隨著全球數(shù)字化和萬(wàn)物互聯(lián)的加速發(fā)展,傳統(tǒng)網(wǎng)絡(luò)的物理邊界已經(jīng)被徹底打破,以 “零信任”理念重構(gòu)網(wǎng)絡(luò)安全防御體系近年來(lái)得到廣泛認(rèn)可。
近日,中國(guó)移動(dòng)應(yīng)急4A工程中的零信任安全體系正式啟用。該平臺(tái)采用了最新的軟件定義邊界(SDP)技術(shù),以“除非被證明可信,否則永不信任”為基本原則,以“不以邊界作為信任條件”前提,構(gòu)建出符合當(dāng)下異構(gòu)網(wǎng)絡(luò)和業(yè)務(wù)的發(fā)展需求的安全防護(hù)體系,可對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)、網(wǎng)絡(luò)資源進(jìn)行重點(diǎn)防護(hù)。
推動(dòng)零信任《規(guī)范》建設(shè),SDP應(yīng)用率先落地
2020年至今,突如其來(lái)的新冠疫情讓遠(yuǎn)程辦公成為新常態(tài)。另一方面,數(shù)字化加速落地,企業(yè)業(yè)務(wù)上云成為產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的重要趨勢(shì)。二力合一,加速了全球企業(yè)對(duì)新型網(wǎng)絡(luò)安全技術(shù)和產(chǎn)品的探索和實(shí)踐,其中之一便是“零信任”。
傳統(tǒng)的網(wǎng)絡(luò)邊界,無(wú)論多么堅(jiān)固,墻就在那里,攻防雙方陷入技術(shù)攀比的循環(huán),一個(gè)拆、一個(gè)補(bǔ)。直到零信任技術(shù)的出現(xiàn),改變了這個(gè)局面,墻還在那里,但看不見(jiàn),摸不著。
零信任倡導(dǎo)“持續(xù)驗(yàn)證、永不信任”,也就是我們不應(yīng)該自動(dòng)信任網(wǎng)絡(luò)中的任何人、設(shè)備和位置,“零信任”架構(gòu)下,意味著每個(gè)用戶、設(shè)備、服務(wù)或應(yīng)用程序都是不可信任的,基于這樣的“懷疑”準(zhǔn)則,必須通過(guò)持續(xù)認(rèn)證才能獲得最低級(jí)別的信任和關(guān)聯(lián)訪問(wèn)特權(quán),實(shí)現(xiàn)更安全地對(duì)資源的訪問(wèn),不遺漏任何可疑因素,這種思路給我們提供了全新的方法論和安全工具。
依靠需求與技術(shù)的多重推動(dòng),全球“零信任”市場(chǎng)按下了“加速鍵。在此背景下,中國(guó)移動(dòng)率先積極參與國(guó)內(nèi)相關(guān)零信任技術(shù)規(guī)范,同時(shí)在行業(yè)內(nèi)率先啟動(dòng)零信任平臺(tái)建設(shè),并與安全廠商一起針對(duì)相關(guān)技術(shù)在運(yùn)營(yíng)商行業(yè)內(nèi)的應(yīng)用進(jìn)行積極的研究和實(shí)踐。
從物理邊界向軟件定義邊界(SDP)轉(zhuǎn)變
在項(xiàng)目規(guī)劃階段,中國(guó)移動(dòng)網(wǎng)絡(luò)事業(yè)部制定了以4A身份為基石,基于全面身份化認(rèn)證模式,為用戶、設(shè)備、應(yīng)用程序、業(yè)務(wù)系統(tǒng)等實(shí)體,建立統(tǒng)一的數(shù)字身份標(biāo)識(shí)和治理流程的目標(biāo),確保只有合法的用戶、從合法設(shè)備上才能訪問(wèn)網(wǎng)絡(luò)。
在建設(shè)過(guò)程中,中國(guó)移動(dòng)聯(lián)合亞信安全,充分利用其SDP解決方案所具備的網(wǎng)絡(luò)隱身屬性、網(wǎng)絡(luò)控制屬性、可信應(yīng)用、終端準(zhǔn)入、事中控制等特性,有效了解決網(wǎng)絡(luò)邊界模糊帶來(lái)的安全問(wèn)題。
•網(wǎng)絡(luò)隱身能力搭建:
基于UDP的單包認(rèn)證、先認(rèn)證后連接的特性能很好的起到內(nèi)網(wǎng)保護(hù)的作用,同時(shí)解決了由于TCP握手而導(dǎo)致的SYN洪泛?jiǎn)栴},有效解決互聯(lián)網(wǎng)暴露面的問(wèn)題。
•網(wǎng)絡(luò)控制&URL控制:
基于用戶(賬號(hào))訪問(wèn)資源的動(dòng)態(tài)網(wǎng)絡(luò)控制,能針對(duì)不同角色的人員授權(quán)不同的訪問(wèn)網(wǎng)絡(luò)和URL,有效解決防火墻無(wú)法針對(duì)用戶、角色進(jìn)行動(dòng)態(tài)的細(xì)粒度網(wǎng)絡(luò)隔離的問(wèn)題。
•可信應(yīng)用&終端準(zhǔn)入:
基于應(yīng)用的白名單控制策略,保證訪問(wèn)內(nèi)網(wǎng)的流量是通過(guò)可信應(yīng)用產(chǎn)生的;基于惡意進(jìn)程和端口的的黑名單控制策略,有效解決了帶病終端接入內(nèi)網(wǎng)對(duì)內(nèi)網(wǎng)產(chǎn)生的危害。
•事中行為控制:
基于持續(xù)認(rèn)證策略,對(duì)用戶行為進(jìn)行支持評(píng)估,針對(duì)高危操作進(jìn)行持續(xù)認(rèn)證和實(shí)時(shí)的阻斷。
由“網(wǎng)絡(luò)中心化”走向“身份中心化”
在已建設(shè)的平臺(tái)能力基礎(chǔ)上,中國(guó)移動(dòng)還將持續(xù)探索,并充分發(fā)揮SDP解決方案的“多”點(diǎn)多面全聯(lián)動(dòng)、“快”捷訪問(wèn)一站式、“全”業(yè)務(wù)場(chǎng)景覆蓋、“細(xì)”溯源安全審計(jì)等特點(diǎn),開(kāi)展零信任安全保障體系建設(shè),重塑網(wǎng)絡(luò)安全邊界。
項(xiàng)目正式落地之后,中國(guó)移動(dòng)安全體系架構(gòu)規(guī)劃將由“網(wǎng)絡(luò)中心化”走向“身份中心化”,建立以“人”為中心進(jìn)行訪問(wèn)控制,解決因網(wǎng)絡(luò)環(huán)境開(kāi)放,用戶角色復(fù)雜引發(fā)的各種身份安全風(fēng)險(xiǎn)、設(shè)備安全風(fēng)險(xiǎn)和行為安全風(fēng)險(xiǎn),做到非法用戶進(jìn)不來(lái),合法用戶不能亂來(lái),斬?cái)嗪诳偷暮谑郑U暇W(wǎng)絡(luò)及業(yè)務(wù)安全。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 )