下载文档原格式
零信任安全防护体系落地实践(全文)零信任安全防护体系落地实践新时代背景下,网络安全面临诸多新挑战。
渤海银行参考国内外零信任相关标准及最佳实践,通过系统性研究和思考,以“打造基于零信任架构的生态银行体系”为目标,构建起具有渤海银行特色的零信任安全防护体系。
该体系针对新时代金融行业网络安全防护的各种难点和痛点问题,既能够满足网络安全防护要求,保护企业与用户数据安全,又能平衡网络安全与业务发展之间的关系,助力银行实现业务增长与创新。
一、新时代网络安全面临的挑战随着金融科技的发展,越来越多的商业银行将资源倾注到金融科技以及智能化转型升级上,新冠肺炎疫情下,转型升级提速。
通过提供随处可用、无感泛在的金融服务,银行不再是一个“地点”,而是一种“行为”。
在远程办公、移动展业等业务场景,随时随地接入、自带设备使用带来网络安全风险,大量金融机构的业务数据留存在设备之上,一旦发生数据泄露会给金融机构带来重大影响。
同时,随着金融行业数字化转型的深入,IT 基础架构大量引入云计算、移动计算、大数据、人工智能等新兴技术,内外网络物理边界日趋模糊。
传统的基于边界的防控理念已不能满足金融行业的IT 安全需求。
传统防控思维默认内网比外网安全,通过边界部署安全设备以达到安全保障的目标。
在新技术冲击下,防御面指数级扩大,内外部网络边界交错,边界防护节点难以有效定位与防御。
同时,攻击者的技术手段也在日益提升,比较典型的是高级持续性威胁(APT)组织,他们通常不会正面进攻,而是以钓鱼邮件或从防御薄弱的分支机构迂回攻击等多种方式,绕过边界防护进入企业内部。
在传统安全思维指导下,内网安全防御能力普遍不足,一旦边界被突破,攻击者往往能在整个企业内部自由移动,最终达到攻击目的。
二、零信任安全防护体系规划为解决上述网络安全问题,零信任安全架构(Zero Trust Architecture,ZTA)应运而生。
渤海银行经过系统性研究,制定了具有自身特色的零信任安全防护体系建设规划(如图1 所示),以用户持续验证、应用主动安全为主线,以零信任网络架构为抓手,从用户安全风险和应用数据安全风险两个方面开展零信任安全防护体系建设工作。
中国国家零信任标准一、概述零信任是一种网络安全设计原则,其核心理念是“不信任,验证一切”。
在零信任模型中,每个系统和应用程序都必须经过身份验证和授权才能访问。
这种模型强调对每个用户和设备的身份验证,以及在数据传输和应用程序访问过程中对所有流量进行加密和安全验证。
中国国家零信任标准旨在为中国的企业和组织提供一套统一的零信任架构和实施指南,以加强网络安全的防护能力。
该标准基于中国国家网络安全法和相关法规,借鉴了国际零信任最佳实践,结合中国国内实际情况和需求,制定了一系列具体的技术要求和管理规范。
二、主要内容1. 零信任架构设计中国国家零信任标准要求企业和组织应设计一个完整的零信任架构,包括身份认证、授权管理、访问控制、加密通信、审计监控等多个模块。
该架构应具备以下特点:(1)以身份为中心:将身份作为安全策略的核心,对所有用户和设备进行身份验证,确保只有经过授权的用户才能访问网络和应用程序。
(2)基于角色访问控制:根据用户角色分配相应的权限,确保用户只能访问其所需的最小权限。
(3)加密通信:对所有流量进行加密,确保数据在传输过程中不被窃取或篡改。
(4)审计监控:对所有访问请求进行审计监控,及时发现并记录异常行为,提高安全事件的响应速度。
2. 身份认证与授权管理中国国家零信任标准要求企业和组织应实施强有力的身份认证措施,包括多因素认证、动态口令等。
