1、零信任安全從理論模型到實(shí)踐落地Zero Trust: From Theoretical Model to Practical Landing道路起點(diǎn)：零信任落地是企業(yè)一把手工程，不是購(gòu)買產(chǎn)品服務(wù)零信任在全球被全面擁抱；甲方、乙方、中立機(jī)構(gòu)一起大規(guī)模落地實(shí)施；中國(guó)工信部確定零信任為安全關(guān)鍵技術(shù)安 全 理 念安 全 戰(zhàn) 略安 全 架 構(gòu)道路目標(biāo) - 記住你的北斗七星“1個(gè)理念，5項(xiàng)原則，1個(gè)含義”Believe nobody不信任何人員Check everything all the time隨時(shí)檢查一切防范動(dòng)態(tài)威脅Defeat Dynamic threats/risksExpect and pr

2、epare for the worst做好最壞打算Assume nothing不做任何假定1個(gè)含義零信任不是零訪問(wèn)，而是更安全訪問(wèn)被防護(hù)的資源1個(gè)理念永不信任 始終驗(yàn)證5項(xiàng)原則A B C D E企業(yè)零信任之旅的六大收獲降 低 風(fēng) 險(xiǎn)強(qiáng)化資產(chǎn)的發(fā)現(xiàn)，任何應(yīng)用與服務(wù)都會(huì)被識(shí)別并給予 身份，對(duì)敏感信息的攻擊途徑會(huì)被分析，數(shù)據(jù)流圖使 網(wǎng)絡(luò)的透明度增加降 低 成 本將保護(hù)目標(biāo)聚焦到負(fù)載與數(shù)據(jù)，通過(guò)策略與控制排除 不需要訪問(wèn)資源的用戶/設(shè)備/應(yīng)用，惡意行為被限制， 大大降低安全事件數(shù)量，企業(yè)有更多時(shí)間與資源來(lái)迅 速恢復(fù)少數(shù)的安全事件，降低業(yè)務(wù)成本業(yè) 務(wù) 敏 捷擯棄了靜態(tài)邊界防御的慢速與不方便的檢查，安全不

3、 再是業(yè)務(wù)的絆腳石，使業(yè)務(wù)能更快上線，用戶的安全 體驗(yàn)更好，增加了業(yè)務(wù)的速度與敏捷性安 全 合 規(guī)使安全審計(jì)師更容易看清網(wǎng)絡(luò)，便于審計(jì)工作并減少 違規(guī)發(fā)現(xiàn)，其架構(gòu)本身已經(jīng)具有多項(xiàng)安全控制措施滿 足合規(guī)條款，包括國(guó)際與行業(yè)安全標(biāo)準(zhǔn)及中國(guó)的等級(jí) 保護(hù)2.0等有 效 控 制在公有云，混合云，多云環(huán)境下把網(wǎng)絡(luò)通信限制在有 身份被驗(yàn)證的負(fù)載中，防止包括云服務(wù)商管理員在內(nèi) 的各方向攻擊改 善 管 理對(duì)于數(shù)字化轉(zhuǎn)型依賴軟件與應(yīng)用的組織機(jī)構(gòu)，零信任 能很好地支持DevOps，使應(yīng)用部署適配業(yè)務(wù)優(yōu)先級(jí) 減低各組織部門之間的摩擦B52常規(guī)轟炸機(jī)B2隱身轟炸機(jī)安全從防彈衣走向隱身衣 漏洞仍存在，但很難發(fā)現(xiàn) 事件仍發(fā)

4、生，但幾率變小零信任戰(zhàn)略核心 - 以身份為邊界（Identity based） 先認(rèn)證零信任架構(gòu) 后連接以身份為邊界先連接 后認(rèn)證以網(wǎng)絡(luò)為邊界傳統(tǒng)架構(gòu)通過(guò)防火墻， VPN 、 I D S / I P S 等設(shè)備 建立企業(yè)的網(wǎng)絡(luò)邊界 構(gòu)筑基于內(nèi)網(wǎng)位置的信任體系，認(rèn)為 網(wǎng)絡(luò)內(nèi)部的人員與設(shè)備是可信的 從不信任，始終驗(yàn)證 基于身份- 人、設(shè)備、應(yīng)用等 看不見、拿不走、可追溯、能銷毀 云管端、動(dòng)靜用、前中后 防范和保護(hù)：隱身與防彈并重 智能化和自適應(yīng) 零信任架構(gòu)：1個(gè)標(biāo)準(zhǔn)（ZTA），3大技術(shù)（SIM）NIST SP 800-207 Zero Trust Architecture（NIST 零信任架構(gòu)草案

