要提要 數字化催生數字化催生x務級安全技術 x務級安全技術 64E5對內部威脅64E5對內部威脅防護的實踐防護的實踐 64E5對E44E64E5對E44E數據的安全防護實踐數據的安全防護實踐 1?2?3?數字化數字化同時帶來了同時帶來了發展機遇和發展機遇和安全挑戰 安全挑戰 企x數字化推動了x務效率的快速提升l為企x帶來了巨大利益 高價值使數據成為更加明確的攻擊目標l重要數據關乎企x核心x務風險 一切都可能被入侵&控制 無法簡單區分是e好的f還是e壞的fl單純的一次性阻斷&允許策略已經沒有

2、意義-,%企x發生過嚴重的商x秘密泄露事件.0%敏感信息泄露事件來源于e內鬼f 內部威脅已經成為企x的主要安全威脅 高價值數據在信息系統中流轉和共享l是剛需 好人壞人難辨的情況t仍需要依靠信息系統進行x務發展 VS?X 傳統數據安全手段面向文檔文件或數據庫l要么脫離x務含義l要么粒度較粗 面對如今復雜的多人協同場景l單純的阻斷會影響x務效率l而允許會造成安全疏漏 數據使用數據使用vv保密保密面臨ey難面臨ey難flfl亟待新安全手段解決 亟待新安全手段解決 安全策略需要安全策略需要綜合考慮x務機會v安全風險綜合考慮x務機會v安全風險 云和移動化等使得企xu再企xu再擁有物理系統掌控擁有物理系統

3、掌控、設備v設備vx務交互x務交互l同時數字化x務的規模和復雜度提升l導致傳統手段難以分辨e好壞f 完美防御已然失效l是否信是否信任u再取決于單個向量任u再取決于單個向量ll而而是取決于場景的st文是取決于場景的st文ll同同時時信任v否是動態的l會隨著x務場景持續變化 數字化x務的風險v機會共存l新一代安全策略必須保新一代安全策略必須保持vx務發展快速同步持vx務發展快速同步ll并并w是自適應的w是自適應的l能結合x務價值管理風險 64DF464DF4主張結合主張結合x務st文評估風險x務st文評估風險 64DF4核心要素 持續動態評估 自適應 x務場景豐富化x務場景豐富化ll以提高評估準確

4、度以提高評估準確度 響應和處置安全事件后l再將規則反饋到防護產品的安全策略集 風險v信任 動態灰度名單取代了傳統的靜態黑白名單動態灰度名單取代了傳統的靜態黑白名單 評估 基于st文l評估引擎計算DTsU ENorP st文st文u僅有Fu僅有F基礎設施st文基礎設施st文ll更重要更重要的是x務st文的是x務st文 64DF4的啟發 64DF4響應策略也取決于x務機會64DF4響應策略也取決于x務機會llv其失去v其失去x務機會x務機會ll可承受一定風險可承受一定風險 對云服務的安全l云訪問64E5是實施64DF4的主要手段 FSrPL TXPVVTRPXNP HuVXPrLMTVTc TXP

5、VVTRPXNP 6oWWuXTc TXPVVTRPXNP ISTPVTss 5VLNUVTss DPpuLToX sPrvTNPs 5PSLvTorLV sTRXLurPs HTsorTNLV MPSLvTors 8XvTroXWPXLV NoXPb HLVuP oQ LssP 8XPrprTsP rTsU oVPrLXNP 8XPrprTsP poVTNc*源自GLrXPr ESouVO STs PXTc LUP STs rPquPsPO LNToX oX STs PXTc RTvPX SP RTvPX SP NurrPX NoXPb#Wc NurrPX NoXPb#Wc rus oQ S

6、P PXTc LXO rus oQ SP PXTc LXO Wc oVPrLXNP Qor rTsU2Wc oVPrLXNP Qor rTsU2 6oXTXuous rTsU LXO rus PXRTXP 6oXTXuous LOLpTvP rTsU 6oXTXuous LOLpTvP rTsU LXO rus LssPssWPXLXO rus LssPssWPX l 5VoNU&BrPvPX l 4sU Qor WorP NoXPb l 4VVoa l 4VVoa LXO VoR l 4VVoa LXO LuOT l 4VVoa LXO TsoVLP l 4VVoa LXO SroVP l

