8月16日下午,在2019深信服創(chuàng)新大會的風(fēng)險驅(qū)動網(wǎng)絡(luò)安全建設(shè)專場上,深信服移動產(chǎn)品研發(fā)總監(jiān)郭炳梁正式發(fā)布深信服精益信任aTrust安全架構(gòu),并發(fā)表“從零信任到精益信任”的主題演講。

深信服精益信任aTrust安全架構(gòu)在零信任的基礎(chǔ)上做了增強(qiáng),通過信任和風(fēng)險的反饋控制,實(shí)現(xiàn)“精確而足夠”的信任。同時,精益信任aTrust安全架構(gòu)下,終端、邊界、外網(wǎng)的已有安全設(shè)備可以基于信任和風(fēng)險的閉環(huán)進(jìn)行聯(lián)動,形成自主調(diào)優(yōu)、快速處置的統(tǒng)一安全架構(gòu)。

郭炳梁在演講中介紹了零信任的發(fā)展熱潮,并分析企業(yè)為什么需要零信任,以及深信服精益信任aTrust安全架構(gòu)與傳統(tǒng)零信任安全架構(gòu)的不同和變化。

零信任熱潮

企業(yè)的傳統(tǒng)防護(hù)理念是為企業(yè)內(nèi)網(wǎng)構(gòu)建防御邊界,縱向的流量將會受到重重的防護(hù),但是一旦進(jìn)入內(nèi)部,便將暢通無阻?；趥鹘y(tǒng)的安全理念,在企業(yè)發(fā)展初期,可以相對簡單的實(shí)現(xiàn)網(wǎng)絡(luò)安全。

但隨著企業(yè)業(yè)務(wù)的不斷增長,需要開設(shè)子公司、辦事處,將子公司和辦事處的邊界與總部的內(nèi)部網(wǎng)絡(luò)進(jìn)行聯(lián)通,越來越多的困擾出現(xiàn)在企業(yè)面前。

1. 擴(kuò)建慢:企業(yè)需要不斷采購設(shè)備,進(jìn)行復(fù)雜的部署實(shí)施上線。

2. 成本高:子公司需要專線或VPN組網(wǎng)。

3. 運(yùn)維難:網(wǎng)絡(luò)、安全設(shè)備分散部署,難以維護(hù)。

這形成了企業(yè)發(fā)展過程中的成長之痛。

同時移動辦公的情況變得越來越多,更多的員工、供應(yīng)商、合作伙伴需要從全球、全國各個位置安全的接入企業(yè)內(nèi)網(wǎng)進(jìn)行訪問。除此之外,應(yīng)用的移動化,數(shù)據(jù)中心的云化也不斷帶來更多的問題。

這種情況下,內(nèi)部網(wǎng)絡(luò)的安全邊界變得模糊,甚至趨于破碎,基于邊界的安全防護(hù)體系正在漸漸失效。

同時,傳統(tǒng)的安全架構(gòu)基于網(wǎng)絡(luò)位置構(gòu)建信任區(qū),內(nèi)部網(wǎng)絡(luò)屬于受信特權(quán)區(qū)域。但內(nèi)網(wǎng)威脅持續(xù)增高,在傳統(tǒng)認(rèn)為受信的內(nèi)網(wǎng)區(qū)域,存在大量橫向移動、嗅探暴破等惡意流量,無法被發(fā)現(xiàn)和控制。

APT攻擊更是內(nèi)網(wǎng)威脅里的重大隱患,攻擊方從企業(yè)的任意一個邊界突破進(jìn)入內(nèi)網(wǎng),長期潛伏下來,伺機(jī)尋找高機(jī)密系統(tǒng)的破綻,找準(zhǔn)機(jī)會,一擊即中,實(shí)施信息竊取或破壞,成為了企業(yè)網(wǎng)安全的達(dá)克摩斯之劍。

以2009年發(fā)生的APT攻擊『極光行動』為例,攻擊者通過特定員工的終端,入侵了谷歌內(nèi)網(wǎng)的gmail郵箱服務(wù)器,盜竊機(jī)密行為持續(xù)了數(shù)月之久。這讓谷歌痛下決心,在自身企業(yè)網(wǎng)實(shí)施Beyond Corp零信任安全架構(gòu)。

傳統(tǒng)的安全架構(gòu)其實(shí)已經(jīng)很難去適應(yīng)企業(yè)的快速成長,也難以去適應(yīng)業(yè)務(wù)的快速變化,企業(yè)需要構(gòu)筑全新的網(wǎng)絡(luò)安全架構(gòu)。在這樣的大背景下,零信任應(yīng)運(yùn)而生。

零信任安全一詞最早出現(xiàn)在2010年,由IT和安全分析機(jī)構(gòu)Forrester的首席分析師約翰金德維提出。在2011年到2017年之間,谷歌在自身企業(yè)內(nèi)網(wǎng)進(jìn)行零信任的實(shí)踐并成功落地。谷歌Beyond Corp的零信任安全架構(gòu),通過全面身份化、多源信任評估和動態(tài)訪問控制,成功解決了破碎的邊界的問題。

