1、零信任安全從理論模型到實踐落地Zero Trust: From Theoretical Model to Practical Landing道路起點：零信任落地是企業(yè)一把手工程，不是購買產(chǎn)品服務(wù)零信任在全球被全面擁抱；甲方、乙方、中立機構(gòu)一起大規(guī)模落地實施；中國工信部確定零信任為安全關(guān)鍵技術(shù)安 全 理 念安 全 戰(zhàn) 略安 全 架 構(gòu)道路目標 - 記住你的北斗七星“1個理念，5項原則，1個含義”Believe nobody不信任何人員Check everything all the time隨時檢查一切防范動態(tài)威脅Defeat Dynamic threats/risksExpect and pr

2、epare for the worst做好最壞打算Assume nothing不做任何假定1個含義零信任不是零訪問，而是更安全訪問被防護的資源1個理念永不信任 始終驗證5項原則A B C D E企業(yè)零信任之旅的六大收獲降 低 風(fēng) 險強化資產(chǎn)的發(fā)現(xiàn)，任何應(yīng)用與服務(wù)都會被識別并給予 身份，對敏感信息的攻擊途徑會被分析，數(shù)據(jù)流圖使 網(wǎng)絡(luò)的透明度增加降 低 成 本將保護目標聚焦到負載與數(shù)據(jù)，通過策略與控制排除 不需要訪問資源的用戶/設(shè)備/應(yīng)用，惡意行為被限制， 大大降低安全事件數(shù)量，企業(yè)有更多時間與資源來迅 速恢復(fù)少數(shù)的安全事件，降低業(yè)務(wù)成本業(yè) 務(wù) 敏 捷擯棄了靜態(tài)邊界防御的慢速與不方便的檢查，安全不

3、 再是業(yè)務(wù)的絆腳石，使業(yè)務(wù)能更快上線，用戶的安全 體驗更好，增加了業(yè)務(wù)的速度與敏捷性安 全 合 規(guī)使安全審計師更容易看清網(wǎng)絡(luò)，便于審計工作并減少 違規(guī)發(fā)現(xiàn)，其架構(gòu)本身已經(jīng)具有多項安全控制措施滿 足合規(guī)條款，包括國際與行業(yè)安全標準及中國的等級 保護2.0等有 效 控 制在公有云，混合云，多云環(huán)境下把網(wǎng)絡(luò)通信限制在有 身份被驗證的負載中，防止包括云服務(wù)商管理員在內(nèi) 的各方向攻擊改 善 管 理對于數(shù)字化轉(zhuǎn)型依賴軟件與應(yīng)用的組織機構(gòu)，零信任 能很好地支持DevOps，使應(yīng)用部署適配業(yè)務(wù)優(yōu)先級 減低各組織部門之間的摩擦B52常規(guī)轟炸機B2隱身轟炸機安全從防彈衣走向隱身衣 漏洞仍存在，但很難發(fā)現(xiàn) 事件仍發(fā)

4、生，但幾率變小零信任戰(zhàn)略核心 - 以身份為邊界（Identity based） 先認證零信任架構(gòu) 后連接以身份為邊界先連接 后認證以網(wǎng)絡(luò)為邊界傳統(tǒng)架構(gòu)通過防火墻， VPN 、 I D S / I P S 等設(shè)備 建立企業(yè)的網(wǎng)絡(luò)邊界 構(gòu)筑基于內(nèi)網(wǎng)位置的信任體系，認為 網(wǎng)絡(luò)內(nèi)部的人員與設(shè)備是可信的 從不信任，始終驗證 基于身份- 人、設(shè)備、應(yīng)用等 看不見、拿不走、可追溯、能銷毀 云管端、動靜用、前中后 防范和保護：隱身與防彈并重 智能化和自適應(yīng) 零信任架構(gòu)：1個標準（ZTA），3大技術(shù)（SIM）NIST SP 800-207 Zero Trust Architecture（NIST 零信任架構(gòu)草案