7、7PNPTvP （持續自適應風險v信任評估k 數據在信息化系統中的u同層次持續流轉 數據在信息化系統中的u同層次持續流轉 添加文字 基礎設施 基礎設施 軟件平臺 軟件平臺 x務應用 x務應用 A4 5B?8WLTV E6?C?E BL?B?8DB?8E 6D?HD?A4 5B?8WLTV E6?C?E BL?B?8DB?8E 6D?HD?操作系統操作系統ll中間件中間件ll數據庫數據庫ll 文件系統文件系統、存儲系統存儲系統llHcpPrvTsorHcpPrvTsor 6BG6BGll內存內存ll磁盤磁盤ll網網ll 光”光”ll交換機 交換機 數據 數據 數據 數據 1(01(0人 人 1(

8、001(00人 人(00d(0000(00d(0000人 人 個人隱私 個人隱私 企x運營 企x運營 產品數據 產品數據 物流供應 物流供應 企x財務 企x財務 共贏協作 共贏協作 知識資產 知識資產 經營報表 經營報表 核心設計 核心設計 溝通交流 溝通交流 公文流轉 公文流轉 數據查詢 數據查詢 客戶關系 客戶關系 FF技術發展帶來新威脅技術發展帶來新威脅ll推動安全產品向細粒度演進 推動安全產品向細粒度演進 時間軸 更細粒度 安全控制 狀態 防火墻 BE G9I 載荷級(網絡)內容級 x務級 7LB HB 數據庫加密 云訪問64E5 I49 企x應用 64E5 7B EIG 1992?2

9、007?GF?7E 2014?數字化x務提升了F的規模、復雜度、顆粒度l要求安全控制能力v之匹配l并w安全防護要vx務相結合i 5PcoXO6orp 4H E8?類型類型 感知范圍感知范圍 請求關聯請求關聯 技術能力技術能力 功能功能特點特點 生活舉例生活舉例 x務結x務結合合 安全產品安全產品 適用場景適用場景 x務級x務級 5usTXPss$LaLrPXPss XPr$rPquPs 5roUPr 委托式安全代理 經紀人 高 64E5 云安全&內部威脅防護 內容級內容級 6oXPX$LaLrPXPss XrL$rPquPs Brobc 轉發式安全代理 快遞員 低 7B&G9I&I49&7LB

10、 外網管控&互聯網安全 載荷級 載荷級(網絡)(網絡)BLcVoLO$LaLrPXPss XrL$pLr$rPquPs 9TVPr 封包&替換&阻斷 門衛 無 HB網關&7E&BE&9I 內外網隔離&內網監控 ex務感知ex務感知ff的的64E564E5 9TVPr 9TVPr Brobc Brobc pVLQorW pVLQorW 8XNrcp 8XNrcp 5usTXPss 5usTXPss 5roUPr 5roUPr 64E564E5將豐富安全能力施加到x務級 將豐富安全能力施加到x務級 對x務操作和敏感對x務操作和敏感數據的精細化識別數據的精細化識別 g近百種應用操作n數十種文件類型l

11、多種內容檢測方法 st文環境的持續st文環境的持續采集和還原采集和還原 g用戶l賬戶l設備l操作目標lx務含義lx務關聯 豐富的安全策略及豐富的安全策略及響應動作響應動作 g支持加密、阻斷、隔離、水印、7D?、阻斷用戶、帶密碼壓縮、告警、日志等 基于x務st文的基于x務st文的細粒度訪問控制細粒度訪問控制 g關聯數十種主體、客體、環境參數 g基于屬性和角色的訪問控制 數據加密和脫敏數據加密和脫敏 gq兆級商用密碼加解密處理性能 g對字段或文件提供格式保留加密 將數據安全和威脅防護能力作用到持續變化的x務場景中 (6orp 4ppVTNLToX EPNurTc 5roUPr)&(6VouO 4N

12、NPss EPNurTc 5roUPr)企x應用安全代理企x應用安全代理 云訪問安全代理云訪問安全代理 場景一m企x內部威脅防護場景場景一m企x內部威脅防護場景 互聯網 Xv外網隔離 v外網隔離 企xx務部門 企xx務部門 企x企xFF部門 部門 企x內網 企x內網 外包工作區域 外包工作區域 BL?BL?8DB8DB?8E?8E E6?E6?6D?6D?A4A4 企x數據中心 企x數據中心 敵我難分 權限缺口 敵我難分 合規推演 明文存儲*.0%.0%以s的安全事件源于以s的安全事件源于內部威脅內部威脅 企x應用企x應用64E564E5提供以數據為抓手的零信任安全架構 提供以數據為抓手的零信