同时,应根据用户角色和权限需求,制定合理的授权策略,实现动态授权。
此外,还需建立完善的权限管理机制,定期审查和更新权限分配情况,确保权限分配与组织策略和安全要求保持一致。
3. 数据安全与隐私保护中国国家零信任标准强调对数据的加密传输和存储,要求企业和组织应实施端到端加密技术,确保数据在传输和存储过程中不被窃取或篡改。
同时,应采取必要的隐私保护措施,如数据脱敏、匿名化等,保护用户隐私信息不被泄露。
4. 安全审计与监控中国国家零信任标准要求企业和组织应建立完善的安全审计与监控体系,包括日志审计、异常行为检测、入侵检测等。
零信任网络安全架构随着互联网的快速发展,网络安全问题日益凸显,传统的防御手段已经无法满足当今复杂多变的网络威胁。
在这样的背景下,零信任网络安全架构应运而生,成为了当前网络安全领域的热门话题。
零信任网络安全架构是一种基于“不信任,始终验证”的理念,通过对网络内外的所有用户、设备和流量进行严格的验证和控制,实现对网络的全面保护。
本文将从零信任网络安全架构的概念、原则和实施方法等方面进行探讨。
首先,零信任网络安全架构的核心理念是“不信任”。
传统的网络安全模式往往是基于信任的,一旦内部网络遭受攻击,攻击者就可以在网络内部自由活动,造成更大的损失。
而零信任网络安全架构则认为内部网络同样不可信任,所有用户、设备和流量都需要经过严格的验证和控制,不给予任何信任。
这种基于“不信任”的理念,使得网络安全防御更加全面和有效。
其次,零信任网络安全架构的实施需要遵循一些基本原则。
首先是“最小权限原则”,即用户和设备只能获得完成工作所需的最低权限,避免过度的权限赋予导致安全风险。
其次是“持续验证原则”,即对用户、设备和流量进行持续的验证和监控,及时发现和阻止异常行为。
再次是“零信任原则”,即始终不给予内部网络任何信任,对所有的访问和流量都进行严格的验证和控制。
最后是“安全访问原则”,即通过安全的访问控制手段,确保用户和设备只能访问其需要的资源,避免未经授权的访问。
最后,零信任网络安全架构的实施方法包括多个方面。
首先是对网络内外的用户和设备进行身份验证和授权,确保其合法性和安全性。
其次是通过访问控制技术,对网络流量进行细粒度的控制和审查,防止恶意流量的传播。
再次是建立安全的隔离和分割机制,将网络划分为多个安全域,限制攻击者的活动范围。
最后是加强安全监控和日志审计,及时发现和应对网络安全事件,降低损失。
综上所述,零信任网络安全架构是一种基于“不信任,始终验证”的理念,通过严格的验证和控制,实现对网络的全面保护。
在当前复杂多变的网络威胁下,零信任网络安全架构成为了一种必要的安全防御手段。
零信任网络安全框架实施零信任网络安全框架实施随着互联网的迅速发展和深入应用,网络安全问题日益突出。
传统的网络安全防御手段逐渐失去效果,网络攻击者利用漏洞和技术手段不断进化,对企业和个人的信息安全构成了严重威胁。
面对这一情况,零信任网络安全框架应运而生。
零信任网络安全框架,又称为Zero Trust,是一种基于最小化信任的网络安全理念和架构。
它的核心思想是,不论是内部用户还是外部用户,都不能被默认为可信。
相反,所有的用户和设备都必须经过验证和授权才能够访问网络资源。
这种以“永不信任,始终验证”的理念,有效提升了网络安全的防御能力。
实施零信任网络安全框架需要从多个方面入手。
首先,企业需要建立一个严格的身份验证机制。
通过使用多重身份验证、单一登录和访问控制等----宋停云与您分享----技术手段,确保只有经过验证的用户才能够访问企业网络资源。
这可以防止未经授权的用户进入系统,从而降低了风险。