5、第二版）最小授權(quán)：缺省是無權(quán)三個層面：數(shù)據(jù)、控制、管理被保護資源：網(wǎng)絡(luò)/數(shù)據(jù)/應(yīng)用/系統(tǒng)/存儲等身份認證：支持人、設(shè)備等動態(tài)實時管理防范和保護：防彈衣、雙向防護通信加密SDPZT-IAMMSGCSA零信任成熟度模型框架 ZT-CMM Framework身 份設(shè) 備網(wǎng) 絡(luò)應(yīng) 用基礎(chǔ)設(shè)施數(shù) 據(jù)技 術(shù) 安 全 層界定保護面繪制交互流程構(gòu)建零信任環(huán)境創(chuàng)建零信任策略監(jiān)控及維護職 能 安 全 層遠程 辦公產(chǎn)業(yè) 互聯(lián)網(wǎng)企業(yè) 上云BYOD外部 協(xié)作其 它業(yè) 務(wù) 場 景 層工業(yè) 互聯(lián)網(wǎng)供應(yīng)鏈CSA零信任戰(zhàn)略咨詢服務(wù)框架 ZT-SCS FrameworkCSA授權(quán)第三方機構(gòu)提供服務(wù)，框架立足客戶實際業(yè)務(wù)保障需求，

6、對安全知識進行重構(gòu)與梳理，擁有系統(tǒng)性、戰(zhàn)略級安全知識架構(gòu)，提供綜合性零信任戰(zhàn)略咨詢服務(wù)產(chǎn)品包，四大服務(wù)包，十一 類安全交付件。 安全評估安全戰(zhàn)略規(guī)劃 安全解決方案(3) 職能安全診斷(2) 技術(shù)安全診斷(4) 安全SP / BP(1) 業(yè)務(wù)場景診斷(6) 技術(shù)路標(7) RFP服務(wù)(9) 安全技術(shù)培訓(xùn)知識轉(zhuǎn)移(10) 安全意識培訓(xùn)(11) 中高級管理者安全培訓(xùn)(8) 方案實施管理服務(wù)(5) 安全效能提升企業(yè)零信任實踐之路的步驟（職能安全）125界定保護范圍記錄業(yè)務(wù)流轉(zhuǎn)構(gòu)建零信任環(huán)境3創(chuàng)建零信任安全策略4監(jiān)視和維護確認保護面：關(guān)鍵數(shù) 據(jù)/應(yīng)用程序/資產(chǎn)/ 服務(wù)（DAAS）把控件移近保護面并 附上

7、限制性的/精確 的/可理解的策略聲 明創(chuàng)建微邊界或分隔微 邊界流轉(zhuǎn)傳輸方式?jīng)Q定保護方式通過獲得有關(guān)DAAS 相互依賴關(guān)系的上下 文信息，記錄特定資 源的交互方式有助于 加強控制并提供有價 值的上下文信息，確 保最佳安全環(huán)境降低對用戶和業(yè)務(wù)運營的干擾以保護面為中心自定義 并構(gòu)建網(wǎng)絡(luò)根據(jù)業(yè)務(wù)需求記錄流程， 從下一代防火墻開始制 定零信任架構(gòu)下一代防火墻充當(dāng)分段 網(wǎng)關(guān)，在保護面周圍創(chuàng) 建一個微邊界。對任何 嘗試訪問保護表面內(nèi)的 對象使用分段網(wǎng)關(guān)，強 制執(zhí)行附加的檢查和訪 問控制層，一直到第七 層。創(chuàng)建策略確定訪問流程提前了解訪問用戶對象/訪問的應(yīng)用程序/訪問 原因/連接方式等，確 認合適控件保護該訪

8、問精細化實施，僅允許已 知流量或合法應(yīng)用程序 連接檢查內(nèi)外部所有日志側(cè)重零信任操作方面檢查記錄所有流量改進環(huán)境案例：微軟20年零信任之路-從無邊界網(wǎng)絡(luò)到零信任2001Anywhere Access/MSI 政府安全計 劃源代碼共 享基礎(chǔ)設(shè)施微軟IT：2019年零信任新戰(zhàn)略 目標與收益“Strong identity + device health + least privilege user access verified with telemetry” “身份強認證+設(shè)備健康度+最小權(quán)限用戶訪問，由安全大腦驗證”Assets are moved from the internal netwo

9、rk to the internet except for the most critical assets從內(nèi)網(wǎng)遷移到互聯(lián)網(wǎng)的數(shù)字資產(chǎn)Enhanced user experience with Internet First 互聯(lián)網(wǎng)優(yōu)先的增強用戶體驗Reduced attack surface of the environment 環(huán)境中減小的攻擊面Comprehensive telemetry, artificial intelligence for anomaly detection, service health verification發(fā)達的CSA零信任成熟度模型-業(yè)務(wù)場景：遠程辦公漫

10、長而艱難的偉大史詩Identity is verifiedStrong Identity EverywhereDevice is healthyModern Access (Access from healthy device)ModernManagement(Autopilot, AADJ devices)Applications enforcing CARemoval of corpnetInternet OnlyApplications & Services on InternetNetwork SecurityAlternate Access OptionsVirtualization

