12月4日，主題為“數(shù)字合作創(chuàng)新 安全賦能基建”的2020云安全聯(lián)盟CSA大中華區(qū)大會在上海開幕，奇安信身份安全事業(yè)部總經(jīng)理張澤洲在大會演講中表示，推動零信任架構(gòu)的落地不能一蹴而就，需要以工程思維，妥善規(guī)劃，分步建設(shè)，最終達成基于身份的、細粒度的動態(tài)訪問控制機制。

　　圖：奇安信身份安全事業(yè)部總經(jīng)理張澤洲

　　數(shù)字化轉(zhuǎn)型時代，數(shù)據(jù)中心也在向云化發(fā)展。云化數(shù)據(jù)中心具有數(shù)據(jù)價值集中、邊界不斷延伸、數(shù)據(jù)持續(xù)流動等特點;另一方面，高價值的數(shù)據(jù)必然充滿誘惑，云化數(shù)據(jù)中心安全威脅和網(wǎng)絡(luò)攻擊的重點也相應(yīng)的發(fā)生了變化，主要表現(xiàn)為利用弱密碼、業(yè)務(wù)漏洞等手段突破邊界;利用網(wǎng)絡(luò)層面的“默認信任”進行橫向移動;利用資產(chǎn)訪問控制的缺失竊取數(shù)據(jù)，缺乏完善的針對資產(chǎn)的訪問控制措施。

　　面對上述問題，張澤洲認為需要以資產(chǎn)為中心，從業(yè)務(wù)與安全兩個視角重新審視安全架構(gòu)。零信任正是解決上述問題的一種理念、方法和架構(gòu)。零信任理念認為網(wǎng)絡(luò)默認不可信，不能僅僅基于訪問者在內(nèi)網(wǎng)還是外網(wǎng)來決定訪問權(quán)限，而是要基于從不信任、始終驗證的原則，將安全措施從網(wǎng)絡(luò)轉(zhuǎn)移到具體的人員、設(shè)備和業(yè)務(wù)資產(chǎn)，在邊界安全之上疊加基于身份的邏輯邊界，其本質(zhì)是基于身份的、細粒度的動態(tài)訪問控制機制。

　　具體來說，零信任需要做好四個方面的關(guān)鍵能力。

　　首先，以身份為基石：構(gòu)建并持續(xù)維持身份和權(quán)限基礎(chǔ)數(shù)據(jù)的有序至關(guān)重要，這是精準(zhǔn)訪問控制的準(zhǔn)繩;

　　其次，動態(tài)訪問控制：應(yīng)該基于訪問路徑，充分利用端到端的上下文屬性作為訪問決策的因素。其中需要注意的是，不僅僅需要考慮人員的屬性，還要考慮設(shè)備的屬性、網(wǎng)絡(luò)的屬性、環(huán)境的屬性等等。訪問策略所依賴的屬性越多，訪問策略越精準(zhǔn);

　　第三，驗證并持續(xù)評估：對人員和設(shè)備進行強身份驗證，并且在訪問過程中結(jié)合各種數(shù)據(jù)進行持續(xù)評估;

　　最后，全場景業(yè)務(wù)安全訪問：針對現(xiàn)代IT基礎(chǔ)設(shè)施，業(yè)務(wù)場景很多，包括應(yīng)用訪問、運維、接口調(diào)用、功能和數(shù)據(jù)訪問等等，需要在這些業(yè)務(wù)場景中設(shè)置訪問控制點。

　　圖：零信任安全邏輯架構(gòu)

　　奇安信新一代身份安全工程作為奇安信“十大工程五大任務(wù)”之首，是零信任架構(gòu)在新型業(yè)務(wù)場景落地建設(shè)的工程化框架。新一代網(wǎng)絡(luò)安全框架從頂層視角出發(fā)，以系統(tǒng)工程的方法論結(jié)合“內(nèi)生安全”理念，解構(gòu)出面向數(shù)字化時代網(wǎng)絡(luò)安全規(guī)劃的“十大工程五大任務(wù)”，能指導(dǎo)不同行業(yè)輸出符合其特點的網(wǎng)絡(luò)安全架構(gòu)，構(gòu)建動態(tài)綜合的網(wǎng)絡(luò)安全防御體系。新一代身份安全框架將身份安全與零信任能力，通過不同的網(wǎng)絡(luò)安全執(zhí)行點調(diào)用到數(shù)字化環(huán)境的各個關(guān)鍵環(huán)節(jié)，最終實現(xiàn)端到端應(yīng)用與數(shù)據(jù)的細粒度訪問安全，支持客戶的安全架構(gòu)升級，助力數(shù)字化轉(zhuǎn)型。

　　張澤洲強調(diào)，零信任作為一個安全架構(gòu)進行落地，面臨著流程、技術(shù)、管理等多個方面的挑戰(zhàn)，必須結(jié)合企業(yè)現(xiàn)狀，妥善規(guī)劃，分步建設(shè)，逐步推進零信任的落地。分步構(gòu)建一定要注意零信任建設(shè)的可持續(xù)性，要避免一個一個場景的零信任建設(shè)完成后，卻變成一個一個的項目孤島，安全能力打不通，安全策略沒法統(tǒng)一，這和零信任架構(gòu)的訴求是背道而馳的，不符合零信任的價值實現(xiàn)。

　　奇安信集團作為國內(nèi)領(lǐng)先的零信任架構(gòu)的踐行者，擁有專注“零信任身份安全架構(gòu)”研究的專業(yè)實驗室——奇安信身份安全實驗室，致力于解決國內(nèi)“企業(yè)物理邊界正在瓦解、傳統(tǒng)邊界防護措施正在失效”的新一代網(wǎng)絡(luò)安全問題，并推出“以身份為基石、業(yè)務(wù)安全訪問、持續(xù)信任評估、動態(tài)訪問控制”為核心的奇安信零信任身份安全解決方案。

　　該團隊結(jié)合行業(yè)現(xiàn)狀，大力投入對零信任安全架構(gòu)的研究和產(chǎn)品標(biāo)準(zhǔn)化，牽頭發(fā)起了首個國家標(biāo)準(zhǔn)《信息安全技術(shù) 零信任參考體系架構(gòu)》的制定工作，并積極推動“零信任身份安全架構(gòu)”在業(yè)界的落地實踐。目前，該奇安信零信任安全解決方案已經(jīng)在在政府、部委、金融、能源等行業(yè)進行廣泛落地實施，為客戶的大數(shù)據(jù)中心、核心業(yè)務(wù)資產(chǎn)等進行保護，支撐整體安全架構(gòu)的變革，得到市場、業(yè)界的高度認可。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實，對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關(guān)內(nèi)容。本站不承擔(dān)此類作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請及時聯(lián)系我們，本站將會在24小時內(nèi)處理完畢。