5、第二版）最小授權(quán)：缺省是無(wú)權(quán)三個(gè)層面：數(shù)據(jù)、控制、管理被保護(hù)資源：網(wǎng)絡(luò)/數(shù)據(jù)/應(yīng)用/系統(tǒng)/存儲(chǔ)等身份認(rèn)證：支持人、設(shè)備等動(dòng)態(tài)實(shí)時(shí)管理防范和保護(hù)：防彈衣、雙向防護(hù)通信加密SDPZT-IAMMSGCSA零信任成熟度模型框架 ZT-CMM Framework身 份設(shè) 備網(wǎng) 絡(luò)應(yīng) 用基礎(chǔ)設(shè)施數(shù) 據(jù)技 術(shù) 安 全 層界定保護(hù)面繪制交互流程構(gòu)建零信任環(huán)境創(chuàng)建零信任策略監(jiān)控及維護(hù)職 能 安 全 層遠(yuǎn)程 辦公產(chǎn)業(yè) 互聯(lián)網(wǎng)企業(yè) 上云BYOD外部 協(xié)作其 它業(yè) 務(wù) 場(chǎng) 景 層工業(yè) 互聯(lián)網(wǎng)供應(yīng)鏈CSA零信任戰(zhàn)略咨詢服務(wù)框架 ZT-SCS FrameworkCSA授權(quán)第三方機(jī)構(gòu)提供服務(wù)，框架立足客戶實(shí)際業(yè)務(wù)保障需求，

6、對(duì)安全知識(shí)進(jìn)行重構(gòu)與梳理，擁有系統(tǒng)性、戰(zhàn)略級(jí)安全知識(shí)架構(gòu)，提供綜合性零信任戰(zhàn)略咨詢服務(wù)產(chǎn)品包，四大服務(wù)包，十一 類安全交付件。 安全評(píng)估安全戰(zhàn)略規(guī)劃 安全解決方案(3) 職能安全診斷(2) 技術(shù)安全診斷(4) 安全SP / BP(1) 業(yè)務(wù)場(chǎng)景診斷(6) 技術(shù)路標(biāo)(7) RFP服務(wù)(9) 安全技術(shù)培訓(xùn)知識(shí)轉(zhuǎn)移(10) 安全意識(shí)培訓(xùn)(11) 中高級(jí)管理者安全培訓(xùn)(8) 方案實(shí)施管理服務(wù)(5) 安全效能提升企業(yè)零信任實(shí)踐之路的步驟（職能安全）125界定保護(hù)范圍記錄業(yè)務(wù)流轉(zhuǎn)構(gòu)建零信任環(huán)境3創(chuàng)建零信任安全策略4監(jiān)視和維護(hù)確認(rèn)保護(hù)面：關(guān)鍵數(shù) 據(jù)/應(yīng)用程序/資產(chǎn)/ 服務(wù)（DAAS）把控件移近保護(hù)面并 附上

7、限制性的/精確 的/可理解的策略聲 明創(chuàng)建微邊界或分隔微 邊界流轉(zhuǎn)傳輸方式?jīng)Q定保護(hù)方式通過(guò)獲得有關(guān)DAAS 相互依賴關(guān)系的上下 文信息，記錄特定資 源的交互方式有助于 加強(qiáng)控制并提供有價(jià) 值的上下文信息，確 保最佳安全環(huán)境降低對(duì)用戶和業(yè)務(wù)運(yùn)營(yíng)的干擾以保護(hù)面為中心自定義 并構(gòu)建網(wǎng)絡(luò)根據(jù)業(yè)務(wù)需求記錄流程， 從下一代防火墻開始制 定零信任架構(gòu)下一代防火墻充當(dāng)分段 網(wǎng)關(guān)，在保護(hù)面周圍創(chuàng) 建一個(gè)微邊界。對(duì)任何 嘗試訪問(wèn)保護(hù)表面內(nèi)的 對(duì)象使用分段網(wǎng)關(guān)，強(qiáng) 制執(zhí)行附加的檢查和訪 問(wèn)控制層，一直到第七 層。創(chuàng)建策略確定訪問(wèn)流程提前了解訪問(wèn)用戶對(duì)象/訪問(wèn)的應(yīng)用程序/訪問(wèn) 原因/連接方式等，確 認(rèn)合適控件保護(hù)該訪

8、問(wèn)精細(xì)化實(shí)施，僅允許已 知流量或合法應(yīng)用程序 連接檢查內(nèi)外部所有日志側(cè)重零信任操作方面檢查記錄所有流量改進(jìn)環(huán)境案例：微軟20年零信任之路-從無(wú)邊界網(wǎng)絡(luò)到零信任2001Anywhere Access/MSI 政府安全計(jì) 劃源代碼共 享基礎(chǔ)設(shè)施微軟IT：2019年零信任新戰(zhàn)略 目標(biāo)與收益“Strong identity + device health + least privilege user access verified with telemetry” “身份強(qiáng)認(rèn)證+設(shè)備健康度+最小權(quán)限用戶訪問(wèn)，由安全大腦驗(yàn)證”Assets are moved from the internal netwo

9、rk to the internet except for the most critical assets從內(nèi)網(wǎng)遷移到互聯(lián)網(wǎng)的數(shù)字資產(chǎn)Enhanced user experience with Internet First 互聯(lián)網(wǎng)優(yōu)先的增強(qiáng)用戶體驗(yàn)Reduced attack surface of the environment 環(huán)境中減小的攻擊面Comprehensive telemetry, artificial intelligence for anomaly detection, service health verification發(fā)達(dá)的CSA零信任成熟度模型-業(yè)務(wù)場(chǎng)景：遠(yuǎn)程辦公漫

