近期,美國(guó)管理與預(yù)算辦公室發(fā)布了《聯(lián)邦零信任戰(zhàn)略》,網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局發(fā)布了《零信任成熟度模型》、《云安全技術(shù)參考架構(gòu)》公開征集意見。
本次發(fā)布的三份文件遵循了今年5月美國(guó)總統(tǒng)拜登簽署發(fā)布的關(guān)于加強(qiáng)聯(lián)邦政府網(wǎng)絡(luò)安全的行政令,該項(xiàng)命令中明確涉及多種特定的安全方法與工具,包括多因素身份驗(yàn)證、加密與零信任等等。這三份文件的發(fā)布表明整個(gè)美國(guó)聯(lián)邦政府已經(jīng)正式開啟零信任戰(zhàn)略。
如今,世界各國(guó)和組織都在相繼出臺(tái)或完善涉及零信任在內(nèi)的數(shù)據(jù)安全標(biāo)準(zhǔn)及法規(guī),以抵御日益復(fù)雜的網(wǎng)絡(luò)威脅。零信任已成為全球網(wǎng)絡(luò)安全領(lǐng)域的共識(shí)。
當(dāng)前我國(guó)已進(jìn)入數(shù)字化經(jīng)濟(jì)時(shí)代,數(shù)據(jù)資源整合和開放共享是大勢(shì)所趨。隨著《中華人民共和國(guó)數(shù)據(jù)安全法》、《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》等一系列安全法律法規(guī)的正式實(shí)施,國(guó)家在法律層面加強(qiáng)了對(duì)各個(gè)行業(yè)的約束。美亞柏科全資子公司美亞網(wǎng)安結(jié)合在大數(shù)據(jù)行業(yè)深耕多年的行業(yè)經(jīng)驗(yàn),基于零信任的安全防護(hù)理念,推出“天盾”零信任產(chǎn)品,提供信息系統(tǒng)數(shù)據(jù)安全保護(hù)整體解決方案。
“天盾”零信任產(chǎn)品遵循“永不信任,始終驗(yàn)證”的原則,旨在隔離一切不可信的訪問身份,排除一切不合規(guī)的操作行為。以數(shù)據(jù)為中心,實(shí)現(xiàn)用戶訪問場(chǎng)景的全流程身份認(rèn)證、持續(xù)信任評(píng)估、動(dòng)態(tài)訪問控制、實(shí)時(shí)風(fēng)險(xiǎn)處置、全面業(yè)務(wù)審計(jì),變被動(dòng)為主動(dòng)、變靜態(tài)為動(dòng)態(tài),對(duì)應(yīng)用、功能、服務(wù)、數(shù)據(jù)等核心資產(chǎn)的訪問行為進(jìn)行精細(xì)化管控,形成了以保護(hù)數(shù)據(jù)資源為核心的網(wǎng)絡(luò)安全范式。
“天盾”零信任產(chǎn)品是面向業(yè)務(wù)全流程的安全防護(hù),在零信任傳統(tǒng)理念的基礎(chǔ)上重點(diǎn)關(guān)注以下幾個(gè)方面:
在身份管理和身份認(rèn)證方面,“天盾”的做法是由認(rèn)證服務(wù)提供統(tǒng)一登錄門戶,業(yè)務(wù)應(yīng)用都注冊(cè)在門戶上,隱藏了應(yīng)用的實(shí)際IP和端口,所有的訪問都是基于門戶域名的訪問,并采用SPA單包認(rèn)證技術(shù),可有效預(yù)防網(wǎng)絡(luò)攻擊。
另外,還可進(jìn)行多因子以及生物特征認(rèn)證,特別是當(dāng)訪問一些高敏應(yīng)用時(shí)提供補(bǔ)充認(rèn)證服務(wù),例如采用人臉識(shí)別登錄門戶系統(tǒng),在使用高敏應(yīng)用時(shí)需要通過人臉+聲紋認(rèn)證,認(rèn)證失敗時(shí)則會(huì)再次彈出認(rèn)證窗口進(jìn)行補(bǔ)充認(rèn)證。
圖:認(rèn)證服務(wù)流程
在權(quán)限管理方面,過去各企業(yè)在權(quán)限管理方面普遍使用基于角色的RBAC授權(quán)模式(靜態(tài)授權(quán)模式),這種授權(quán)模式中角色分配往往是基于靜態(tài)的組織架構(gòu)和職位,這給某些需要?jiǎng)討B(tài)訪問控制的決策帶來了挑戰(zhàn)。如果企業(yè)試圖實(shí)現(xiàn)這類訪問控制決策則需要?jiǎng)?chuàng)建大量的角色,這些角色是臨時(shí)性的,而且成員有限,導(dǎo)致了通常所說的 "角色爆炸"。