其次,企业需要对网络流量进行全面的可见性监控。
通过使用网络流量分析和行为分析等技术手段,企业可以及时发现网络安全威胁和异常行为,并采取相应的措施进行应对。
监控和分析网络流量,可以帮助企业快速识别并隔离潜在的攻击源,从而避免信息泄露和数据损失。
此外,企业还需要建立一个强大的访问控制策略。
通过使用网络隔离、权限管理和数据加密等技术手段,企业可以限制用户对敏感数据和系统资源的访问权限,确保数据的机密性和完整性。
有效的访问控制策略可以防止未授权的用户获取敏感信息,并防止内部用户滥用权限。
最后,企业需要定期进行漏洞扫描和安全评估。
通过定期检测网络设备和应用程序的漏洞,并及时修复和升级,可以有效降低网络攻击的风险。
----宋停云与您分享----此外,企业还可以进行安全评估,发现和修复潜在的安全漏洞和风险点,提升网络安全的整体水平。
总的来说,零信任网络安全框架可以帮助企业建立一个更加安全和可靠的网络环境。
通过严格的身份验证、全面的可见性监控、强大的访问控制策略和定期的漏洞扫描和安全评估,企业可以有效应对各种网络安全威胁,并保护企业和个人的信息安全。
“零信任”安全体系架构和实践“零信任”安全体系是一种新型的安全架构,它将传统的基于边界的
网络安全模型完全颠覆,采用了一种全新的信任模型。
在“零信任”安
全体系中,所有的用户和设备都不再被默认信任,无论是内部还是外
部的网络。
这种安全体系要求验证每一个请求、每一个连接,即使是
来自内部网络的也不能例外。
“零信任”安全体系的基本原则是:不信任、始终验证、最小权限。
这意味着只有在验证了用户的身份和设备的安全状态后,才能允许其
访问需要的资源,而且只能访问必要的权限和数据。
这种安全体系能
够有效减少内部和外部威胁对系统的风险。
在实践中,构建“零信任”安全体系需要综合应用技术、策略和流程。
首先,需要建立强大的身份验证和访问控制机制,确保用户只能访问
他们被授权的资源。
其次,还需要部署行为分析和安全信息与事件管
理系统,用于监控和检测异常活动。
同时,不断更新和改进网络安全
政策和流程也是构建“零信任”安全体系的重要步骤。
除了技术和流程层面的准备,员工的安全意识培训也是构建“零信任”安全体系的关键。
员工是安全的第一道防线,他们需要了解安全政策、熟悉安全风险,并且知道如何报告安全事件。
只有所有员工都积
极参与到安全工作中,才能构建健壮的“零信任”安全体系。
总的来说,“零信任”安全体系架构和实践要求企业不断提升安全意识、加强技术防御、优化安全流程,从而构建一个多层次、全方位的
安全防护系统。
通过全面的安全措施和策略,企业可以更好地应对来自内部和外部的各种威胁,确保企业信息和系统的安全。
零信任架构在网络安全中的实践在当今数字化高速发展的时代,网络安全已经成为了企业和组织面临的重要挑战。
随着云计算、移动办公、物联网等技术的广泛应用,传统的基于边界的网络安全防护模式已经难以应对日益复杂和多样化的威胁。
零信任架构作为一种新兴的网络安全理念和架构模式,正逐渐受到关注并在实践中得到应用。
零信任架构的核心思想是“默认不信任,始终验证”,即不再基于网络位置或用户身份等传统因素来授予访问权限,而是对每一次访问请求都进行严格的身份验证、授权和持续的信任评估。
这种理念打破了传统网络安全中“信任内部网络,不信任外部网络”的固有思维,将安全防护的边界从网络边界扩展到了每一个访问请求。
那么,零信任架构在网络安全实践中是如何具体实现的呢?首先,身份和访问管理是零信任架构的关键基础。
在零信任环境中,需要建立一个强大的身份管理系统,对用户、设备、应用等实体进行精细的身份定义和认证。