11、User ExperienceApplication discovery & launch through InternetAccess is verifiedLeast Privilege access modellingService is verifiedService health validationOperationsCommunicationsTelemetry3rd party product evaluationsVNextFocusing on future of ZT微軟IT：2019年零信任新戰(zhàn)略 實施計劃CSA零信任戰(zhàn)略咨詢服務(wù)框架 安全戰(zhàn)略規(guī)劃身份Eliminate

12、 passwords and migrate to Windows Hello消除密碼登錄認證，遷移到“Windows Hello”生物特征登錄認證Set Multifactor Authentication as the default 設(shè)置多因素認證為默認設(shè)備Require all devices to be Modern Managed要求所有設(shè)備被現(xiàn)代化管理Ensure all devices meet health requirements 確保所有設(shè)備滿足健康度要求訪問Move devices and users to respective network segments 遷移設(shè)

13、備和用戶到相應(yīng)的網(wǎng)絡(luò)隔斷Grant bare minimum access and permissions 授予最低限度的訪問權(quán)限服務(wù)All the applications and services apply Zero Trust principles 使所有應(yīng)用和服務(wù)采用零信任原則Require applications and services to provide their health certificate 要求應(yīng)用和服務(wù)提供各自的健康證書微軟IT：2019年零信任新戰(zhàn)略 實施思路CSA零信任成熟度模型-技術(shù)安全：身份、設(shè)備、網(wǎng)絡(luò)、應(yīng)用Scenario 1劇情效果1As an

14、employee, I can enroll my device into management to get access tocompany resources.Scenario 2劇情效果2As an employee or a business guest, I have a method to access corporate resources when not using a managed device.Scenario 3劇情效果3As an employee, I have user interface options (portal, desktop apps) that

15、 provides the ability to discover and launch applications and resources that I need.Scenario 4劇情效果4As an application or security stakeholder, my application validates the health of devices prior to allowing them to connect.服務(wù)/應(yīng)用數(shù)量： 用戶數(shù)量：設(shè)備數(shù)量：不包含：2K+ (e.g., Microsoft Office apps, line-of-business app

16、s) 150K+ （e.g. employees, vendor contractors, partner users）600K+ （e.g. iPhone, Android, Mac, and Windows (Linux is an eventual goal)）175 million partners, 3.5 billion customers微軟IT：2019年零信任新戰(zhàn)略 保護范圍CSA零信任成熟度模型-職能安全：界定保護范圍Verify IdentityVerify DeviceVerify AccessVerify ServicesAll user accounts set u

17、p for strong identity enforcementStrong identity enforced for O365Least privilege userrightsEliminate passwords biometric based modelDevice health required for SharePoint, Exchange, Teams on iOS, Android, Mac, and WindowsUsage data for Application & ServicesDevice Management required to tiered netwo

18、rk accessInternet Only for usersEstablish solutions for unmanaged devicesLeast privilege access modelDevice health required for wired/wireless corporatenetworkGrow coverage in Device health requirementService health concept and POC (Distant Future)Devicemanagementnot requiredSingle factor authentica

19、tion to resourcesCapability to enforce strong identity existsPre-Zero TrustUser and Access Telemetry微軟IT：2019年零信任新戰(zhàn)略 業(yè)務(wù)流轉(zhuǎn)CSA零信任成熟 度模型-職能安 全：記錄業(yè)務(wù)流 轉(zhuǎn)微軟IT：2019年零信任新戰(zhàn)略 “IAM”零信任環(huán)境CSA零信任成熟度模型-職能安全：構(gòu)建零信任環(huán)境ZT-IAM：Azure AD，Intune微軟IT：2019年零信任新戰(zhàn)略 “SDP”零信任環(huán)境“軟件定義邊界SDP”代理“軟件定義邊界SDP”網(wǎng)關(guān) 軟件定義邊界SDP”控制器CSA零信任成熟度模型-職

20、能安全：構(gòu)建零信任環(huán)境ssUnmanaged InternetSponsored AcceEvent AccessBYODManaged InternetManaged DevicesAuthenticated DevicesManaged CORPManaged DevicesSpecial purpose onlySpecialized SegmentsAdministration (Infra)Dev/Research ScenariosGame StudiosIoT/Security (Facilities)Guests require employeesponsorshipEmployees can self-sponsorUser MFA and device is AD or AAD managed + Device healthUser MFA and device is AD or AAD managed + device healthAsset/Device registrationDevice is pre-registered for access to special