零信任安全從理論模型到實踐落地_第1頁
零信任安全從理論模型到實踐落地_第2頁
零信任安全從理論模型到實踐落地_第3頁
零信任安全從理論模型到實踐落地_第4頁
零信任安全從理論模型到實踐落地_第5頁
已閱讀5頁,還剩17頁未讀 繼續免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

1、零信任安全從理論模型到實踐落地Zero Trust: From Theoretical Model to Practical Landing道路起點:零信任落地是企業一把手工程,不是購買產品服務零信任在全球被全面擁抱;甲方、乙方、中立機構一起大規模落地實施;中國工信部確定零信任為安全關鍵技術安 全 理 念安 全 戰 略安 全 架 構道路目標 - 記住你的北斗七星“1個理念,5項原則,1個含義”Believe nobody不信任何人員Check everything all the time隨時檢查一切防范動態威脅Defeat Dynamic threats/risksExpect and pr

2、epare for the worst做好最壞打算Assume nothing不做任何假定1個含義零信任不是零訪問,而是更安全訪問被防護的資源1個理念永不信任 始終驗證5項原則A B C D E企業零信任之旅的六大收獲降 低 風 險強化資產的發現,任何應用與服務都會被識別并給予 身份,對敏感信息的攻擊途徑會被分析,數據流圖使 網絡的透明度增加降 低 成 本將保護目標聚焦到負載與數據,通過策略與控制排除 不需要訪問資源的用戶/設備/應用,惡意行為被限制, 大大降低安全事件數量,企業有更多時間與資源來迅 速恢復少數的安全事件,降低業務成本業 務 敏 捷擯棄了靜態邊界防御的慢速與不方便的檢查,安全不

3、 再是業務的絆腳石,使業務能更快上線,用戶的安全 體驗更好,增加了業務的速度與敏捷性安 全 合 規使安全審計師更容易看清網絡,便于審計工作并減少 違規發現,其架構本身已經具有多項安全控制措施滿 足合規條款,包括國際與行業安全標準及中國的等級 保護2.0等有 效 控 制在公有云,混合云,多云環境下把網絡通信限制在有 身份被驗證的負載中,防止包括云服務商管理員在內 的各方向攻擊改 善 管 理對于數字化轉型依賴軟件與應用的組織機構,零信任 能很好地支持DevOps,使應用部署適配業務優先級 減低各組織部門之間的摩擦B52常規轟炸機B2隱身轟炸機安全從防彈衣走向隱身衣 漏洞仍存在,但很難發現 事件仍發

4、生,但幾率變小零信任戰略核心 - 以身份為邊界(Identity based) 先認證零信任架構 后連接以身份為邊界先連接 后認證以網絡為邊界傳統架構通過防火墻, VPN 、 I D S / I P S 等設備 建立企業的網絡邊界 構筑基于內網位置的信任體系,認為 網絡內部的人員與設備是可信的 從不信任,始終驗證 基于身份- 人、設備、應用等 看不見、拿不走、可追溯、能銷毀 云管端、動靜用、前中后 防范和保護:隱身與防彈并重 智能化和自適應 零信任架構:1個標準(ZTA),3大技術(SIM)NIST SP 800-207 Zero Trust Architecture(NIST 零信任架構草案

5、第二版)最小授權:缺省是無權三個層面:數據、控制、管理被保護資源:網絡/數據/應用/系統/存儲等身份認證:支持人、設備等動態實時管理防范和保護:防彈衣、雙向防護通信加密SDPZT-IAMMSGCSA零信任成熟度模型框架 ZT-CMM Framework身 份設 備網 絡應 用基礎設施數 據技 術 安 全 層界定保護面繪制交互流程構建零信任環境創建零信任策略監控及維護職 能 安 全 層遠程 辦公產業 互聯網企業 上云BYOD外部 協作其 它業 務 場 景 層工業 互聯網供應鏈CSA零信任戰略咨詢服務框架 ZT-SCS FrameworkCSA授權第三方機構提供服務,框架立足客戶實際業務保障需求,

6、對安全知識進行重構與梳理,擁有系統性、戰略級安全知識架構,提供綜合性零信任戰略咨詢服務產品包,四大服務包,十一 類安全交付件。 安全評估安全戰略規劃 安全解決方案(3) 職能安全診斷(2) 技術安全診斷(4) 安全SP / BP(1) 業務場景診斷(6) 技術路標(7) RFP服務(9) 安全技術培訓知識轉移(10) 安全意識培訓(11) 中高級管理者安全培訓(8) 方案實施管理服務(5) 安全效能提升企業零信任實踐之路的步驟(職能安全)125界定保護范圍記錄業務流轉構建零信任環境3創建零信任安全策略4監視和維護確認保護面:關鍵數 據/應用程序/資產/ 服務(DAAS)把控件移近保護面并 附上

7、限制性的/精確 的/可理解的策略聲 明創建微邊界或分隔微 邊界流轉傳輸方式決定保護方式通過獲得有關DAAS 相互依賴關系的上下 文信息,記錄特定資 源的交互方式有助于 加強控制并提供有價 值的上下文信息,確 保最佳安全環境降低對用戶和業務運營的干擾以保護面為中心自定義 并構建網絡根據業務需求記錄流程, 從下一代防火墻開始制 定零信任架構下一代防火墻充當分段 網關,在保護面周圍創 建一個微邊界。對任何 嘗試訪問保護表面內的 對象使用分段網關,強 制執行附加的檢查和訪 問控制層,一直到第七 層。創建策略確定訪問流程提前了解訪問用戶對象/訪問的應用程序/訪問 原因/連接方式等,確 認合適控件保護該訪

