




版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡(jiǎn)介
1、零信任安全從理論模型到實(shí)踐落地Zero Trust: From Theoretical Model to Practical Landing道路起點(diǎn):零信任落地是企業(yè)一把手工程,不是購(gòu)買產(chǎn)品服務(wù)零信任在全球被全面擁抱;甲方、乙方、中立機(jī)構(gòu)一起大規(guī)模落地實(shí)施;中國(guó)工信部確定零信任為安全關(guān)鍵技術(shù)安 全 理 念安 全 戰(zhàn) 略安 全 架 構(gòu)道路目標(biāo) - 記住你的北斗七星“1個(gè)理念,5項(xiàng)原則,1個(gè)含義”Believe nobody不信任何人員Check everything all the time隨時(shí)檢查一切防范動(dòng)態(tài)威脅Defeat Dynamic threats/risksExpect and pr
2、epare for the worst做好最壞打算Assume nothing不做任何假定1個(gè)含義零信任不是零訪問(wèn),而是更安全訪問(wèn)被防護(hù)的資源1個(gè)理念永不信任 始終驗(yàn)證5項(xiàng)原則A B C D E企業(yè)零信任之旅的六大收獲降 低 風(fēng) 險(xiǎn)強(qiáng)化資產(chǎn)的發(fā)現(xiàn),任何應(yīng)用與服務(wù)都會(huì)被識(shí)別并給予 身份,對(duì)敏感信息的攻擊途徑會(huì)被分析,數(shù)據(jù)流圖使 網(wǎng)絡(luò)的透明度增加降 低 成 本將保護(hù)目標(biāo)聚焦到負(fù)載與數(shù)據(jù),通過(guò)策略與控制排除 不需要訪問(wèn)資源的用戶/設(shè)備/應(yīng)用,惡意行為被限制, 大大降低安全事件數(shù)量,企業(yè)有更多時(shí)間與資源來(lái)迅 速恢復(fù)少數(shù)的安全事件,降低業(yè)務(wù)成本業(yè) 務(wù) 敏 捷擯棄了靜態(tài)邊界防御的慢速與不方便的檢查,安全不
3、 再是業(yè)務(wù)的絆腳石,使業(yè)務(wù)能更快上線,用戶的安全 體驗(yàn)更好,增加了業(yè)務(wù)的速度與敏捷性安 全 合 規(guī)使安全審計(jì)師更容易看清網(wǎng)絡(luò),便于審計(jì)工作并減少 違規(guī)發(fā)現(xiàn),其架構(gòu)本身已經(jīng)具有多項(xiàng)安全控制措施滿 足合規(guī)條款,包括國(guó)際與行業(yè)安全標(biāo)準(zhǔn)及中國(guó)的等級(jí) 保護(hù)2.0等有 效 控 制在公有云,混合云,多云環(huán)境下把網(wǎng)絡(luò)通信限制在有 身份被驗(yàn)證的負(fù)載中,防止包括云服務(wù)商管理員在內(nèi) 的各方向攻擊改 善 管 理對(duì)于數(shù)字化轉(zhuǎn)型依賴軟件與應(yīng)用的組織機(jī)構(gòu),零信任 能很好地支持DevOps,使應(yīng)用部署適配業(yè)務(wù)優(yōu)先級(jí) 減低各組織部門之間的摩擦B52常規(guī)轟炸機(jī)B2隱身轟炸機(jī)安全從防彈衣走向隱身衣 漏洞仍存在,但很難發(fā)現(xiàn) 事件仍發(fā)
4、生,但幾率變小零信任戰(zhàn)略核心 - 以身份為邊界(Identity based) 先認(rèn)證零信任架構(gòu) 后連接以身份為邊界先連接 后認(rèn)證以網(wǎng)絡(luò)為邊界傳統(tǒng)架構(gòu)通過(guò)防火墻, VPN 、 I D S / I P S 等設(shè)備 建立企業(yè)的網(wǎng)絡(luò)邊界 構(gòu)筑基于內(nèi)網(wǎng)位置的信任體系,認(rèn)為 網(wǎng)絡(luò)內(nèi)部的人員與設(shè)備是可信的 從不信任,始終驗(yàn)證 基于身份- 人、設(shè)備、應(yīng)用等 看不見、拿不走、可追溯、能銷毀 云管端、動(dòng)靜用、前中后 防范和保護(hù):隱身與防彈并重 智能化和自適應(yīng) 零信任架構(gòu):1個(gè)標(biāo)準(zhǔn)(ZTA),3大技術(shù)(SIM)NIST SP 800-207 Zero Trust Architecture(NIST 零信任架構(gòu)草案
5、第二版)最小授權(quán):缺省是無(wú)權(quán)三個(gè)層面:數(shù)據(jù)、控制、管理被保護(hù)資源:網(wǎng)絡(luò)/數(shù)據(jù)/應(yīng)用/系統(tǒng)/存儲(chǔ)等身份認(rèn)證:支持人、設(shè)備等動(dòng)態(tài)實(shí)時(shí)管理防范和保護(hù):防彈衣、雙向防護(hù)通信加密SDPZT-IAMMSGCSA零信任成熟度模型框架 ZT-CMM Framework身 份設(shè) 備網(wǎng) 絡(luò)應(yīng) 用基礎(chǔ)設(shè)施數(shù) 據(jù)技 術(shù) 安 全 層界定保護(hù)面繪制交互流程構(gòu)建零信任環(huán)境創(chuàng)建零信任策略監(jiān)控及維護(hù)職 能 安 全 層遠(yuǎn)程 辦公產(chǎn)業(yè) 互聯(lián)網(wǎng)企業(yè) 上云BYOD外部 協(xié)作其 它業(yè) 務(wù) 場(chǎng) 景 層工業(yè) 互聯(lián)網(wǎng)供應(yīng)鏈CSA零信任戰(zhàn)略咨詢服務(wù)框架 ZT-SCS FrameworkCSA授權(quán)第三方機(jī)構(gòu)提供服務(wù),框架立足客戶實(shí)際業(yè)務(wù)保障需求,
