12月4日，主題為“數(shù)字合作創(chuàng)新 安全賦能基建”的2020云安全聯(lián)盟CSA大中華區(qū)大會(huì)在上海開(kāi)幕，奇安信身份安全事業(yè)部總經(jīng)理張澤洲在大會(huì)演講中表示，推動(dòng)零信任架構(gòu)的落地不能一蹴而就，需要以工程思維，妥善規(guī)劃，分步建設(shè)，最終達(dá)成基于身份的、細(xì)粒度的動(dòng)態(tài)訪(fǎng)問(wèn)控制機(jī)制。

　　圖：奇安信身份安全事業(yè)部總經(jīng)理張澤洲

　　數(shù)字化轉(zhuǎn)型時(shí)代，數(shù)據(jù)中心也在向云化發(fā)展。云化數(shù)據(jù)中心具有數(shù)據(jù)價(jià)值集中、邊界不斷延伸、數(shù)據(jù)持續(xù)流動(dòng)等特點(diǎn);另一方面，高價(jià)值的數(shù)據(jù)必然充滿(mǎn)誘惑，云化數(shù)據(jù)中心安全威脅和網(wǎng)絡(luò)攻擊的重點(diǎn)也相應(yīng)的發(fā)生了變化，主要表現(xiàn)為利用弱密碼、業(yè)務(wù)漏洞等手段突破邊界;利用網(wǎng)絡(luò)層面的“默認(rèn)信任”進(jìn)行橫向移動(dòng);利用資產(chǎn)訪(fǎng)問(wèn)控制的缺失竊取數(shù)據(jù)，缺乏完善的針對(duì)資產(chǎn)的訪(fǎng)問(wèn)控制措施。

　　面對(duì)上述問(wèn)題，張澤洲認(rèn)為需要以資產(chǎn)為中心，從業(yè)務(wù)與安全兩個(gè)視角重新審視安全架構(gòu)。零信任正是解決上述問(wèn)題的一種理念、方法和架構(gòu)。零信任理念認(rèn)為網(wǎng)絡(luò)默認(rèn)不可信，不能僅僅基于訪(fǎng)問(wèn)者在內(nèi)網(wǎng)還是外網(wǎng)來(lái)決定訪(fǎng)問(wèn)權(quán)限，而是要基于從不信任、始終驗(yàn)證的原則，將安全措施從網(wǎng)絡(luò)轉(zhuǎn)移到具體的人員、設(shè)備和業(yè)務(wù)資產(chǎn)，在邊界安全之上疊加基于身份的邏輯邊界，其本質(zhì)是基于身份的、細(xì)粒度的動(dòng)態(tài)訪(fǎng)問(wèn)控制機(jī)制。

　　具體來(lái)說(shuō)，零信任需要做好四個(gè)方面的關(guān)鍵能力。

　　首先，以身份為基石：構(gòu)建并持續(xù)維持身份和權(quán)限基礎(chǔ)數(shù)據(jù)的有序至關(guān)重要，這是精準(zhǔn)訪(fǎng)問(wèn)控制的準(zhǔn)繩;

　　其次，動(dòng)態(tài)訪(fǎng)問(wèn)控制：應(yīng)該基于訪(fǎng)問(wèn)路徑，充分利用端到端的上下文屬性作為訪(fǎng)問(wèn)決策的因素。其中需要注意的是，不僅僅需要考慮人員的屬性，還要考慮設(shè)備的屬性、網(wǎng)絡(luò)的屬性、環(huán)境的屬性等等。訪(fǎng)問(wèn)策略所依賴(lài)的屬性越多，訪(fǎng)問(wèn)策略越精準(zhǔn);

　　第三，驗(yàn)證并持續(xù)評(píng)估：對(duì)人員和設(shè)備進(jìn)行強(qiáng)身份驗(yàn)證，并且在訪(fǎng)問(wèn)過(guò)程中結(jié)合各種數(shù)據(jù)進(jìn)行持續(xù)評(píng)估;

　　最后，全場(chǎng)景業(yè)務(wù)安全訪(fǎng)問(wèn)：針對(duì)現(xiàn)代IT基礎(chǔ)設(shè)施，業(yè)務(wù)場(chǎng)景很多，包括應(yīng)用訪(fǎng)問(wèn)、運(yùn)維、接口調(diào)用、功能和數(shù)據(jù)訪(fǎng)問(wèn)等等，需要在這些業(yè)務(wù)場(chǎng)景中設(shè)置訪(fǎng)問(wèn)控制點(diǎn)。