8、問精細化實施,僅允許已 知流量或合法應用程序 連接檢查內外部所有日志側重零信任操作方面檢查記錄所有流量改進環境案例:微軟20年零信任之路-從無邊界網絡到零信任2001Anywhere Access/MSI 政府安全計 劃源代碼共 享基礎設施微軟IT:2019年零信任新戰略 目標與收益“Strong identity + device health + least privilege user access verified with telemetry” “身份強認證+設備健康度+最小權限用戶訪問,由安全大腦驗證”Assets are moved from the internal netwo

9、rk to the internet except for the most critical assets從內網遷移到互聯網的數字資產Enhanced user experience with Internet First 互聯網優先的增強用戶體驗Reduced attack surface of the environment 環境中減小的攻擊面Comprehensive telemetry, artificial intelligence for anomaly detection, service health verification發達的CSA零信任成熟度模型-業務場景:遠程辦公漫

10、長而艱難的偉大史詩Identity is verifiedStrong Identity EverywhereDevice is healthyModern Access (Access from healthy device)ModernManagement(Autopilot, AADJ devices)Applications enforcing CARemoval of corpnetInternet OnlyApplications & Services on InternetNetwork SecurityAlternate Access OptionsVirtualization

11、User ExperienceApplication discovery & launch through InternetAccess is verifiedLeast Privilege access modellingService is verifiedService health validationOperationsCommunicationsTelemetry3rd party product evaluationsVNextFocusing on future of ZT微軟IT:2019年零信任新戰略 實施計劃CSA零信任戰略咨詢服務框架 安全戰略規劃身份Eliminate

12、 passwords and migrate to Windows Hello消除密碼登錄認證,遷移到“Windows Hello”生物特征登錄認證Set Multifactor Authentication as the default 設置多因素認證為默認設備Require all devices to be Modern Managed要求所有設備被現代化管理Ensure all devices meet health requirements 確保所有設備滿足健康度要求訪問Move devices and users to respective network segments 遷移設

13、備和用戶到相應的網絡隔斷Grant bare minimum access and permissions 授予最低限度的訪問權限服務All the applications and services apply Zero Trust principles 使所有應用和服務采用零信任原則Require applications and services to provide their health certificate 要求應用和服務提供各自的健康證書微軟IT:2019年零信任新戰略 實施思路CSA零信任成熟度模型-技術安全:身份、設備、網絡、應用Scenario 1劇情效果1As an

14、employee, I can enroll my device into management to get access tocompany resources.Scenario 2劇情效果2As an employee or a business guest, I have a method to access corporate resources when not using a managed device.Scenario 3劇情效果3As an employee, I have user interface options (portal, desktop apps) that

15、 provides the ability to discover and launch applications and resources that I need.Scenario 4劇情效果4As an application or security stakeholder, my application validates the health of devices prior to allowing them to connect.服務/應用數量: 用戶數量:設備數量:不包含:2K+ (e.g., Microsoft Office apps, line-of-business app

16、s) 150K+ (e.g. employees, vendor contractors, partner users)600K+ (e.g. iPhone, Android, Mac, and Windows (Linux is an eventual goal))175 million partners, 3.5 billion customers微軟IT:2019年零信任新戰略 保護范圍CSA零信任成熟度模型-職能安全:界定保護范圍Verify IdentityVerify DeviceVerify AccessVerify ServicesAll user accounts set u

17、p for strong identity enforcementStrong identity enforced for O365Least privilege userrightsEliminate passwords biometric based modelDevice health required for SharePoint, Exchange, Teams on iOS, Android, Mac, and WindowsUsage data for Application & ServicesDevice Management required to tiered netwo

18、rk accessInternet Only for usersEstablish solutions for unmanaged devicesLeast privilege access modelDevice health required for wired/wireless corporatenetworkGrow coverage in Device health requirementService health concept and POC (Distant Future)Devicemanagementnot requiredSingle factor authentica

19、tion to resourcesCapability to enforce strong identity existsPre-Zero TrustUser and Access Telemetry微軟IT:2019年零信任新戰略 業務流轉CSA零信任成熟 度模型-職能安 全:記錄業務流 轉微軟IT:2019年零信任新戰略 “IAM”零信任環境CSA零信任成熟度模型-職能安全:構建零信任環境ZT-IAM:Azure AD,Intune微軟IT:2019年零信任新戰略 “SDP”零信任環境“軟件定義邊界SDP”代理“軟件定義邊界SDP”網關 軟件定義邊界SDP”控制器CSA零信任成熟度模型-職

20、能安全:構建零信任環境ssUnmanaged InternetSponsored AcceEvent AccessBYODManaged InternetManaged DevicesAuthenticated DevicesManaged CORPManaged DevicesSpecial purpose onlySpecialized SegmentsAdministration (Infra)Dev/Research ScenariosGame StudiosIoT/Security (Facilities)Guests require employeesponsorshipEmployees can self-sponsorUser MFA and device is AD or AAD managed + Device healthUser MFA and device is AD or AAD managed + device healthAsset/Device registrationDevice is pre-registered for access to special

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經權益所有人同意不得將文件中的內容挪作商業或盈利用途。
  • 5. 人人文庫網僅提供信息存儲空間,僅對用戶上傳內容的表現方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論