这包括多因素认证、生物识别技术、单点登录等手段,以确保只有合法的实体能够获得访问权限。
同时,基于角色的访问控制(RBAC)和基于属性的访问控制(ABAC)等技术被广泛应用,根据用户的身份、角色、设备状态、访问时间等多种属性来动态授予访问权限。
其次,微隔离技术在零信任架构中起到了重要作用。
传统的网络分区往往基于网络拓扑结构,而微隔离则将网络进一步细分为更小的安全区域,实现更精细的访问控制。
通过微隔离,可以将不同的应用、服务和工作负载隔离开来,减少攻击面,防止横向移动。
例如,在数据中心中,可以将不同的虚拟机或容器进行隔离,只有经过授权的流量才能在它们之间流动。
再者,持续的信任评估和动态授权是零信任架构的核心环节。
在用户或设备进行访问请求时,不仅要进行初始的身份验证,还要持续监测其行为和环境因素,实时评估信任级别。
如果发现异常行为或风险因素,如设备感染病毒、用户访问异常数据等,系统将及时调整访问权限或中断访问。
这种动态的授权机制能够有效地应对不断变化的威胁态势。
■吕蕴藉过去,我们认为企业如同一座被城墙(防火墙)、护城河(DMZ)和吊桥(访问控制)层层防护起来的坚固城池,但随着网络攻击手段的不断升级、犯罪贩子的日益猖獗、远程办公常态化所带来的攻击面增大等众多因素的影响下,零信任理念已经逐渐成为解决网络安全问题的重要推手。
iSMG最近发布的《2022年零信任策略报告》显示:绝大多数受访者都表示零信任对于降低网络安全风险至关重要,46%的受访者表示零信任是2022年最重要的安全实践。
此外,Forrester的另一项面向300余家大型企业的调查报告也显示:78%的安全高管均计划在今年增加对零信任的使用力度。
尽管零信任是大多数网络安全团队的首选,但其实际落地却不尽乐观。
在Forrester所调查的企业中,能够全面部署零信任的企业所占比例仅为6%;另有30%的受访者表示只是在企业局部部署了零信任;还有63%的受访者表示,其企业内部对零信任项目现仍于评估、规划或试点阶段。
2021年5月,美国政府在改善国家网络安全的行政令中要求政府机构要采用零信任方案,政令发布后,美国行政管理和预算办公室(OMB)随即发布了如何推进零信任架构落地的战略方案,此外,CISA也在2021年秋季发布了《零信任成熟度模型》、NIST发布了白皮书《零信任架构规划》,其中,《零信任架构规划》阐述了如何利用网络安全框架(CSF)和NIST风险管理框架(RMF)来助力企业顺利迁移升级为零信任架构。
以下是国外应对零信任架构实际落地的5个优秀实践。
1.保护层面安全风险评估应从攻击者角度出发,例如,企业安全团队最常关注的潜在攻击面有:安全边界在哪?外部人员将会如何闯入?有什么潜在的方法可以闯入?NIST的《零信任架构规划》给出的建议是,建立安全防护需要先从数据和应用程序出发,应先分析价最高、风险最大的数据信息和资产。
因为保护面比攻击面的范围和边界要小得多。
当在零信任架构中,找不到任何需要保护的边界时,企业可以在资产周围设置“微边界”,通过微边界,企业用户可以全面了解和控制,何人在何地、何时,通过何种手段进行了访问。
“零信任”安全体系架构和实践
杭州美创科技有限公司柳遵梁
在万物互联时代,全球数据量与日俱增,人们在探究数据价值的同时也打开了数据安全这个潘多拉魔盒。
一、为什么传统网络安全在数据安全时代开始失效?
虽然已经部署了周全的网络安全措施,但数据安全事件依然不断发生。
步入数据安全时代,那些原先有效的安全措施开始失效甚至于无效,这个世界究竟发生了什么变化?