　　圖：零信任安全邏輯架構(gòu)

　　奇安信新一代身份安全工程作為奇安信“十大工程五大任務(wù)”之首，是零信任架構(gòu)在新型業(yè)務(wù)場(chǎng)景落地建設(shè)的工程化框架。新一代網(wǎng)絡(luò)安全框架從頂層視角出發(fā)，以系統(tǒng)工程的方法論結(jié)合“內(nèi)生安全”理念，解構(gòu)出面向數(shù)字化時(shí)代網(wǎng)絡(luò)安全規(guī)劃的“十大工程五大任務(wù)”，能指導(dǎo)不同行業(yè)輸出符合其特點(diǎn)的網(wǎng)絡(luò)安全架構(gòu)，構(gòu)建動(dòng)態(tài)綜合的網(wǎng)絡(luò)安全防御體系。新一代身份安全框架將身份安全與零信任能力，通過(guò)不同的網(wǎng)絡(luò)安全執(zhí)行點(diǎn)調(diào)用到數(shù)字化環(huán)境的各個(gè)關(guān)鍵環(huán)節(jié)，最終實(shí)現(xiàn)端到端應(yīng)用與數(shù)據(jù)的細(xì)粒度訪(fǎng)問(wèn)安全，支持客戶(hù)的安全架構(gòu)升級(jí)，助力數(shù)字化轉(zhuǎn)型。

　　張澤洲強(qiáng)調(diào)，零信任作為一個(gè)安全架構(gòu)進(jìn)行落地，面臨著流程、技術(shù)、管理等多個(gè)方面的挑戰(zhàn)，必須結(jié)合企業(yè)現(xiàn)狀，妥善規(guī)劃，分步建設(shè)，逐步推進(jìn)零信任的落地。分步構(gòu)建一定要注意零信任建設(shè)的可持續(xù)性，要避免一個(gè)一個(gè)場(chǎng)景的零信任建設(shè)完成后，卻變成一個(gè)一個(gè)的項(xiàng)目孤島，安全能力打不通，安全策略沒(méi)法統(tǒng)一，這和零信任架構(gòu)的訴求是背道而馳的，不符合零信任的價(jià)值實(shí)現(xiàn)。

　　奇安信集團(tuán)作為國(guó)內(nèi)領(lǐng)先的零信任架構(gòu)的踐行者，擁有專(zhuān)注“零信任身份安全架構(gòu)”研究的專(zhuān)業(yè)實(shí)驗(yàn)室——奇安信身份安全實(shí)驗(yàn)室，致力于解決國(guó)內(nèi)“企業(yè)物理邊界正在瓦解、傳統(tǒng)邊界防護(hù)措施正在失效”的新一代網(wǎng)絡(luò)安全問(wèn)題，并推出“以身份為基石、業(yè)務(wù)安全訪(fǎng)問(wèn)、持續(xù)信任評(píng)估、動(dòng)態(tài)訪(fǎng)問(wèn)控制”為核心的奇安信零信任身份安全解決方案。

　　該團(tuán)隊(duì)結(jié)合行業(yè)現(xiàn)狀，大力投入對(duì)零信任安全架構(gòu)的研究和產(chǎn)品標(biāo)準(zhǔn)化，牽頭發(fā)起了首個(gè)國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù) 零信任參考體系架構(gòu)》的制定工作，并積極推動(dòng)“零信任身份安全架構(gòu)”在業(yè)界的落地實(shí)踐。目前，該奇安信零信任安全解決方案已經(jīng)在在政府、部委、金融、能源等行業(yè)進(jìn)行廣泛落地實(shí)施，為客戶(hù)的大數(shù)據(jù)中心、核心業(yè)務(wù)資產(chǎn)等進(jìn)行保護(hù)，支撐整體安全架構(gòu)的變革，得到市場(chǎng)、業(yè)界的高度認(rèn)可。

特別提醒：本網(wǎng)內(nèi)容轉(zhuǎn)載自其他媒體，目的在于傳遞更多信息，并不代表本網(wǎng)贊同其觀點(diǎn)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實(shí)，對(duì)本文以及其中全部或者部分內(nèi)容、文字的真實(shí)性、完整性、及時(shí)性本站不作任何保證或承諾，并請(qǐng)自行核實(shí)相關(guān)內(nèi)容。本站不承擔(dān)此類(lèi)作品侵權(quán)行為的直接責(zé)任及連帶責(zé)任。如若本網(wǎng)有任何內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系我們，本站將會(huì)在24小時(shí)內(nèi)處理完畢。