近日,《零信任安全-技术详解与应用实践》终于正式出版,本书作者蔡东赟,此外还有包括持安科技创始人兼CEO何艺在内的18位零信任专家、44个机构共同撰写。
书籍层层递进地阐述了办公安全行业现存挑战、零信任理念、零信任系统架构、零信任落地场景、规划与建设指引及零信任在多个领域的应用实战等。
其中,持安科技创始人兼CEO何艺与王冠楠老师,与作者蔡东赟完成的本书零信任建设规划落地部分内容。
从理论到实践,全面了解零信任技术
本书面向信息化建设人员、企业数字化转型人员、网络安全部门决策者或从业人员,以及其他对零信任感兴趣的人员,初学者可以把它看作一本零信任技术领域的入门工具书,资深从业人员也是一本零信任建设指导手册,帮助读者深入探索零信任的整体实施方案。
本书伊始总结到,数字化时代企业办公安全建设面临的挑战,例如在混合办公、业务上云的安全挑战,移动终端面临跨团队协作泄密及混合云部署等多种安全风险,内网边界被突破及数据中心流量过大的危险,数据安全的监管合规与个人隐私保护约束,身份安全的统一管理与权限治理难点,用户访问场景安全与效率体验的平衡性挑战等。
新需求催生新技术!在这样的场景下,零信任作为可以解决企业安全与效率问题、提升企业内外网健壮度、保障企业业务数据安全的新兴技术理念逐渐走入大众视野,在中国市场,自2020年新冠疫情导致的远程办公等需求兴起之后,零信任短期内即在安全行业掀起浪潮。
本书将零信任体系架构定义为一种以保护数据资源为核心的网络安全范式,其体系结构建立的前提是从来不隐式授予信任,而必须持续地进行安全评估。
零信任体系结构是一种新的安全访问控制模式,它在对数据和应用程序授予访问权限之前,对每个用户、设备和进程使用多层次精细的访问控制、强大的攻击检测和持续身份验证等安全机制。此体系结构是一种针对企业资源和数据安全的端到端方案,其中涉及的关键对象包括身份、凭证、访问管理、操作、终端、主机环境和互联基础设施等。零信任体系结构初始的重点是将资源访问限制于有实际访问需求的主体,并仅授予对应主体执行任务所需的最小权限,如读取、修改、删除等。
零信任体系结构不仅在企业网络边界上进行粗颗粒度的访问控制,也要对企业的人员、设备、业务应用、数据资产之间的所有访问请求进行细颗粒度的访问控制,并且访问控制策略需要基于对上下文的信任评估进行动态调整。
在具体的服务场景及技术方案中,书籍认为主要可以分为两类,即用户访问服务场景与服务访问场景。
用户访问服务场景即员工在公司办公、在家或出差办公期间,或外部合作伙伴因业务合作需求等需要访问企业内部系统进行业务操作等场景,这种场景下传统的办法是使用VPN方案,但是VPN存在卡顿、升级困难、缺乏安全性等因素,使其越来越难以满足企业现有的要求。
在这种场景下,基于零信任有两种接入方式。一种是通过终端,即终端有应用程序需要访问企业资源,适合终端流量协议复杂、支持应用程序多样的场景,需要对应比较好的流量劫持转发工具,如公司内部研发使用代码管理工具、运维场景使用SSH\RDP等CS客户端工具的场景。
另一种是无终端方案,只提供浏览器Web访问。例如,以web的方式提供给协作部门或者一些业务系统给自己组织的员工使用,常见的提供给浏览器、IM类产品的开放应用平台如企业微信、钉钉等。通过部署一个前置网关来实现访问控制,网关位于所有的应用程序前面,通过劫持域名,将所有后置域名的请求定向到web网关作为入口,同时在网关上施行身份鉴权,如鉴权成功,就将请求代理到后置指定域名对应的系统,从而实现公网发布和入口保护。
服务访问服务场景即主要为工作负载访问场景,近年来东西向流量管理的缺失,给数据中心、业务应用和数据带来了巨大风险,此时可以通过基于身份的零信任分段的方式来对本地或云端的数据中心的工作负载、应用、程序进行细粒度隔离和精细化的访问控制。