2017年開始,業(yè)界廠商大力跟進(jìn),包括思科、微軟、亞馬遜等等。2018年至今,中央部委、國家機(jī)關(guān)、中大型企業(yè)開始探索實(shí)踐零信任安全架構(gòu)。

零信任主要表現(xiàn)為以下三點(diǎn):

1. 信任最小化

所有設(shè)備、用戶和網(wǎng)絡(luò)流量都應(yīng)該被認(rèn)證、授權(quán)和加密。

2. 網(wǎng)絡(luò)無特權(quán)化

應(yīng)當(dāng)始終假設(shè)外部和內(nèi)部威脅每時每刻都充斥著網(wǎng)絡(luò),并且不能僅僅依靠網(wǎng)絡(luò)位置來建立信任關(guān)系。

3. 權(quán)限動態(tài)化

訪問控制策略應(yīng)該動態(tài)的基于盡量多的數(shù)據(jù)源進(jìn)行計算和評估。

零信任的三個關(guān)鍵,第一全面身份化,第二多源信任評估,第三動態(tài)訪問控制。而傳統(tǒng)安全架構(gòu)一共面臨兩大關(guān)鍵問題,一是破碎的邊界,一個是割裂的安全。

零信任解決了破碎的邊界問題,但是安全從來不是任意一個安全產(chǎn)品可以獨(dú)自解決的,安全一定是需要聯(lián)動和協(xié)作的。

深信服精益信任aTrust安全架構(gòu)主張,零信任需要和其他安全的設(shè)備進(jìn)行聯(lián)動,形成互補(bǔ)的安全體系,構(gòu)建統(tǒng)一的安全。

深信服精益信任統(tǒng)一安全架構(gòu)

在2019深信服創(chuàng)新大會的風(fēng)險驅(qū)動網(wǎng)絡(luò)安全建設(shè)專場上,深信服精益信任aTrust安全架構(gòu)正式發(fā)布,精益信任aTrust安全架構(gòu)在零信任的基礎(chǔ)上做了增強(qiáng)。精益信任安全架構(gòu)基于信任和風(fēng)險的閉環(huán),整合終端、邊界、外網(wǎng)的已有安全設(shè)備,進(jìn)行統(tǒng)一聯(lián)動,形成自主調(diào)優(yōu)、快速處置的統(tǒng)一安全架構(gòu),最終實(shí)現(xiàn)內(nèi)外網(wǎng)“精確而足夠”的信任。

深信服精益信任aTrust安全架構(gòu)主要由全面身份化、多源信任評估、動態(tài)訪問控制、統(tǒng)一安全、可成長等五點(diǎn)組成——

1. 全面身份化

精益信任aTrust安全架構(gòu)通過前置安全接入網(wǎng)關(guān),強(qiáng)制所有訪問都必須經(jīng)過認(rèn)證、授權(quán)和加密;精益信任aTrust安全架構(gòu)的關(guān)鍵是身份化,把用戶、設(shè)備和應(yīng)用都進(jìn)行全面的身份化,從原先的先訪問資源再認(rèn)證身份,變?yōu)橄日J(rèn)證身份再訪問資源,從而確保內(nèi)部網(wǎng)絡(luò)的安全;精益信任aTrust安全架構(gòu)基于單包授權(quán)(Single-Packet Authorization)技術(shù),可以防御DDoS攻擊,降低0day風(fēng)險。

(1)統(tǒng)一身份認(rèn)證

精益信任aTrust安全架構(gòu)提供統(tǒng)一身份證,支持統(tǒng)一身份管理和多因素的統(tǒng)一身份認(rèn)證,最重要的是可以協(xié)同成一點(diǎn),將公司人員的入職、變更、離職全生命周期和安全聯(lián)動起來,從而實(shí)時調(diào)整安全的權(quán)限、安全策略,降低運(yùn)維的難度,提升安全系數(shù)。

(2)智能發(fā)現(xiàn)

精益信任aTrust安全架構(gòu)基于用戶的訪問行為,結(jié)合用戶的組織架構(gòu)信息、崗位等信息,通過AI智能發(fā)現(xiàn)技術(shù),自動生成訪問權(quán)限報告,幫助管理員實(shí)現(xiàn)權(quán)限細(xì)化;精益信任aTrust安全架構(gòu)基于流量行為檢測分析,可以發(fā)現(xiàn)未知業(yè)務(wù)系統(tǒng),幫助管理員實(shí)現(xiàn)企業(yè)資源的資產(chǎn)管理,同時發(fā)現(xiàn)違規(guī)搭建、不合規(guī)的業(yè)務(wù)系統(tǒng)。

