企业构建零信任的实践路径

995 阅读6分钟

企业构建零信任的实践路径

持续验证,永不信任

零信任代表了新一代的网络安全防护理念,它的关键在于打破默认的“信任”,用一句通俗的话来概括,就是“持续验证,永不信任”。

默认不信任企业网络内外的任何人、设备和系统,基于身份认证和授权重新构建访问控制的信任基础,从而确保身份可信、设备可信、应用可信和链路可信。

基于零信任原则,可以保障办公系统的三个“安全”:终端安全、链路安全、访问控制安全。

发展背景

传统的网络安全是基于防火墙的物理边界防御,也就是为大众所熟知的“内网”。

防火墙的概念起源于上世纪80年代,该防御模型前提假设是企业所有的办公设备和数据资源都在内网,并且内网是完全可信的。

然而,随着云计算、大数据、物联网等新兴技术的不断兴起,企业IT架构正在从“有边界”向“无边界”转变,传统的安全边界逐渐瓦解。

随着以5G、工业互联网为代表的新基建的不断推进,还会进一步加速“无边界”的进化过程。

与此同时,零信任安全逐渐进入人们的视野,成为解决新时代网络安全问题的新理念、新架构

零信任的三大核心技术

微隔离、SDP(软件定义边界)、IAM(身份访问管理)

微隔离

微隔离是可以解决云内安全问题的技术方案,是实现SDP零信任框架的基石。 但要实现零信任安全模型,还必须做到深度应用识别,最低访问授权控制。

www.aqniu.com/learn/67586…

SDP 软件定义边界

SDP是国际云安全联盟(CSA)推出的一套技术架构。 它是一套开放的技术架构,理念与零信任理念非常相似。国内国际很多安全大厂都在推出基于SDP技术的零信任产品。

它只对授权的 SDP 客户端可见,对其他工具完全不可见。从而做到服务器的隐身防护罩。

SDP帮助企业应用和服务在网络上实现“隐身”,以减少被攻击的风险;为企业提供一种更灵活的VPN替代方案,使远程访问/办公更便捷、更安全。 使企业应用可以实现更安全上云。

IDaaS(IAM 的 SaaS 交付)

IDaaS 是传统 IAM 的云化,提供标准认证协议的认证、授权能力、开发套件。

在 IDaaS 下的单点登录及身份管理中基于机器学习的算法对于用户行为进行分析,通过身份管理系统对于用户行为发生变化时进行持续校验。

同时现代化的 IDaaS 可以做为底层基础设施,向上层应用软件系统赋能,提供权限对接的统一插口,类似一个数据交换中的路由HuB,在访问控制层连接异构应用。

www.freebuf.com/articles/es…

企业零信任实践的三个阶段

无论微隔离,SDP ,IDaaS ,都始终围绕“持续验证,永不信任”的原则。 而在企业建立上云迁移的实践当中,数据访问控制是贯穿始终的核心要素,而且相对于 SDP、微隔离、基于 IDaaS 的身份访问控制,更接近终端用户,基于此构建的 UEBA 分析系统可赋能营销人员,决策人员,基于 IDaaS 构建的 4A 中心可赋能软件开发人员,5A 中心可提高 IT 管理人员效率。

企业在云化的过程中,从 IDaaS 开始构建自己的身份基础设施,可以参考以下三个阶段。

1、建立统一 IAM 身份

帐号、认证、授权、审计、即传统的 4A: Account , Authentication , Authorization , Audit ;

实现单点登录

基于 IAM ,简单化用户和连接管理,提供可统一,精细管控的安全凭证,可一致的连接,阻断所有应用、数据访问。

统一身份来源

从单独,唯一的可信来源,用户目录,提供一个中心化,面向企业客户,员工,合作伙伴,临时人员,的用户、组织、角色视图。

2、深化身份基础设施

延续步骤 1 的能力,基于上下文,构建策略引擎,建立全生命周期、动态策略收放的身份访问管理。 如:

统一组织管理

在一处,管理企业的所有应用访问,身份来源(社交、伙伴、内部、其它第三方),组织架构,内部,外部,离职员工,转岗员工的角色,权限变更、自动召回,提升 IT 管理效率,保证安全一致性。

联动 SD-WAN , SDP ,微隔离

基于企业已有的 IAM 基础之上,面向云,提供云、网、边、端、一体化的访问连接控制,建立动态、与现有基础设施联动的连接控制。 基于用户、应用、设备、位置、习惯、网络、连接、行为等进行动态策略引擎访问控制,从网络、网关、登录、应用、数据访问、等多层面,多路径的精准、灵活阻断、放行、审计。

身份基础设施

您还可以基于第一阶段的 IAM 向云迁移,如提供 API 网关统一鉴权,向应用软件提供 SDK ,由云化的 IAM ,即 IDaaS 提供统一的权限管理中心,统一的 OAuth2.0 授权服务中心,统一 OpenID 身份互联中心,应用管控中心(应用市场),向内、向外授权,互联身份,这也是业内大多数 IAM/IDaaS 厂家产品努力方向。

用户画像

统过一个统一,连接内部、外部,有效审计、多方面联动的现代化 IAM/IDaaS ,您可以对访问数据进行进一步挖掘,甚至某些 IAM/IDaaS 产品自身就具备这种功能,从而为您的企业提供有价值的信息、知识,先人一步洞察数据,做出反应。

3、持续优化,不断迭代

变化、个性化是企业信息化过程中不变的命题。好的访问控制产品也必然需要随您企业的业务需求不断进化。

一个标准化的产品可能满足您 80% ~ 90% 的需求,而剩余的 10% ~ 20% 的差异化恰是您企业与众不同的业务立足之本。如何满足这剩余的 10% 可能是您更关注的。

欢迎与您交流。

关于 JAI

基于开源 JustAuth , JustAuthPlus,构建;自主可控、直观可视的身份访问管理产品,为您构建云时代,数据安全的基石,赋能您的数字化转型。

部分特性

  • 一致的安全:云、网、边、端、一致的安全策略;
  • 标准IAM 5A 能力:用户目录、统一认证、统一授权、应用管控、统一审计;
  • 身份连接器:无论是社交身份,Ldap/ActiveDirectory, SAML , OAuth2 , OIDC , JAI 为都可以为您提供标准,快速的接入;
  • 数据可视化:直观,强大的数据可视化平台,让企业洞悉每一个数据访问细节;
  • 集中授权治理: 多语言,SDK,提升开发效率,灵活,精细化的应用访问解决方案;
  • 统一 API 网关管理: 基于 JAI 的统一 API 网关访问管理,一个平台控制所有;
  • 国产开源,自主可控的零信任产品,不受限于任何云平台,游刃有度。