10、長(zhǎng)而艱難的偉大史詩(shī)Identity is verifiedStrong Identity EverywhereDevice is healthyModern Access (Access from healthy device)ModernManagement(Autopilot, AADJ devices)Applications enforcing CARemoval of corpnetInternet OnlyApplications & Services on InternetNetwork SecurityAlternate Access OptionsVirtualization

11、User ExperienceApplication discovery & launch through InternetAccess is verifiedLeast Privilege access modellingService is verifiedService health validationOperationsCommunicationsTelemetry3rd party product evaluationsVNextFocusing on future of ZT微軟IT：2019年零信任新戰(zhàn)略 實(shí)施計(jì)劃CSA零信任戰(zhàn)略咨詢服務(wù)框架 安全戰(zhàn)略規(guī)劃身份Eliminate

12、 passwords and migrate to Windows Hello消除密碼登錄認(rèn)證，遷移到“Windows Hello”生物特征登錄認(rèn)證Set Multifactor Authentication as the default 設(shè)置多因素認(rèn)證為默認(rèn)設(shè)備Require all devices to be Modern Managed要求所有設(shè)備被現(xiàn)代化管理Ensure all devices meet health requirements 確保所有設(shè)備滿足健康度要求訪問(wèn)Move devices and users to respective network segments 遷移設(shè)

13、備和用戶到相應(yīng)的網(wǎng)絡(luò)隔斷Grant bare minimum access and permissions 授予最低限度的訪問(wèn)權(quán)限服務(wù)All the applications and services apply Zero Trust principles 使所有應(yīng)用和服務(wù)采用零信任原則Require applications and services to provide their health certificate 要求應(yīng)用和服務(wù)提供各自的健康證書微軟IT：2019年零信任新戰(zhàn)略 實(shí)施思路CSA零信任成熟度模型-技術(shù)安全：身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用Scenario 1劇情效果1As an

14、employee, I can enroll my device into management to get access tocompany resources.Scenario 2劇情效果2As an employee or a business guest, I have a method to access corporate resources when not using a managed device.Scenario 3劇情效果3As an employee, I have user interface options (portal, desktop apps) that

15、 provides the ability to discover and launch applications and resources that I need.Scenario 4劇情效果4As an application or security stakeholder, my application validates the health of devices prior to allowing them to connect.服務(wù)/應(yīng)用數(shù)量： 用戶數(shù)量：設(shè)備數(shù)量：不包含：2K+ (e.g., Microsoft Office apps, line-of-business app

16、s) 150K+ （e.g. employees, vendor contractors, partner users）600K+ （e.g. iPhone, Android, Mac, and Windows (Linux is an eventual goal)）175 million partners, 3.5 billion customers微軟IT：2019年零信任新戰(zhàn)略 保護(hù)范圍CSA零信任成熟度模型-職能安全：界定保護(hù)范圍Verify IdentityVerify DeviceVerify AccessVerify ServicesAll user accounts set u

17、p for strong identity enforcementStrong identity enforced for O365Least privilege userrightsEliminate passwords biometric based modelDevice health required for SharePoint, Exchange, Teams on iOS, Android, Mac, and WindowsUsage data for Application & ServicesDevice Management required to tiered netwo

18、rk accessInternet Only for usersEstablish solutions for unmanaged devicesLeast privilege access modelDevice health required for wired/wireless corporatenetworkGrow coverage in Device health requirementService health concept and POC (Distant Future)Devicemanagementnot requiredSingle factor authentica

19、tion to resourcesCapability to enforce strong identity existsPre-Zero TrustUser and Access Telemetry微軟IT：2019年零信任新戰(zhàn)略 業(yè)務(wù)流轉(zhuǎn)CSA零信任成熟 度模型-職能安 全：記錄業(yè)務(wù)流 轉(zhuǎn)微軟IT：2019年零信任新戰(zhàn)略 “IAM”零信任環(huán)境CSA零信任成熟度模型-職能安全：構(gòu)建零信任環(huán)境ZT-IAM：Azure AD，Intune微軟IT：2019年零信任新戰(zhàn)略 “SDP”零信任環(huán)境“軟件定義邊界SDP”代理“軟件定義邊界SDP”網(wǎng)關(guān) 軟件定義邊界SDP”控制器CSA零信任成熟度模型-職

20、能安全：構(gòu)建零信任環(huán)境ssUnmanaged InternetSponsored AcceEvent AccessBYODManaged InternetManaged DevicesAuthenticated DevicesManaged CORPManaged DevicesSpecial purpose onlySpecialized SegmentsAdministration (Infra)Dev/Research ScenariosGame StudiosIoT/Security (Facilities)Guests require employeesponsorshipEmployees can self-sponsorUser MFA and device is AD or AAD managed + Device healthUser MFA and device is AD or AAD managed + device healthAsset/Device registrationDevice is pre-registered for access to special