13、任安全架構 互聯網 Xv外網隔離 v外網隔離 企x數據中心 企x數據中心 企xx務部門 企xx務部門 企x企xFF部門 部門 企x內網 企x內網 外包工作區域 外包工作區域 只有符合權限的用戶才能訪問只有符合權限的用戶才能訪問到其應該使用的數據到其應該使用的數據ll同時具同時具備可定責的防篡改審計 備可定責的防篡改審計 BL?BL?8DB8DB?8E?8E E6?E6?6D?6D?A4A4 沒有任何人能從應用服務后臺沒有任何人能從應用服務后臺獲取敏感數據明文信息 獲取敏感數據明文信息 v權限體系結合的解密策v權限體系結合的解密策略略ll無法被繞過 無法被繞過 6TpSPrGLPaLc6TpSP

14、rGLPaLc 實踐實踐m64E5m64E5防護防護BL?BL?數據安全 數據安全 需求 規劃 概念設計 詳細設計 工藝設計 仿真v驗證 生產 測試v驗證 銷售 售后服務 維修 處理v回收 重用 優化設計 迭代 h%風險 風險 風險 風險 風險 風險 風險 風險 風險 風險 風險 風險%#p*4O QsO-.,K&R,R4,N4,-#K%*QQRS#KQRNvNv%QRQ*4)&K9R.9O.,-QR%RSR QRNvNv%6G 明文文檔 密文文檔 BL?服務器 直接從后臺t載的數模文件無法在設計軟件中打開 直接從后臺結構樹中查看數模屬性信息也被加密()()為為BL?BL?賦予數據加密能力 賦

15、予數據加密能力%#p*4O QsO-.,K&R,R4,N4,-#K%*QQRS#KQRNvNv%QRQ*4)&K9R.9O.,-QR%RSR QRNvNv%#p*4O QsO-.,K&R,R4,N4,-#K%*QQRS#KQRNvNv%QRQ*4)&K9R.9O.,-QR%RSR QRNvNv%系統管理員 審計管理員 安全保密員 應用實施人員 系統管理員直接訪問后臺數據 通過維護命令接觸后臺數據 利用漏洞獲取敏感數據 內部潛伏敵特 6TpSPrGLPaLc 已淪陷的 辦公區交換機 F運維、外包實施、管理員、內部惡意人員、被控制主機、特木等人員和手段均無法直接從后臺獲取敏感數據 從交換機s也無法

16、獲取敏感數據 BL?服務器 明文文檔 密文文檔 密文文檔 密文文檔()()從后臺非法獲取的敏感數據從后臺非法獲取的敏感數據只有只有密文 密文 口令m4XTL/(0)#35LoSu 6G BL?服務器 口令maosST(口令m4XTL/(0)#35LoSu 訪問行為異常&進行關鍵操作 再次進行強身份認證 6TpSPrGLPaLc會自動將用戶口令替換成復雜強口令 遇到關鍵x務操作時l會要求再次進行身份驗證)杜絕關鍵操作時身份被冒用 杜絕關鍵操作時身份被冒用%#p*4O QsO-.,K&R,R4,N4,-#K%*QQRS#KQRNvNv%QRQ*4)&K9R.9O.,-QR%RSR QRNvNv%#

17、p*4O QsO-.,K&R,R4,N4,-#K%*QQRS#KQRNvNv%QRQ*4)&K9R.9O.,-QR%RSR QRNvNv%系統管理員賬號被竊取l用來訪問數據v給其他用戶提權 部門級6TpSPrGLPaLc 已淪陷的 辦公區交換機 某高權限設計師電腦被遠程控制(%執行用戶權限修改的操作)%要求再次驗證身份(%執行數據t載v發送)%要求再次驗證身份*%插入GE5UPc獲取權限*%無法完成GE5KPc驗證 潛伏敵特試圖通過竊取來的憑證登錄BL?系統 BL?服務器(%以口令maosST(登錄系統*%拒絕登錄)%aosST(v4XTL/(0)#35LoSu 匹配失敗 防止身份被冒用l確保

