下载文档原格式
2021.02 /99以零信任理念落地云原生安全记者:云原生安全和云安全有什么不同?其自身有哪些安全特性?伍海桑:安全机制一直是跟随IT 基础设施和业务的演进而演进,来更好地为其提供服务,随着企业数字化转型,数据和业务上云,云安全就应运而生。
云安全的范围很广,包括访问和使用云系统、云应用全环节数据和业务的安全。
云原生安全这个概念是业界约定俗成的习惯称呼。
云计算许多新的技术形态是天然在云上诞生来促进满足弹性、迁移、灵活等云计算需求,一般而言,随着这些全新云计算技术形态而产生的安全,常称为云原生安全。
区别于传统安全产品云化成的云安全产品,以及云运营商为配套云服务所提供的安全产品,云原生安全“应云而生”,是基于云原生而生的“新安全”产品和服务,和云天生具有较好亲和力,利用云的固有优势,为云环境和云原生业务提供内建的安全防护。
一方面可以兼容容器(docker)、无服(serverless)等新形态并解决好其所面临的安全问题;另一方面,其具备自动化配置、自适应、弹性扩展、“开箱即用”、随时保持业务持续性、覆盖数据和业务全生命周期等特性。
记者:云原生安全的发展会给安全带来什么改变?志翔在云原生安全方面,有什么布局和落地案例?伍海桑:企业上云的趋势将持续并加速推进,云原生安全将成为企业上云中必不可少的关键配置,并且随着企业上云规模的扩大,和云上数据、业务、应用重要性的不断提升,将扮演着越来越重要的角色。
万变不离其宗,安全最终都是围绕要保护的对象来逐层构建一个防护体系。
云时代数据和业务处在安全的核心保护位置,围绕其由内至外展开的数据安全、应用安全、计算安全、网络安全等就组成了云安全体系,再细化到每一个层级又包含了工作负载安全、主机安全等很多细分领域,在技术手段上又有身份认证、入侵检测、安全运营、隔离等多种方式。
云原生安全已经走出了概念的阶段,云原生安全框架下多种安全技术、产品早已落地应用。
例如志翔的至明®智能主机安全响应系统,就是为企业的云上数据和业务构建安全可信办公环境。
网络安全之零信任安全趋势分析一、零信任将成为数字时代主流的网络安全架构1.1 零信任是面向数字时代的新型安全防护理念零信任是一种以资源保护为核心的网络安全范式。
零信任安全:1)网络无时无刻不处于危险的环境中;2)网络中自始至终都存在外部或内部威胁;3)网络位置不足以决定网络的可信程度;4)所有的设备、用户和网络流量都应当经过认证和授权;5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。
因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的,需要基于认证和授权重构访问控制的信任基础。
零信任的雏形最早源于 2004年耶利哥论坛提出的去边界化的安全理念,2010年 Forrester正式提出了“零信任”(Zero Trust,ZT)的术语。
经过近十年的探索,零信任的理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。
数字时代下,旧式边界安全防护逐渐失效。
传统的安全防护是以边界为核心的,基于边界构建的网络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM及入侵防御检测等安全产品的组合将安全攻击阻挡在边界之外。
这种建设方式一定程度上默认内网是安全的,而目前我国多数政企仍然是围绕边界来构建安全防护体系,对于内网安全常常是缺失的,在日益频繁的网络攻防对抗中也暴露出弊端。
而云大物移智等新兴技术的应用使得 IT基础架构发生根本性变化,可扩展的混合IT 环境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势,传统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全防护效果有限。
面对日益复杂的网络安全态势,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势。