6、對(duì)安全知識(shí)進(jìn)行重構(gòu)與梳理,擁有系統(tǒng)性、戰(zhàn)略級(jí)安全知識(shí)架構(gòu),提供綜合性零信任戰(zhàn)略咨詢服務(wù)產(chǎn)品包,四大服務(wù)包,十一 類安全交付件。 安全評(píng)估安全戰(zhàn)略規(guī)劃 安全解決方案(3) 職能安全診斷(2) 技術(shù)安全診斷(4) 安全SP / BP(1) 業(yè)務(wù)場(chǎng)景診斷(6) 技術(shù)路標(biāo)(7) RFP服務(wù)(9) 安全技術(shù)培訓(xùn)知識(shí)轉(zhuǎn)移(10) 安全意識(shí)培訓(xùn)(11) 中高級(jí)管理者安全培訓(xùn)(8) 方案實(shí)施管理服務(wù)(5) 安全效能提升企業(yè)零信任實(shí)踐之路的步驟(職能安全)125界定保護(hù)范圍記錄業(yè)務(wù)流轉(zhuǎn)構(gòu)建零信任環(huán)境3創(chuàng)建零信任安全策略4監(jiān)視和維護(hù)確認(rèn)保護(hù)面:關(guān)鍵數(shù) 據(jù)/應(yīng)用程序/資產(chǎn)/ 服務(wù)(DAAS)把控件移近保護(hù)面并 附上
7、限制性的/精確 的/可理解的策略聲 明創(chuàng)建微邊界或分隔微 邊界流轉(zhuǎn)傳輸方式?jīng)Q定保護(hù)方式通過(guò)獲得有關(guān)DAAS 相互依賴關(guān)系的上下 文信息,記錄特定資 源的交互方式有助于 加強(qiáng)控制并提供有價(jià) 值的上下文信息,確 保最佳安全環(huán)境降低對(duì)用戶和業(yè)務(wù)運(yùn)營(yíng)的干擾以保護(hù)面為中心自定義 并構(gòu)建網(wǎng)絡(luò)根據(jù)業(yè)務(wù)需求記錄流程, 從下一代防火墻開始制 定零信任架構(gòu)下一代防火墻充當(dāng)分段 網(wǎng)關(guān),在保護(hù)面周圍創(chuàng) 建一個(gè)微邊界。對(duì)任何 嘗試訪問(wèn)保護(hù)表面內(nèi)的 對(duì)象使用分段網(wǎng)關(guān),強(qiáng) 制執(zhí)行附加的檢查和訪 問(wèn)控制層,一直到第七 層。創(chuàng)建策略確定訪問(wèn)流程提前了解訪問(wèn)用戶對(duì)象/訪問(wèn)的應(yīng)用程序/訪問(wèn) 原因/連接方式等,確 認(rèn)合適控件保護(hù)該訪
8、問(wèn)精細(xì)化實(shí)施,僅允許已 知流量或合法應(yīng)用程序 連接檢查內(nèi)外部所有日志側(cè)重零信任操作方面檢查記錄所有流量改進(jìn)環(huán)境案例:微軟20年零信任之路-從無(wú)邊界網(wǎng)絡(luò)到零信任2001Anywhere Access/MSI 政府安全計(jì) 劃源代碼共 享基礎(chǔ)設(shè)施微軟IT:2019年零信任新戰(zhàn)略 目標(biāo)與收益“Strong identity + device health + least privilege user access verified with telemetry” “身份強(qiáng)認(rèn)證+設(shè)備健康度+最小權(quán)限用戶訪問(wèn),由安全大腦驗(yàn)證”Assets are moved from the internal netwo
9、rk to the internet except for the most critical assets從內(nèi)網(wǎng)遷移到互聯(lián)網(wǎng)的數(shù)字資產(chǎn)Enhanced user experience with Internet First 互聯(lián)網(wǎng)優(yōu)先的增強(qiáng)用戶體驗(yàn)Reduced attack surface of the environment 環(huán)境中減小的攻擊面Comprehensive telemetry, artificial intelligence for anomaly detection, service health verification發(fā)達(dá)的CSA零信任成熟度模型-業(yè)務(wù)場(chǎng)景:遠(yuǎn)程辦公漫