在零信任体系规划和建设指引部分,书籍对零信任体系规划场景中常见的用户、设备、网络、工作负载、数据资产、持续安全风险监测与自动化编排响应、安全风险可视化等关键对象展开了详细的分析,并给出了相应的技术产品与解决方案思路。
企业在建设自身的零信任架构时,可参考以下体系完成:
首先需要确定零信任建设相关的团队和利益相关的团队。
其次,需要概述零信任战略并探讨其意义,在此基础上确定零信任实施范围,包括组织、业务和网络范围。
再次,在实际业务场景方案分析中,需要考虑内部员工的安全访问场景、外部人员与企业协作场景、系统间的安全访问场景以及物联网安全连接场景
随后,在零信任能力规划中,需要制定统一身份构建和业务接人构建等计划。
然后,在项目实施中,进行资产摸底、零信任部署、统一身份构建、业务接入构建零信任最小化策略制定以及零信任持续运营等措施。同时,项目实施需要进行项目管理包括项目实施概述和项目实施框架。
最后,需要在安全成熟度评估中进行零信任成熟度概要、零信任成熟度要求概述以及零信任成熟度评估方的评估。
持安一体化零信任办公安全平台
为客户提供高效无感知的安全办公方式
一个理念从概念到成熟,是技术创新型企业的挑战,也是机会。
根据国际研究机构Gartner2023年发布的《Hype Cycle for Security in China, 2023(2023中国安全技术成熟度曲线)》报告,零信任理念在中国已经逐渐走向成熟。如今提起零信任,许多人已经认识到VPN或SDP替代方案都是传统基于边界隔离的防护思想,这种思想主要通过网络隐身和隔离来阻止攻击者进入网络,但攻击者一旦通道建立人员进入网络后,则无法防范应用层的攻击,无法前置化防护数据风险。而最初让零信任理念在国际上走入大众视野的,基于Google Beyondcorp 架构的应用层零信任,是以业务⾝份通过实时上下⽂的动态决策引擎,将零信任能力深入至应用和数据,实现了对应用和数据的安全管控闭环。
持安科技成立于2021年,作为一家来自甲方的零信任技术创新企业,持安科技一直希望能推动零信任最佳实践在国内落地,让更多企业感知到零信任落地的安全与业务价值。
持安科技核心产品持安远望办公安全平台,是Google Beyondcorp架构在国内的落地实践,其特点是站在甲方的角度,贴合业务通过应用层零信任能力构建零信任体系,将零信任能力深入至企业应用层和数据层,实现了应用0day防护和数据管控能力,通过团队近10年的零信任技术与实践积累,真正变成业务的安全底座。
持安科技分层防护模型
持安科技的零信任产品创新性的实现了Gartner提出的“基于人的身份对数据进行安全管控”,通过零信任实时动态决策,解决人对数据的访问安全闭环,可动态免改造无打扰实现数据管控、审计、脱敏、溯源等能力。
此外,持安零信任产品可在全行业、全场景落地,目前实现多家超大型企业在内外网全面零信任落地能力,让安全无界、助力业务发展。开箱即用,操作简便,业务0改造,办公0打扰。
持安科技在零信任领域的技术实力、解决方案落地能力也受到了业界权威机构的高度认可。入选国际权威IT咨询和研究机构GartnerZTNA领域相关的重磅报告,并被誉为“ZTNA领域代表厂商”,多款零信任产品方案荣获中国信通院“安全守卫者计划优秀案例奖、中国信通院零信任最佳案例奖、CSA安全金盾奖等奖项。
未来,持安科技将继续精进自身产品与解决方案能力,积极参与零信任领域的标准、白皮书、研究报告与书籍的撰写,积极推动零信任最佳实践在国内的落地与发展。
持安科技
往
期
推
荐
做最懂用户的零信任安全专家
· Gartner《中国零信任网络访问市场指南》发布!持安科技被评为“代表厂商”