在一场讨论实战攻防的网络安全会议上,安全419发现如今越来越多的甲方企业对于“合规框架只是安全起点”有了更明确的认知,对于新技术上的采用,引入零信任技术正成为当下和未来的重要工作之一。在另外一场会议上,有甲方企业分享指出,实现零信任技术落地,重点需要解决的是如何将零信任融入到当前的整体安全架构当中,以至于没有企业敢一步到位,但阶段性部署案例已十分常见。
“零信任正在展现新价值,成为企业参与数字化竞争的核心能力之一。”“零信任已步入落地时代。”有零信任实践厂商也告诉安全419,随着零信任技术成熟度的进步,如系统化的解决了框架性的融合问题,同时作为新型安全基础设施,其技术用例也越来越完善,且能够以场景化的分阶段加以实践部署,将完全打消客户对于业务影响上的担忧。
总结而言,零信任已经成为企业强有力的安全运营新范式,大多数甲方用户正从早期的技术关注,到技术了解,已经开始大范围尝试落地零信任。鉴于不同甲方用户存在不同的应用场景,安全419也从各家零信任厂商处征集了一些具有代表性的零信任实践案例,仅供实践需求企业借鉴参考。
零信任技术体系在通信行业的大规模应用实践
需求企业:通信行业江苏某大型公司
承建企业:江苏易安联网络技术有限公司
(1)、案例概述:
易安联向我们讲述的是零信任在通信行业某大型企业下的落地实践案例,该案例需求客户是通信行业某国企在江苏设立的全资子公司。当前,各行业面临高压网络安全态势,该国企总部也对网络安全工作高度重视,严格根据通信行业规范时刻监督下属企业网络情况,其子公司端口映射、基线情况、数据安全均受总部管控。
我们了解到的是,在该企业未建设零信任项目前,已构建了基于传统安全边界的防御体系,并通过SSL VPN方式对外提供办公通道,便于员工出差或日常居家办公使用。
其中的挑战在于,SSL VPN本身存在接入端口暴露在互联网,但这种传统的基于账户和凭证的访问方式已无法确保身份的可信度,可能会出现账号外借、随意登录访问等行为,且无法进行终端安全管控,无法实时掌握全网所有终端系统的安全态势,甚至基本的硬件配置和软件信息都无法获取。
进一步的问题也在于该企业员工众多,终端数量巨大,下属多专业公司及合作伙伴同样需接入进行业务访问,基于网络层的访问控制策略不够灵活,安全策略固化,存在授权宽泛问题,易造成违规访问、越权访问等事件,且运维管理成本较高。
为解决原有安全体系存在风险识别不全、监管存在死角、权限划分固化、分析深度不足等诸多问题,并考虑内外网员工应用访问的安全、便捷性及服务稳定性,该企业最终决定选择构建零信任平台进行能力补足。
(2)、整体方案:
经过易安联前期调研全面洞悉该企业客户的实际需求,我们看到该零信任建设方案以应用分类分级,精细化管控作为基础,将网络防御的重心从静态的网络边界转移到用户、设备和资源上,方案共包括3大基础平台:零信任可信接入平台、移动安全工作平台、终端管控平台。
三大平台对应实现了全面的八大安全能力:可信身份管理能力、终端环境感知能力、暴露面收敛能力、最小化授权能力、基于业务的准入控制能力、数据管控能力、移动安全接入能力、动态策略编排能力,强化内网的纵深防御能力。
整体方案基于零信任安全理念,实际上也是帮助该企业客户在不影响现有业务并能够融入到现在安全技术体系下,构建了完整的零信任一体化安全运营体系。我们了解到的是,方案建成之后该企业接入零信任平台纳入管理的约1万人,高峰期并发4000+,接入终端1.8万台。
(3)、方案创新:
方案的创新性主要包含以下几个方面:
·构建“零信任”动态可信业务访问控制能力。
整体实践核心参考零信任思想,遵循“持续信任评估、动态访问控制”原则,通过网络隐身、持续验证、细粒度动态访问控制等功能,可有效收敛网络暴露面,降低漏洞被利用的机率,阻止潜在攻击。同时整体方向能够与该企业原有4A整合联动,实现了对用户身份的统一管理和认证,并根据用户身份进行应用授权,确保身份可信,保障业务接入和访问的安全。
·构建全网智能化安全监测与威胁发现能力。