图 1:传统边界安全防护架构图 2:云计算等新兴技术带来传统安全边界消失1.2 “SIM”为零信任架构的三大关键技术零信任的本质是以身份为中心进行动态访问控制。
■伊元嘉2022年8月25日,以“开放、创新、融合、共赢”为主题的2022年算网融合产业发展峰会在京成功召开。
在“零信任产业发展论坛”上,北京邮电大学网络空间安全学院执行院长李小勇解读了零信任能力成熟度模型。
零信任总体发展背景如今,全球各国都在加速零信任网络安全战略布局,根据知名身份和访问管理厂商Okta的研究《2021零信任安全态势》显示,82%的欧洲企业增加了零信任安全预算。
2021年7月,工信部出台《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》,做出“加快开展零信任网络安全体系研发”和“推动零信任技术应用”的部署安排。
我国逐步推进零信任相关研究与试点实验项目落地。
在战略层面,零信任发展的政策布局逐步形成,零信任规模化部署实践不断加快。
在产业层面,在电信、金融、能源等行业中形成了一些零信任应用示范,不断优化网络安全产品升级。
在技术层面,将重塑现有网络安全架构和网络安全设施,深刻改变关键基础设施的部署与应用模式。
零信任重建安全管理和访问控制机制,引导安全体系架构从网络中心化走向数字身份化,其本质诉求是以身份为中心进行访问控制。
默认情况下不应该信任网络内部和外部的任何人、设备、系统,需要基于认证和授权重构访问控制的信任基础。
零信任秉承“永不信任,始终验证”的理念,网络安全架构以资源保护为核心,建设动态数字身份信任机制,可持续评估人、终端、业务、环境等风险,形成自适应全生命周期安全闭环管理模式。
零信任价值矩阵的核心要素包括:身份安全、网络安全、数据安全、应用安全、基础设施、安全管理。
零信任能力成熟度模型解析零信任安全要求涵盖实施、网络、管理、应用等多个方式,涉及包括能源、医疗、金融等多个重点行业关键信息基础设施的建设与运营,切实满足了数字化转型下的网络防御需求。
但零信任部署不是一蹴而就,需分步骤、分阶段、分场景规划方案和能力建设。
围绕零信任架构安全、产品安全、用户安全等多视角综合考虑,零信任能力成熟度纵向分为五大阶段成熟度等级。
介绍零信任安全理念
零信任安全理念,也称为"Zero Trust"安全模型,是一种基于
网络安全的理论和实践框架。
其基本原则是:不相信任何内部或外部网络中的用户、设备和应用程序,而是要求对每个请求和活动进行验证和授权。
零信任安全理念认为,传统的网络安全模型(如边界防御)已经过时,无法有效应对不断演变的网络威胁和攻击。
相反,零信任安全模型提倡细粒度的访问控制和认证,无论用户是在内部网络还是在外部网络上工作。
在零信任安全模型中,所有用户、设备和应用程序都被视为潜在的不可信任的,需要透过多重身份验证(MFA)来验证其
身份。
任何访问请求都需要经过具有上下文感知策略和行为分析的访问控制系统进行验证和授权。
这意味着用户需要在每次访问资源时进行身份验证,即使用户已在网络中进行了身份验证。
此外,零信任安全模型还强调了实时的威胁检测和防御。
通过监控和分析用户行为、设备配置和网络流量等信息,可以及时发现和响应潜在的安全威胁。
这也意味着企业需要不断更新和改进其安全策略和技术,以适应新兴的网络威胁和攻击手段。
总的来说,零信任安全理念提供了一种全新的网络安全模型,强调了对用户访问和活动的实时验证和授权。
它不再依赖传统的边界防御,而是以用户为中心,保护企业的敏感数据和资源。
这种安全模型适应了现代云计算、移动设备和物联网等新技术
的崛起,为企业提供了更强大、更灵活和更安全的网络安全防护。
深信服基于零信任的精益信任解决⽅案随着⽹络、终端、云计算等基础设施的发展,以及移动办公软件的兴起,远程移动办公(后⽂简称移动办公)已被⼴泛应⽤。
据研究报告显⽰,国内移动办公软件的累计注册⼈数,在两年前就已经达到2.4亿,⽽本次疫情,也间接推动了移动办公在各⾏业的应⽤。
随着5G时代的到来,将进⼀步改善移动办公的短板,丰富移动办公的功能和价值。
⼀项新技术的应⽤和推⼴,在带来⾰新和便捷的同时,也常常会带来⽹络安全的新威胁和新挑战,移动办公也不例外。