18、操作為用戶本人執行m u通過部門級6TpSPrGLPaLc無法正確驗證登錄憑證 關鍵流程節點m敏感操作&異常操作需要再次進行強身份認證 應用級 6TpSPrGLPaLc 統一認證 服務器)增強關鍵x務操作和數據使用的身份驗證 增強關鍵x務操作和數據使用的身份驗證 應用級6G BL?服務器 訪問敏感數模4 訪問敏感數模4 請求敏感數模4 返回敏感數模4 返回敏感數模4(主任 設計師 工裝 設計師 基于人員權限和策略l對沒有權限的人進行定向脫敏l對e內鬼f或潛伏在內部的敵特人員l提供欺騙數據 返回敏感數模4*)*)深度結合數據使用的脫敏機制 深度結合數據使用的脫敏機制%#p*4O QsO-.,K&

19、R,R4,N4,-#K%*QQRS#KQRNvNv%QRQ*4)&K9R.9O.,-QR%RSR QRNvNv%#p*4O QsO-.,K&R,R4,N4,-#K%*QQRS#KQRNvNv%QRQ*4)&K9R.9O.,-QR%RSR QRNvNv%部門級6TpSPrGLPaLc 已淪陷的 辦公區交換機 工裝設計師 查看核心數模4設計內容l檢查項目進度和完成情況 BL?服務器 根據數據使用人員的權限、工作內容差異l定向脫敏核心數據n 對于u應該看到數據卻需要數據來工作的員工l僅開放其權限內的數據l或給部分假數據n 降低大型項目數據泄露的風險n 同時可以針對性投放高仿真欺騙數據l迷惑潛伏敵特n

20、 應用級 6TpSPrGLPaLc 主任設計師 查看核心數模4設計內容l以完成工裝任務 請求敏感數模文件4 返回敏感數模文件4 返回敏感數模文件4和4(向主任設計師發送敏感數模4 向工裝設計師發送脫敏后的敏感數模4(為BL?應用增加動態數模脫敏的安全功能l可根據u同x務場景l替換其中部分數據l實現脫敏、混淆、偽裝等安全目的*)*)最小化敏感數據閱讀范圍最小化敏感數據閱讀范圍ll迷惑惡意人員 迷惑惡意人員 實踐m64E5防護8DB實踐m64E5防護8DB數據安全 數據安全 GH$0).GH$0).黑“金（4k 硝酸銨(化肥)（/)k 銷胺（(.%0*k 硫磺（0%0.k(0*脫敏劑()主任 主任

21、 生產生產(組 組 生產生產)組 組 生產*組 8DB8DBx務流程v核心關鍵點 x務流程v核心關鍵點 營銷中心 營銷中心 備料計劃 備料計劃 庫存組 庫存組 調撥申請 調撥申請 分銷 分銷 自銷 自銷 集中銷售 集中銷售 采購中心 采購中心?BE&?DB?BE&?DB運算 運算 集采集收 集采集收 集采分收 集采分收 自采 自采 委外 委外 生產中心 生產中心 材料出庫 材料出庫 銷售訂單 銷售訂單 請購單 請購單 采購訂單 采購訂單 委外申請 委外申請 計劃中心 計劃中心 E&ABE&AB計劃 計劃 需求管理需求管理5A?5A?預訂單 預訂單 調撥申請 調撥申請 調撥訂單 調撥訂單 調撥訂

22、單 調撥訂單 生產訂單 生產訂單 計劃訂單 計劃訂單 相同單據互斥角色看到u同材料內容 相同單據互斥角色看到u同材料內容 黑“金秘方生產過程中分為生產黑“金秘方生產過程中分為生產(組和生產組和生產)組組ll(組負責硝酸銨組負責硝酸銨(化肥化肥)ll)組負責硝銨和硫磺組負責硝銨和硫磺。避免同一組人根據物料出庫情況推測出配方構成避免同一組人根據物料出庫情況推測出配方構成。生產(組 生產)組 數據權限細控數據權限細控ll非相關人員查看數據加密 非相關人員查看數據加密 生產*組 混合攪拌 g一組知道組分硝酸銨 硝化 g 二組知道組分銷胺、硫磺 晾曬 g r組知道輔料脫敏劑 GH$0).GH$0).合謀

23、攻擊、盜取配方 同一工藝流程中同一配方同一工藝流程中同一配方5A?5A?的u同組分的u同組分ll有u同的知情人 有u同的知情人)0(/&/&(.)0(/&/&(/)0(/&/&(0 時間 時間 配方配方5A?5A?GH$0).GH$0)-4 5 6 企x關鍵配方也是u斷微小調整變化的。當一組、二組、r組u同數據權限的人l在幾乎同一時間段l訪問同一5A?單時l合謀攻擊的傾向非常明顯。系統自動對管理員預警l公司采取措施。結合配方v人員st文結合配方v人員st文ll感知合謀竊取數據行為 感知合謀竊取數據行為 8DB的x務流程很長l涉及重要敏感的物料的環節很多。最小化各個部門用戶數據權限并隔離l通過6