1.日益普及的互联网业务
互联网的飞速发展打破了常规的时间、空间限制,使我们可以服务的人群变得无限多。
当然,互联网带来无限多客户的同时也带来了无限多的黑客。
在海量的黑客面前,任何细微漏洞都可以被捕获,导致安全风险被无限放大。
特别是两个基本假设的成立让我们无所适从:
(1)任何应用程序都会存在漏洞;
(2)黑客总是比用户更早地发现漏洞。
2.肆意泛滥的社交网络
伴随着移动互联网的兴起,社交网络有了新的颠覆性转变。
从电子邮件到QQ、微博、微信等,彻底打通了内外部网络,网络边界变得越来越模糊。
每个人在社交网络上都存在大量的“最熟悉的陌生人”,他们可以利用我们的信赖轻而易举地进入我们的网络。
3.无限提高的数据价值
从网络安全到数据安全转变的根本原因是数据价值的无限提高。
在很多机构,数据已经成为其核心财富甚至是最大财富,甚至有“抢银行不如抢数据”的说法。
在数据财富无限快速放大的过程中,数据财富的管理并没有发生本质的变化,基本处于裸奔状态。
因此,那些缺乏保护的数据财富在不断诱惑企业的员工、合作伙伴犯错,不断诱惑黑客来攫取。
在现实生活中,我们不会把海量现金放在客厅、广场等公共场合,我们总是小心翼翼地为这些财富施加众多的保护措施,或者委托给更加专业的信用机构(如银行)进行保管。
然而,我们现在对于数据财富的处理方式,无异于是把它放在客厅里,甚至是广场上。
在数据世界里,我们尚未发现类似于银行之类的机构来保障我们的数据财富安全。
4.数字世界和现实世界的镜像
随着数据价值的凸显,特别是人工智能的兴起,我们正在把现实社会发生的一切进行数字化和数据化。
可以预见,在不远的将来,数据世界很快就会成为现实世界的一个投影或镜像,现实生活中的抢劫、杀人等犯罪行为会映射为数字世界中的“数据破坏”。
二、从可信任验证体系走向“零信任”安全体系
1.可信任验证和零信任体系并存的生活
人们大部分时间生活在可信任验证体系中,每个人可以自由处理自身拥有的财富以及其他物资。
比如:我花钱买了个茶杯,可以用来喝茶,也可以用来喝咖啡,或者把它闲置起来,或者干脆作为垃圾处理掉,我拥有处理这个茶杯的权利。
在大部分生活场景下,我们都采用类似方式来处理财富、物资甚至关系。
但是,当财富或者物资的影响力大到一定程度时,我们往往需要采用另一种形式来处理。
比如:价值连城的古董,虽然你花钱购买了它,但是你并没有权利随意将它打碎;山林绿化,虽然山和林都是你的,但是你并没有自由砍伐权。
可见,当涉及到大宗利益和公共利益的时候,往往是另一种机制在发挥作用:
零信任机制。
比如战略情报、重大选举、法律规章制订、多重鉴权(权限审批)等,都是基于零信任体系的运行机制,其前提假设就是没有人可以被天然信任。
2.传统IT系统中的可信任验证体系
传统IT系统(如操作系统、数据库以及其他各类信息化系统)几乎都严格遵循了类似生活中可信任验证的安全设计理念:每个人对于自己所拥有的一切具有任意处置权。
比如:在Oracle数据库中,Schema 账户对于存储在Schema下的所有对象拥有任意处置权,可以任意查询、更新、删除和清除。
DBA账户作为整个数据库的拥有者,对数据库的所有对象具有任意处置权。
这种处置理论看似正确,细思极恐,你会发现这种处置方式非常“荒唐”,在很大程度上依赖于人性,即遵纪守法的自觉性等。
DBA只是一个管理数据库的人,而不是处置数据的人。
正如一个仓库管理员,仅仅只是负责仓库的清洁、温湿度、安全等事宜,而对于仓库中的谷物、物资等并不具有处置权。
而Schmea 账户则类似于一个仓库,数据和代码只是需要一个仓库存放而已,仓库管理员不应该对放置在仓库中的物资具有任意处置权。
虽然这套基于传统账户的安全体系在相对可信任的内网环境具有很好的生存空间,但是在本质上存在着概念混淆。
这套体系很容易混淆了账户和身份的区别,账户只是信息系统的一个登录凭证和引用凭证,而身份则是现实生活中的人,两者之间基本上是割裂的。
在真实的数据库实践中,账户更多的仅仅是作为数据库对象存储的容器,而不是作为身份。
这种混淆最终使生活中可信任验证体系中的核心身份模糊化。
现代网络环境中的身份安全性越来越差,这种模糊性最终导致了传统网络安全体系的不可延续。
3.走向零信任安全体系
走向零信任安全体系主要受到两个方面的推动:
(1)互联网、移动互联网和社交网络已经把世界上的每一个人都联系在一起,突破了时间和空间的限制,网络边界变得越来越模糊,实际上已经不存在安全的网络。
因此,以账户为基础的安全体系无以为继,需要把账户转变为身份才可以在这种网络中安全生存。
(2)现实生活中涉及巨大价值或巨大公共利益时,往往通过零信任体系而不是通过可信任体系来解决。
数据的价值今非昔比,近几年其价值在不断放大,数据的托管性和多面性总会涉及众多的公共利益。
参照现实模型,零信任安全体系可以作为最恰当的数据安全体系架构。
三、“零信任”安全体系的四个基本原则
当数据构成我们的财富和核心竞争力时,传统的可信任体系面临巨大挑战,无法满足用户数据安全的需求。
我们需要构建零信任体系,以管理战略情报的思维来管理数据。
零信任安全(或零信任网络、零信任架构、零信任)最早由约翰·金德维格(John Kindervag)在2010年提出。
而美创科技也在2010年并行地提出了零信任安全体系并加以实践,是全球最早的零信任安全体系架构构建者和实践者。
美创科技在多年的零信任实践中形成了系列的零信任安全体系的基本原则和实践原则。
在零信任安全体系构建中,美创科技遵循四个基本原则:
1.灯下黑
不会被发现就意味着不会被攻击,纵然我们的业务和系统充满着各种各样的安全漏洞。
比如隐形战机的速度慢、防御差,但是受到攻击的几率不高。
灯下黑放弃了传统的对抗思路,让我们在黑客扫荡式的互联网攻击中免疫。
2.与狼共舞、带毒生存
在网络边界模糊的今天,假定我们的网络总是被攻破,网络内部总是会存在“坏人”,我们需要在一个充满“坏人”的网络环境中确保关键资产不会受到破坏和泄露,确保关键业务不会受到影响。
3.不阻断、无安全
入侵者或破坏者往往只需几秒到几分钟就可以对关键资产和关键业务造成破坏和影响。
除了极个别专业机构之外,绝大部分机构都无法对入侵做出快速响应。
即使机构具有这个快速响应能力,其巨大的快速响应成本也是绝大部分机构所无法承受的。
我们需要在事件发生之前阻断事件的发生,在无须部署快速响应能力之下做到最大安全。
4.知白守黑
如何识别“坏人”一直是传统网络安全的核心命题,我们通过日积月累的“坏人库”来勾画各种“坏人”的特征。
遗憾的是海量的“坏人”特征依然无法更好地帮助我们识别出可能的“坏人”。
知白守黑从另一个角度去看待“坏人”,我们不去勾画“坏人”的特征,而是去勾画“好人”的特征,不符合“好人”特征的就是“坏人”。
从业务的角度来看,“坏人”的特征是无法穷尽的,而“好人”的特征在特定场景下是可以穷尽的,知白守黑可以更好地保障数据安全和业务安全。
四、零信任安全体系的实践原则
1.从保护目标开始,知道保护什么才谈得上安全。
很难想象,在连保护目标都不知道的情况下如何保证安全性。
当你不知道保护目标的时候或者保护目标虽然知道但是不可描述的时候,你只能竭力去识别可能的“坏人”,你只能进行面面俱到的通用防护,或者对于臆想中的攻击进行场景式防御。
数据安全不同于网络安全,它定义了一个明确的保护目标:数据。
每一份数据都有其固有的特征和行为,我们可以围绕着这些固有的特征和行为来构建保护和防御体系。
2.保护要由内而外,不是由外而内。
当我们明确定义了数据是保护目标时,由内而外的保护就成为我们自然的选择。
越靠近数据的地方,保护措施就越健壮,这是一个常识性认知。
由内而外的层层保护都本着相同的目的——更加有效地保护数据安全。
3.以身份为基础而不是以账户为基础。
定义数据本身访问的时候,并非以账户为基础。
账户仅仅是一个信息化符号,是访问数据库、业务、操作系统等的一个凭证,但并非是访问数据的凭证。
我们总是尽可能以接近于人的真实身份来定义数据的访问,定义某个人或者某个身份可以访问特定的数据。
或者定义特定的数据可以被特定的代表身份的规则所访问。
4.知白守黑,从正常行为和特征来推断安全。
当我们明确了保护目标的数据时,发现访问数据的正常行为是可以被定义和穷尽的。
因此,所有在穷尽的访问定义列表之外的访问都是不合规、不安全的。
而且,通过对于历史访问行为的学习,可以刻画出正常访问的特征,不符合正常访问特征的访问行为都是不合规的、不安全的。
5.消除特权账户。
消除特权账户是零信任安全体系建设的前提条件。
引进多方联动监督制约机制,是零信任安全的基础实践。
