近期,美國管理與預(yù)算辦公室發(fā)布了《聯(lián)邦零信任戰(zhàn)略》,網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)布了《零信任成熟度模型》、《云安全技術(shù)參考架構(gòu)》公開征集意見。

本次發(fā)布的三份文件遵循了今年5月美國總統(tǒng)拜登簽署發(fā)布的關(guān)于加強聯(lián)邦政府網(wǎng)絡(luò)安全的行政令,該項命令中明確涉及多種特定的安全方法與工具,包括多因素身份驗證、加密與零信任等等。這三份文件的發(fā)布表明整個美國聯(lián)邦政府已經(jīng)正式開啟零信任戰(zhàn)略。

如今,世界各國和組織都在相繼出臺或完善涉及零信任在內(nèi)的數(shù)據(jù)安全標(biāo)準(zhǔn)及法規(guī),以抵御日益復(fù)雜的網(wǎng)絡(luò)威脅。零信任已成為全球網(wǎng)絡(luò)安全領(lǐng)域的共識。

當(dāng)前我國已進入數(shù)字化經(jīng)濟時代,數(shù)據(jù)資源整合和開放共享是大勢所趨。隨著《中華人民共和國數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》等一系列安全法律法規(guī)的正式實施,國家在法律層面加強了對各個行業(yè)的約束。美亞柏科全資子公司美亞網(wǎng)安結(jié)合在大數(shù)據(jù)行業(yè)深耕多年的行業(yè)經(jīng)驗,基于零信任的安全防護理念,推出“天盾”零信任產(chǎn)品,提供信息系統(tǒng)數(shù)據(jù)安全保護整體解決方案。

“天盾”零信任產(chǎn)品遵循“永不信任,始終驗證”的原則,旨在隔離一切不可信的訪問身份,排除一切不合規(guī)的操作行為。以數(shù)據(jù)為中心,實現(xiàn)用戶訪問場景的全流程身份認(rèn)證、持續(xù)信任評估、動態(tài)訪問控制、實時風(fēng)險處置、全面業(yè)務(wù)審計,變被動為主動、變靜態(tài)為動態(tài),對應(yīng)用、功能、服務(wù)、數(shù)據(jù)等核心資產(chǎn)的訪問行為進行精細化管控,形成了以保護數(shù)據(jù)資源為核心的網(wǎng)絡(luò)安全范式。

“天盾”零信任產(chǎn)品是面向業(yè)務(wù)全流程的安全防護,在零信任傳統(tǒng)理念的基礎(chǔ)上重點關(guān)注以下幾個方面:

在身份管理和身份認(rèn)證方面,“天盾”的做法是由認(rèn)證服務(wù)提供統(tǒng)一登錄門戶,業(yè)務(wù)應(yīng)用都注冊在門戶上,隱藏了應(yīng)用的實際IP和端口,所有的訪問都是基于門戶域名的訪問,并采用SPA單包認(rèn)證技術(shù),可有效預(yù)防網(wǎng)絡(luò)攻擊。

另外,還可進行多因子以及生物特征認(rèn)證,特別是當(dāng)訪問一些高敏應(yīng)用時提供補充認(rèn)證服務(wù),例如采用人臉識別登錄門戶系統(tǒng),在使用高敏應(yīng)用時需要通過人臉+聲紋認(rèn)證,認(rèn)證失敗時則會再次彈出認(rèn)證窗口進行補充認(rèn)證。

圖:認(rèn)證服務(wù)流程

在權(quán)限管理方面,過去各企業(yè)在權(quán)限管理方面普遍使用基于角色的RBAC授權(quán)模式(靜態(tài)授權(quán)模式),這種授權(quán)模式中角色分配往往是基于靜態(tài)的組織架構(gòu)和職位,這給某些需要動態(tài)訪問控制的決策帶來了挑戰(zhàn)。如果企業(yè)試圖實現(xiàn)這類訪問控制決策則需要創(chuàng)建大量的角色,這些角色是臨時性的,而且成員有限,導(dǎo)致了通常所說的 "角色爆炸"。