24、G編碼轉換l避免合謀攻擊。采購部 采購部 倉儲部 倉儲部 生產部 生產部 財務部 財務部 采購部 采購部 倉儲部 倉儲部 生產部 生產部 財務部 財務部(00(GH$0).(00(GH$0).(00(GH$0).(00(GH$0).(00(GH$0).(00(GH$0).(一號 一號)二號 二號*r號 r號 4444 4444 四號 四號(00(GH$0).(00(GH$0).智能重造編碼智能重造編碼ll防通 防通 同一重要物料同一重要物料ll跨跨部門看到u同編碼部門看到u同編碼、名稱名稱?場景二場景二mm64E564E5讓用戶重獲讓用戶重獲ELLEELLE數據掌控權 數據掌控權 l 結合x務

25、字段級細粒度加密 l 非法用戶無法獲取涉及商x秘密的數據 l 核心引擎平臺可快速適配各種云應用 未授權用戶 網絡服務商 應用服務商 黑客 6TpSPrGLPaLc l 安全可靠的密鑰管理 l 采用高強度國密算法 l 已有應用y端u改變的適配方式 l 多終端類型、多應用支持 l 服務高可用、數據高可靠 l 身份認證和權限管理 企x可掌控區域 企x可掌控區域 SaaS?報賬 報賬 電子發票 電子發票 用戶端 用戶端 個人報賬 結算x務 結算x務 報賬單 固定資產 進銷存 預算x務 薪酬工資 日常報銷 應付應收 h h 第r方支付 第r方支付 第r方服務 第r方服務 什么數據會s傳到云端o s傳了多

26、少數據到云端o 有哪些敏感數據被s傳o 是哪個x務模塊s傳的o 什么時間點s傳到云端o s傳的數據是u已授權o 敏感信息是否已脫敏o 脫敏的數據如何u影響x務o 敏感數據是否已脫敏o 脫敏的數據如何u影響x務o 如何避免敏感數據 u被泄露以及濫用o 實踐實踐mmELLE云端ELLE云端數據安全數據安全 合法用戶通過合法用戶通過64E564E5ll查詢憑證列表 查詢憑證列表 非授權用戶數據安全加密非授權用戶數據安全加密 未授權用戶u通過64E5l直接查詢憑證列表（亂碼?SSL/HTTPS?API clear text data,customer data,confidential?CASB?云訪

27、問云訪問64E564E5提供了u同的數據安全模型提供了u同的數據安全模型?API?njiu3jfnas9j34n21 nkujrwenqnfdasiufun41432jjdsiafdsnn43214jkfd CASB?構筑應用安全生態構筑應用安全生態ll保障企xx務發展 保障企xx務發展【5uTVO EPNurTc X】把密碼、訪問控制、檢測分析等安全能力融入到廣泛的企x應用系統中l保護國家秘密、商x秘密和公眾隱私 軟件應用v安全行x形成能力融合l共同構筑健康的安全生態 6TpSPrGLPaLc6TpSPrGLPaLcx務應用安全網關x務應用安全網關【64E5】【64E5】可以適配進x務流程的

28、數據安全v威脅防護產品可以適配進x務流程的數據安全v威脅防護產品 6TpSPrEuTP6TpSPrEuTP密碼套件密碼套件 高效高效、安全安全、易用易用、支持商用密碼算法的密碼套件 支持商用密碼算法的密碼套件 愿景愿景mm讓數字化x務更安全讓數字化x務更安全 使命使命mm將數據安全適配進x務流程將數據安全適配進x務流程ll構筑應用安全生態構筑應用安全生態ll 保障企xx務發展 保障企xx務發展 創始團隊具有豐富的應用開發創始團隊具有豐富的應用開發、安全安全、密碼學背景v從x經驗密碼學背景v從x經驗nn 解決方案顧問團隊在大型企x應用領域具有解決方案顧問團隊在大型企x應用領域具有(,(,年以s從x經驗年以s從x經驗nn 獨立信息安全研究實驗室獨立信息安全研究實驗室6GLLM6GLLMnn 關于我們 關于我們 謝 謝i