零信任技术架构本身是吸引客户付诸实践的主要动力,同时市场级产品和方案在基础能力之上,也在扩展更多的用例集成。如该案例当中,我们看到的是能够提供终端安全态势感知,包括终端环境感知、终端安全事件检测与响应(EDR)、轻量级DLP等功能,其可应对终端不同层面的安全威胁,满足终端安全、可信、合规要求,补足客户原本在终端管控方面的不足。
·构建全网智能化应急处置能力。
整体方案以“零信任安全大脑”为核心,其通过安全审计中心和安全应急处置中心的整合联动,可实现多方协同,基于在统一的安全环境里执行一致的安全策略,能够为该企业构建起基于零信任的一体化主动安全防御体系,从而发挥最大的安全防护效能。
·零代码策略编排扩展能力。
易安联也明确告诉安全419,其零信任平台提供的自定义扩展未预置属性与不同场景的策略编排能力是方案落地时的重要依仗。在实际应用中,该企业通过平台提供的高级策略编排能力自主配置了多条特色需求,其快速DYI安全策略的灵活性,能够在特定的场合和条件下获得即时的安全便利性。
比如该企业管理员绝大多数都是在本地上班,在“特殊时期”,其可通过丰富的动态策略与系统策略配置,启用“非常用地”策略和“非常用时间”策略,即可阻止异地非常规登录。在实际应用下,该策略就发现了多次异常非常规时间的登录尝试,从而被要求进行多重验证进而保障了安全性。
另外我们还了解到,零信任系统内置的强密码策略与通信行业的要求并不完全相同,而其零信任方案提供的高级策略编排能力,能在不编码情况下配置出满足规范要求的即时策略,即能够全面兼容业务侧以及集团总部侧新增的不同的密码强度规范。
(4)、客户收益:
在具体的客户收益方面,通过建设零信任系统客户实现了暴露面的完全收敛,过去该企业业务入口对外过度暴露,在零信任系统加持下,网络连接按需动态开放,所有接入应用均满足先认证后连接原则,有效消减了多种网络威胁。
另外零信任系统也促成了该企业的主动安全防御体系建设,能够进一步地强化数据与业务安全保护,有效管理员工访问权限,动态控制远程访问安全,通过对人、终端和系统都进行识别、访问控制、实现全面的身份化,成功建立了网络安全新边界。
零信任系统提供了安全可靠的业务接入和访问环境,支持快速开通、快速接入的扩展能力,从而满足数字时代对数字化身份和业务的动态管理需求,各需求人员均可迅速进行平台接入,总部能够更加放心地开展业务创新和数字化转型,这也为业务拓展和增长提供良好的基础。
在体验方面,员工可在任何时间地点均需通过零信任客户端进行PC端与移动端的安全访问,零信任系统兼顾了用户的工作效率及用户体验,员工所需访问业务在客户端上进行统一呈现,提供快速访问通道。
而管理员则可通过该套零信任系统管理端实现所有人员、设备、办公场所等安全策略统一管控,可视化态势感知总览全网,提升安全运维效率。管理员权限同样支持细粒度划分,各分支及专业公司可设置子管理员进行分支的员工管理,实现专管专控。
总结这一具有代表性的案例,其价值点就是在于当企业建设了全面的合规安全,传统的边界化防御相较完善时,数字时代业务发展进入多元化,大量的业务资源访问仍然欠缺更加灵活且妥善的基于数据资产流动性保护的整体方案。而零信任技术基于永不信任持续验证理念下,对身份、设备、网络环境整体把控,则领先于传统方案进行更加有效的整体安全把控。
以上案例我们也看到了易安联在技术落地时对于零信任,以及整体方案有效性上的理解要更加深刻,以客户实践且不影响原有业务为原则,零信任理念也不仅仅解决的是业务安全访问问题,更多的用例集成将为客户提供基于零信任一体化安全运营体系能力,以及工具化带来的灵活实战防护能力,整体而言对于客户的网络安全防护水平也有了明显提升。
关于易安联
“作为国内早一批布局零信任的安全厂商之一,易安联近年来持续领跑零信任网络访问行业,针对零信任落地场景时遇到的身份、设备、行为、数据等安全风险,易安联依托多年对用户场景和需求的深入洞察及落地实践,已形成“以身份为基石,终端安全新边界,持续验证动态访问,动态威胁检测”的成熟零信任安全防护产品和解决方案,并经过了卓有成效的市场验证。凭借专业的零信任产品及服务,公司已经为运营商、制造、电力、教育、金融等重点行业的超八百家客户提供零信任解决方案。”
京公网安备 11010802033237号