10、長(zhǎng)而艱難的偉大史詩(shī)Identity is verifiedStrong Identity EverywhereDevice is healthyModern Access (Access from healthy device)ModernManagement(Autopilot, AADJ devices)Applications enforcing CARemoval of corpnetInternet OnlyApplications & Services on InternetNetwork SecurityAlternate Access OptionsVirtualization
11、User ExperienceApplication discovery & launch through InternetAccess is verifiedLeast Privilege access modellingService is verifiedService health validationOperationsCommunicationsTelemetry3rd party product evaluationsVNextFocusing on future of ZT微軟IT:2019年零信任新戰(zhàn)略 實(shí)施計(jì)劃CSA零信任戰(zhàn)略咨詢服務(wù)框架 安全戰(zhàn)略規(guī)劃身份Eliminate
12、 passwords and migrate to Windows Hello消除密碼登錄認(rèn)證,遷移到“Windows Hello”生物特征登錄認(rèn)證Set Multifactor Authentication as the default 設(shè)置多因素認(rèn)證為默認(rèn)設(shè)備Require all devices to be Modern Managed要求所有設(shè)備被現(xiàn)代化管理Ensure all devices meet health requirements 確保所有設(shè)備滿足健康度要求訪問(wèn)Move devices and users to respective network segments 遷移設(shè)
13、備和用戶到相應(yīng)的網(wǎng)絡(luò)隔斷Grant bare minimum access and permissions 授予最低限度的訪問(wèn)權(quán)限服務(wù)All the applications and services apply Zero Trust principles 使所有應(yīng)用和服務(wù)采用零信任原則Require applications and services to provide their health certificate 要求應(yīng)用和服務(wù)提供各自的健康證書微軟IT:2019年零信任新戰(zhàn)略 實(shí)施思路CSA零信任成熟度模型-技術(shù)安全:身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用Scenario 1劇情效果1As an
14、employee, I can enroll my device into management to get access tocompany resources.Scenario 2劇情效果2As an employee or a business guest, I have a method to access corporate resources when not using a managed device.Scenario 3劇情效果3As an employee, I have user interface options (portal, desktop apps) that
15、 provides the ability to discover and launch applications and resources that I need.Scenario 4劇情效果4As an application or security stakeholder, my application validates the health of devices prior to allowing them to connect.服務(wù)/應(yīng)用數(shù)量: 用戶數(shù)量:設(shè)備數(shù)量:不包含:2K+ (e.g., Microsoft Office apps, line-of-business app
16、s) 150K+ (e.g. employees, vendor contractors, partner users)600K+ (e.g. iPhone, Android, Mac, and Windows (Linux is an eventual goal))175 million partners, 3.5 billion customers微軟IT:2019年零信任新戰(zhàn)略 保護(hù)范圍CSA零信任成熟度模型-職能安全:界定保護(hù)范圍Verify IdentityVerify DeviceVerify AccessVerify ServicesAll user accounts set u