2. 多源信任評估

(1)終端安全評估

精益信任aTrust安全架構(gòu)在終端安全評估方面主要提供基于AI的多維度漏斗型終端環(huán)境檢測框架,包含基于文件信譽(yù)和基因特征的檢測引擎;精益信任aTrust安全架構(gòu)提供不依賴于特征的人工智能檢測能力,針對一些可疑的惡意的文件會通過沙盒進(jìn)一步的識別,消除風(fēng)險;精益信任aTrust安全架構(gòu)會利用當(dāng)前云化的能力,和云端、大數(shù)據(jù)平臺進(jìn)行聯(lián)動,提供多維的威脅情報秒級響應(yīng)檢測,并根據(jù)結(jié)果授權(quán)。

(2)行為檢測分析

精益信任aTrust安全架構(gòu)在行為檢測分析方面,能持續(xù)采集全局實(shí)時流量,檢測內(nèi)部的威脅,有效發(fā)現(xiàn)木馬、病毒等攻擊行為,并且能實(shí)時聯(lián)動訪問控制系統(tǒng)調(diào)整信任等級,控制接入和訪問權(quán)限。

3. 動態(tài)訪問控制

動態(tài)權(quán)限方面,精益信任aTrust安全架構(gòu)在訪問主體和訪問客體之間基于RBAC+ABAC,建立起動態(tài)的訪問控制。

在訪問主體方面,精益信任aTrust安全架構(gòu)會確認(rèn)用戶身份是否可信,如最低程度的可信是基于密碼的身份驗(yàn)證,如果需要獲得更高的權(quán)限,至少需要密碼和另外一個因素配合進(jìn)行驗(yàn)證,如短信,而更高的身份可信,則是生物特征,如指紋、人臉識別;身份可信確認(rèn)之后,環(huán)境是否可信也需要確認(rèn),一個可信任的人在一個不安全的環(huán)境里也可能是不安全的;最后需要確認(rèn)行為是否可信,基于用戶訪問行為進(jìn)行持續(xù)的行為可信檢測。

在訪問客體方面,精益信任aTrust安全架構(gòu)會基于角色和組織架構(gòu)的靜態(tài)授權(quán),如財務(wù)人員能訪問財務(wù)相關(guān)的業(yè)務(wù)系統(tǒng)、研發(fā)人員能訪問研發(fā)相關(guān)的業(yè)務(wù)系統(tǒng),再根據(jù)主體的信任等級和客體的信任等級加上已有的靜態(tài)授權(quán),實(shí)現(xiàn)動態(tài)的訪問權(quán)限控制。

4. 統(tǒng)一安全

(1)開放融合

精益信任aTrust安全架構(gòu)在開放融合方面,可以和各類安全產(chǎn)品融合聯(lián)動,實(shí)現(xiàn)統(tǒng)一的安全,包括并不僅僅限于EDR、IAM、UEBA、NAC等系統(tǒng),還會通過多種安全模型的建模,多維度地去針對各類行為做好標(biāo)簽化分類,最終與精益信任aTrust安全架構(gòu)進(jìn)行對接,促使安全從割裂走向融合。

(2)全局可視

在全局方面,相比于傳統(tǒng)的安全架構(gòu),aTrust在進(jìn)行全面的身份化后,對內(nèi)網(wǎng)的所有流量進(jìn)行檢測,從而做到對于內(nèi)網(wǎng)安全狀況的威脅可視,基于用戶安全行為的全局可視,最終促使安全從黑盒走向可視可控,解決不可視,流量混雜的問題。

5. 可成長

精益信任aTrust安全架構(gòu)中的安全網(wǎng)關(guān)能一體化提供完整的身份化能力,完整的多源信任評估能力,完整的多源控制能力,同時會提供基礎(chǔ)的統(tǒng)一身份認(rèn)證能力、終端檢測能力、行為分析檢測能力。

在這個基礎(chǔ)上精益信任aTrust安全架構(gòu)根據(jù)企業(yè)的不同發(fā)展階段,和更專業(yè)的EDR/UEBA等產(chǎn)品對接聯(lián)動,通過對方案的組合去實(shí)現(xiàn)企業(yè)發(fā)展的具體要求,自適應(yīng)的去匹配企業(yè)發(fā)展的各個場景和階段,從而為企業(yè)量身打造一個統(tǒng)一安全體系。

深信服精益信任aTrust安全架構(gòu)通過自適應(yīng)策略,結(jié)合按需擴(kuò)展的功能組件,通過私有化、云化等多種部署方式,實(shí)現(xiàn)信任和風(fēng)險的精益控制。深信服精益信任aTrust安全架構(gòu)秉持“面向未來,有效保護(hù)”的安全理念,幫助用戶構(gòu)建更匹配業(yè)務(wù)需求的安全架構(gòu)!

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進(jìn)一步核實(shí)，并對任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實(shí)內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。