目前,常規(guī)的零信任模式一般采用動態(tài)授權(quán),使用ABAC授權(quán)模式(基于屬性的訪問控制),例如可以根據(jù)用戶的崗位、職級進行設(shè)置授予相應(yīng)的客體資源。然而在實際的業(yè)務(wù)場景下,ABAC的訪問控制粒度還不夠細,例如運維用戶只能在工作日24:00-次日06:00從運維區(qū)域訪問某類數(shù)據(jù)。

針對以上模式的不足,“天盾”提供了更進一步的PBAC授權(quán)模式(基于策略的訪問控制),在ABAC授權(quán)模式的基礎(chǔ)上增加環(huán)境屬性、操作屬性,加上響應(yīng)的訪問規(guī)則,形成基于策略的訪問控制。

圖:PBAC授權(quán)模式

我們在零信任的動態(tài)授權(quán)上有兩個方面的考慮:一個是根據(jù)環(huán)境屬性變化(包括時間、位置、終端評分等)導(dǎo)致用戶的權(quán)限發(fā)生變化,并采用最小授權(quán)原則。另一個是用戶的實體屬性變化導(dǎo)致權(quán)限發(fā)生變化,例如一個用戶從職位A變動為職位B,他的權(quán)限會自動根據(jù)職位發(fā)生變化,以前職位B能訪問的權(quán)限會自動授予給該用戶,這些都可以通過PBAC授權(quán)模式得以實現(xiàn)。

同時,“天盾”產(chǎn)品以保護大數(shù)據(jù)安全為目的,通過數(shù)據(jù)資源網(wǎng)關(guān)提供的大數(shù)據(jù)服務(wù),可提供字段級(數(shù)據(jù)表的列)的權(quán)限管控,并且可以根據(jù)數(shù)據(jù)的分類分級,對數(shù)據(jù)進行分級管控。

在業(yè)務(wù)安全審計與預(yù)警方面,一般的零信任產(chǎn)品在設(shè)計上僅僅關(guān)注技術(shù)實現(xiàn)問題,缺少對業(yè)務(wù)安全的考慮。美亞網(wǎng)安“天盾”零信任產(chǎn)品在設(shè)計上充分考慮技術(shù)和業(yè)務(wù)問題,提供具有特色的業(yè)務(wù)審計功能。

在業(yè)務(wù)審計功能方面,除了基本的審計功能外,“天盾”提供基于風(fēng)險的預(yù)警管理,根據(jù)某部委的業(yè)務(wù)場景梳理出20+種業(yè)務(wù)風(fēng)險模型,并且基于這些業(yè)務(wù)風(fēng)險模型,創(chuàng)建預(yù)警模型,也就是說可以為用戶在事件還未達到風(fēng)險發(fā)生的情況下做出預(yù)警,從而及時避免風(fēng)險情況發(fā)生。

圖:審計服務(wù)模型

在風(fēng)險發(fā)現(xiàn)與實時處置方面,“天盾”策略服務(wù)創(chuàng)建風(fēng)險模型并下發(fā)給各個零信任服務(wù),當(dāng)服務(wù)發(fā)現(xiàn)風(fēng)險信息后,上報風(fēng)險信息,策略服務(wù)可以通過下發(fā)指令的方式進行處置,例如和權(quán)限服務(wù)聯(lián)動,動態(tài)調(diào)整用戶權(quán)限,縮小用戶權(quán)限或者禁止用戶訪問。

圖:風(fēng)險發(fā)現(xiàn)和處置

對于美亞網(wǎng)安來說,零信任體現(xiàn)的是一種思想理念,其技術(shù)實現(xiàn)和應(yīng)用不是固化的,要貼近用戶業(yè)務(wù)和使用場景,因此產(chǎn)品和功能服務(wù)必須具有自適應(yīng)能力,不斷進化,以全流程、體系化的思想去解決安全訪問等問題。在零信任訪問控制的道路上,美亞網(wǎng)安也將持續(xù)對“天盾”產(chǎn)品進行迭代和優(yōu)化,為國家的網(wǎng)絡(luò)安全事業(yè)貢獻力量。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。
任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 ）