17、p for strong identity enforcementStrong identity enforced for O365Least privilege userrightsEliminate passwords biometric based modelDevice health required for SharePoint, Exchange, Teams on iOS, Android, Mac, and WindowsUsage data for Application & ServicesDevice Management required to tiered netwo
18、rk accessInternet Only for usersEstablish solutions for unmanaged devicesLeast privilege access modelDevice health required for wired/wireless corporatenetworkGrow coverage in Device health requirementService health concept and POC (Distant Future)Devicemanagementnot requiredSingle factor authentica
19、tion to resourcesCapability to enforce strong identity existsPre-Zero TrustUser and Access Telemetry微軟IT:2019年零信任新戰(zhàn)略 業(yè)務(wù)流轉(zhuǎn)CSA零信任成熟 度模型-職能安 全:記錄業(yè)務(wù)流 轉(zhuǎn)微軟IT:2019年零信任新戰(zhàn)略 “IAM”零信任環(huán)境CSA零信任成熟度模型-職能安全:構(gòu)建零信任環(huán)境ZT-IAM:Azure AD,Intune微軟IT:2019年零信任新戰(zhàn)略 “SDP”零信任環(huán)境“軟件定義邊界SDP”代理“軟件定義邊界SDP”網(wǎng)關(guān) 軟件定義邊界SDP”控制器CSA零信任成熟度模型-職
20、能安全:構(gòu)建零信任環(huán)境ssUnmanaged InternetSponsored AcceEvent AccessBYODManaged InternetManaged DevicesAuthenticated DevicesManaged CORPManaged DevicesSpecial purpose onlySpecialized SegmentsAdministration (Infra)Dev/Research ScenariosGame StudiosIoT/Security (Facilities)Guests require employeesponsorshipEmployees can self-sponsorUser MFA and device is AD or AAD managed + Device healthUser MFA and device is AD or AAD managed + device healthAsset/Device registrationDevice is pre-registered for access to special
溫馨提示
- 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- Teaching with a Strength-Based Approach-How to Motivate Students and Build Relationships (Chapter 7)英漢翻譯實(shí)踐報(bào)告
- 胸壁結(jié)核護(hù)理常規(guī)
- 投標(biāo)文件培訓(xùn)
- 動(dòng)物會(huì)唱歌課件
- 學(xué)校食育教育體系構(gòu)建
- 出境旅游流程標(biāo)準(zhǔn)化指南
- 常見腫瘤疾病癥狀識(shí)別要點(diǎn)
- 大學(xué)生健康教育(第2版)
- 顱內(nèi)壓護(hù)理課件
- 《機(jī)械設(shè)計(jì)基礎(chǔ)》課件-第18章 彈簧
- 渣土清運(yùn)綜合項(xiàng)目施工組織設(shè)計(jì)
- 蘇教版八年級(jí)生物下冊(cè)期末試卷及答案【蘇教版】
- 2023年河北語(yǔ)文高考試題
- 書面檢查材料(通用6篇)
- 傳感器與機(jī)器視覺(jué) 課件 第六章 機(jī)器視覺(jué)
- 2019疏浚工程預(yù)算定額
- RFC2326(中文版+英文版+可鏈接目錄)-RTSP
- 2023八年級(jí)歷史下冊(cè)第六單元科技文化與社會(huì)生活第18課科技文化成就說(shuō)課稿新人教版
- 2023新能源光伏電站檢修規(guī)程
- 特種作業(yè)人員體檢表
- 2016電動(dòng)汽車充換電服務(wù)網(wǎng)絡(luò)運(yùn)營(yíng)管理系統(tǒng)通信規(guī)約:系統(tǒng)與站級(jí)監(jiān)控系統(tǒng)通信規(guī)約
評(píng)論
0/150
提交評(píng)論