在移动办公常态化的现在,有哪些新增的安全威胁和挑战呢?企业⼜应如何有效应对?边界⽡解,暴露⾯增加,移动办公安全的信任缺失深信服安全专家分析,移动办公的安全威胁和挑战主要有以下四点:1、⽹络边界⽡解带来的信任缺失传统的企业⽹络,有着清晰的内外⽹之分,⽽传统安全建设,正是基于清晰的边界划分进⾏防护⼯作的部署。
但是,在移动办公的⼤潮下,访问企业数字化资源的员⼯,不再是来⾃同⼀个园区、⼤楼,⽽是从世界各地的任⼀位置、任⼀⽹络进⾏访问接⼊。
因此,这种清晰的边界,以及依附着边界的信任关系逐渐⽡解。
这样的情形下,⽹络边界变得模糊,信任关系⽡解,基于传统边界的安全建设思路逐渐失效。
移动办公需要另⼀种⽅式,来重新定义新的安全基线,重构移动办公中的信任关系。
2、风险暴露⾯不断增加的挑战为了满⾜移动办公需求,企业需要将原本只对内⽹⽤户开放的业务系统,通过端⼝映射、业务发布、接⼝调⽤,甚⾄远程桌⾯等⽅式向公⽹提供访问。
⼀个个业务系统对应着⼀个个的访问接⼝,同时也意味着⼀个个⾯向不可信环境的通道。
因此,在⼤规模移动办公时代,需要有更安全、更易⽤的⼿段来满⾜移动办公的安全需求。
3、数据复杂使⽤场景带来的数据安全挑战移动办公中,⽤户通过移动终端、个⼈PC,甚⾄公⽤PC访问企业的重要数据和业务。
传统⽅式中,数据即使在传输过程加密,最终仍然会落到⽤户的终端上。
⽽⽤户后续如何利⽤这些数据、⽂件,或者通过各种途径将数据、⽂件外发共享,企业⽆从得知也⽆从控制。
前言随着全球数字化转型的逐渐深入,在“云大物移智工”等新技术发展支撑下,零信任从原型概念加速演进,成为新一代信息技术安全架构。
在过去的2019 年,国内零信任从概念走向落地,零信任安全架构以其兼容移动互联网、物联网、5G 等新兴应用场景,支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构,受到各界青睐,从产品研制、解决方案到应用试点示范,到逐步探索完善适应不同场景的零信任应用实践。
进入2020 年以来,在“新基建”和疫情的双重刺激下,零信任作为一种可支撑未来发展的最佳业务安全防护方式,成为我国网络安全界的焦点。
本报告聚焦零信任发展,从技术、产业、应用和实践四个维度进行剖析:技术部分包含零信任安全架构定义和关键技术的最新研究成果;产业部分介绍了国内外产业发展、标准化等方面的最新进展;应用部分汇集远程办公、大数据中心、云计算、物联网和5G 应用等核心应用场景的零信任解决方案建议;实践部分聚焦零信任规划与部署,介绍零信任实施经验。
最后以零信任建议和展望总结全文,希望通过本书帮助更多的人理解和实践零信任,加快推进零信任创新发展,为以新基建为代表的数字化转型保驾护航。
一、零信任技术和产业发展现状 (1)(一)零信任核心原则 (2)(二)零信任安全架构及组件 (4)(三)零信任关键技术 (7)(四)国外产业发展及应用规划 (10)(五)国内零信任概念走向落地 (12)二、零信任应用场景 (14)(一)远程办公 (14)(二)大数据中心 (18)(三)云计算平台 (22)(四)物联网 (26)(五)5G 应用 (30)三、零信任实施建议 (34)(一)使用范围 (34)(二)实施规划 (38)(三)技术实现 (40)四、零信任思考和展望 (46)图1 零信任概念演进历程图 (2)图2 零信任架构总体框架图 (4)图3 基于零信任架构的远程办公安全参考架构 (18)图4 数据中心内部访问流程示意图 (21)图5 数据中心安全接入区案例示意图 (22)图6 基于零信任架构的云计算平台安全参考架构 (26)图7 基于设备指纹的物联边缘网关零信任方案示意图 (30)图8 零信任实施技术路线示意图 (41)表目录表1 零信任解决方案市场供应商分析 (11)表2 5G 架构下的主要对象 (31)表3 5G 架构下的风险来源 (31)表4 5G 架构下的攻击情况 (31)表5 5G 典型攻击行为案例 (32)一、零信任技术和产业发展现状近年来,中央地方高度重视新型基础设施建设(简称“新基建”),国家高层会议密集提及新基建,各省积极推动新基建项目集中开工。
科技与创新┃Science and Technology &Innovation文章编号:2095-6835(2021)09-0072-02基于“零信任”模型的安全网络构建孙梅梅,朱彦斐,刘刚(山东电子职业技术学院,山东济南250200)近年来,互联网技术的飞速发展打破了常规的时空限制,其尝试把现实社会发生的一切变得数字化和数据化,伴随着人工智能的兴起,在大量黑客面前,任何细微漏洞都可以被捕获,导致安全风险被无限放大。
这使人们不得不对传统的网络安全架构进行升级和改造,由传统的模型转变为新的安全防护模型,即“零信任”模型。
1“零信任”模型是什么“零信任”即企业网络不自动信任任何内部或者外部节点,对任何试图进入企业网络的人、事、物都要进行验证,简言之,“零信任”的策略就是不相信任何人。
随着网络的安全性越来越受到关注,防火墙的引入是为了在互联网内部以及公共和私人网络之间建立边界,然后在企业内部添加额外的防火墙以进一步分割网络,“零信任”模型是将分段一直进行到网络边缘上的每个用户、设备、服务和应用程序。
用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证、授权和账户认证,这也是“零信任”原则的体现,即“Trust no-one.Verify everything”。
“零信任”网络在网络边缘强制实施安全策略,并在源头遏制恶意流量。
在《零信任网络:在不可信网络中构建安全系统》一书中,零信任网络被描述为建立在以下5个断言上:①网络无时无刻不处于危险的环境中;②网络中始终存在着外部或内部的威胁;③网络位置不足以决定其可信程度;④所有的用户、设备和网络流量都应当经过认证和授权;⑤安全策略必须是动态,并给予尽可能多的数据源计算而来的。
以上断言很好地阐述了“零信任”的理念,也总结了“零信任”的几个原则:验证用户、验证设备、合理的访问规则与权限控制,以及配套的动态机制。
零信任网络架构如图1所示。
2传统的基于区域的安全模型“零信任”模型与传统的基于区域的安全模型是不同的。
目录一、零信任将成为数字时代主流的网络安全架构 (5)1.1 零信任是面向数字时代的新型安全防护理念 (5)1.2 “SIM”为零信任架构的三大关键技术 (6)1.3 零信任安全应用场景丰富 (10)二、零信任已从概念走向落地,迎来强劲风口 (11)2.1 中美双双加码零信任安全 (11)2.2 零信任安全正在普及应用 (13)2.3 海外零信任产业已初具规模,国内即将步入建设高峰 (15)三、投资建议 (16)3.1 奇安信:网络信息安全龙头,专注于新型安全领域 (16)3.2 美亚柏科:国内电子数据取证行业龙头,大数据智能化、网络安全专家 (18)3.3深信服:领先的信息安全企业,从零信任到精益信任 (20)3.4启明星辰:老牌网络安全龙头,零信任管控平台为多种应用场景提供安全保障 (21)3.5安恒信息:网络安全后起之秀,新兴安全业务发展迅速 (22)3.6绿盟科技:领先的网络安全解决方案供应商,产品逐步向零信任安全架构迁移 (23)3.7南洋股份:国内防火墙龙头企业,持续推动零信任安全理念的落地实践 (24)3.8山石网科:边界安全领域领导厂商 (25)3.9格尔软件:国内PKI领先企业 (27)图表目录图1:零信任概念演进历程图 (5)图2:传统边界安全防护架构 (6)图3:云计算等新兴技术带来传统安全边界消失 (6)图4:零信任架构总体框架图 (7)图5:实现零信任架构的三大关键技术“SIM” (7)图6:SDP的组成架构 (8)图7:零信任身份与访问管理 (9)图8:基于零信任架构的远程办公安全参考架构 (10)图9:数据中心安全接入区案例示意图 (10)图10:基于零信任架构的云计算平台安全参考架构 (10)图11:零信任架构适应各类功能场景 (11)图12:基于零信任架构的远程办公安全参考架构 (12)图13:面对当前安全访问挑战所需的安全措施 (13)图14:采纳零信任安全模型的组织比例 (13)图15:受访者看重的零信任优点 (14)图16:零信任主要的应用领域 (14)图17:零信任迁移方法 (14)图18:零信任扩展的生态系统平台提供商(2019Q4) (16)图19:奇安信协同联动防护体系 (17)图20:奇安信零信任安全解决方案 (17)图21:奇安信零信任安全解决方案与参考架构的关系 (17)图22:奇安信零信任远程访问解决方案架构 (18)图23:美亚柏科“四大产品”及“四大服务” (18)图24:美亚柏科城市大脑逻辑架构 (19)图25:深信服主营业务 (20)图26:深信服精益信任解决方案架构 (21)图27:深信服精益信任动态访问控制 (21)图28:启明星辰全流程安全产品布局 (21)图29:启明星辰零信任体系架构 (22)图30:零信任管控平台典型应用场景 (22)图31:安恒信息产品体系全线概览图 (22)图32:安恒信息依托零信任体系确保云上业务的接入访问可信 (23)图33:绿盟科技安全产品线 (23)图34:绿盟科技安全运营架构 (23)图35:绿盟科技零信任安全解决方案 (24)图36:绿盟科技零信任网络访问控制 (24)图37:天融信以下一代防火墙为基础的安全防御体系 (25)图38:天融信工控主机卫士系统 (25)图39:山石网科主要产品及服务矩阵 (26)图40:山石云.格主要功能 (26)图41:格尔软件PKI系统架构 (27)表1:微隔离三大技术路线 (9)表2:美国各组织发布的零信任相关报告 (12)表3:我国零信任相关政策及标准 (13)表4:海外零信任解决方案市场供应商分析 (15)表5:重大会议上提及“新基建”情况 (19)表6:零信任与VPN在通用办公场景的对比 (24)表7:公司非公开发行预案募投项目一览 (27)一、零信任将成为数字时代主流的网络安全架构1.1 零信任是面向数字时代的新型安全防护理念零信任是一种以资源保护为核心的网络安全范式。
会员手册云安全联盟大中华区PART 01 /PART 02 /PART 03 /PART 04 /PART 05/2009CSA正式成立,发布了全球首个全面的云安全最佳实践《云计算关键领域安全指南》发布云安全领域黄金标准云控制矩阵CCM,推出云计算安全知识认证CCSK201020112013美国白宫在CSA峰会上宣布了美国联邦政府云计算战略推出全球权威云安全评估认证CSA STAR2015在中国推出C S A C-STAR认证发布云安全系统专家认证CCSSP201720192020推出CSA GDPR首席认证审计师课程,受欧盟国家认可发布零信任专家认证CZTP,推出针对企业的GDPR合规自检和第三方认证于2016年在中国香港注册成立,聚焦信息技术领域的基础标准和安全标准研究及产业最佳实践,牵引与推动中国与国际标准的接轨,打造国际技术与标准的联接器。
CSA 大中华区单位会员包括北京大学、复旦大学、华为、中兴、腾讯、浪潮、OPPO、深信服、360、奇安信、绿盟科技、启明星辰、安恒信息、天融信、中国工商银行、国家电网、数字认证、金山云、观安信息、UCloud等150多家知名高校和企业,个人会员1万多名,已成为构建中国数字安全生态的重要力量。
云安全联盟大中华区Cloud Security Alliance Greater China Region( CSA GCR )云安全联盟Cloud Security Alliance ( CSA )于2009年在美国注册成立,是数字安全领域中立权威的国际非营利组织,致力于国际云计算安全和下一代新兴信息技术安全的前沿研究和全面发展。
CSA在全球设立四大区,包括美洲区、欧非区、亚太区和大中华区,现有600多家单位会员,10万多名个人会员。
联盟顾问美国联邦原CIOTonyScott俄罗斯国家杜马安全和反腐败委员会第一副主席ErnestValeyev联合国副秘书长FabrizioHochschild联合国科学和技术发展委员会主席PeterMajor挪威工程院院士欧盟首席大数据科学家容淳铭院士加拿大皇家及工程院两院院士数据安全专家杨恩辉院士图灵奖获得者现代密码学之父WhitfieldDiffie零信任之父JohnKindervag中国友谊促进会理事长公安部原副部长陈智敏360集团董事长周鸿祎中国科学院院士中国数据安全专家郑建华院士中国科学院院士中国AI安全专家何积丰院士联盟主席 李雨航现任云安全联盟大中华区主席兼研究院院长,联合国工业发展组织安全专家,中科院云计算安全首席科学家/Fellow研究员,西安交大Fellow教授,原华为首席网络安全专家,微软全球首席安全架构师,IBM全球服务首席技术架构师。