目前,常規(guī)的零信任模式一般采用動(dòng)態(tài)授權(quán),使用ABAC授權(quán)模式(基于屬性的訪問控制),例如可以根據(jù)用戶的崗位、職級(jí)進(jìn)行設(shè)置授予相應(yīng)的客體資源。然而在實(shí)際的業(yè)務(wù)場(chǎng)景下,ABAC的訪問控制粒度還不夠細(xì),例如運(yùn)維用戶只能在工作日24:00-次日06:00從運(yùn)維區(qū)域訪問某類數(shù)據(jù)。
針對(duì)以上模式的不足,“天盾”提供了更進(jìn)一步的PBAC授權(quán)模式(基于策略的訪問控制),在ABAC授權(quán)模式的基礎(chǔ)上增加環(huán)境屬性、操作屬性,加上響應(yīng)的訪問規(guī)則,形成基于策略的訪問控制。
圖:PBAC授權(quán)模式
我們?cè)诹阈湃蔚膭?dòng)態(tài)授權(quán)上有兩個(gè)方面的考慮:一個(gè)是根據(jù)環(huán)境屬性變化(包括時(shí)間、位置、終端評(píng)分等)導(dǎo)致用戶的權(quán)限發(fā)生變化,并采用最小授權(quán)原則。另一個(gè)是用戶的實(shí)體屬性變化導(dǎo)致權(quán)限發(fā)生變化,例如一個(gè)用戶從職位A變動(dòng)為職位B,他的權(quán)限會(huì)自動(dòng)根據(jù)職位發(fā)生變化,以前職位B能訪問的權(quán)限會(huì)自動(dòng)授予給該用戶,這些都可以通過PBAC授權(quán)模式得以實(shí)現(xiàn)。
同時(shí),“天盾”產(chǎn)品以保護(hù)大數(shù)據(jù)安全為目的,通過數(shù)據(jù)資源網(wǎng)關(guān)提供的大數(shù)據(jù)服務(wù),可提供字段級(jí)(數(shù)據(jù)表的列)的權(quán)限管控,并且可以根據(jù)數(shù)據(jù)的分類分級(jí),對(duì)數(shù)據(jù)進(jìn)行分級(jí)管控。
在業(yè)務(wù)安全審計(jì)與預(yù)警方面,一般的零信任產(chǎn)品在設(shè)計(jì)上僅僅關(guān)注技術(shù)實(shí)現(xiàn)問題,缺少對(duì)業(yè)務(wù)安全的考慮。美亞網(wǎng)安“天盾”零信任產(chǎn)品在設(shè)計(jì)上充分考慮技術(shù)和業(yè)務(wù)問題,提供具有特色的業(yè)務(wù)審計(jì)功能。
在業(yè)務(wù)審計(jì)功能方面,除了基本的審計(jì)功能外,“天盾”提供基于風(fēng)險(xiǎn)的預(yù)警管理,根據(jù)某部委的業(yè)務(wù)場(chǎng)景梳理出20+種業(yè)務(wù)風(fēng)險(xiǎn)模型,并且基于這些業(yè)務(wù)風(fēng)險(xiǎn)模型,創(chuàng)建預(yù)警模型,也就是說可以為用戶在事件還未達(dá)到風(fēng)險(xiǎn)發(fā)生的情況下做出預(yù)警,從而及時(shí)避免風(fēng)險(xiǎn)情況發(fā)生。
圖:審計(jì)服務(wù)模型
在風(fēng)險(xiǎn)發(fā)現(xiàn)與實(shí)時(shí)處置方面,“天盾”策略服務(wù)創(chuàng)建風(fēng)險(xiǎn)模型并下發(fā)給各個(gè)零信任服務(wù),當(dāng)服務(wù)發(fā)現(xiàn)風(fēng)險(xiǎn)信息后,上報(bào)風(fēng)險(xiǎn)信息,策略服務(wù)可以通過下發(fā)指令的方式進(jìn)行處置,例如和權(quán)限服務(wù)聯(lián)動(dòng),動(dòng)態(tài)調(diào)整用戶權(quán)限,縮小用戶權(quán)限或者禁止用戶訪問。
圖:風(fēng)險(xiǎn)發(fā)現(xiàn)和處置
對(duì)于美亞網(wǎng)安來說,零信任體現(xiàn)的是一種思想理念,其技術(shù)實(shí)現(xiàn)和應(yīng)用不是固化的,要貼近用戶業(yè)務(wù)和使用場(chǎng)景,因此產(chǎn)品和功能服務(wù)必須具有自適應(yīng)能力,不斷進(jìn)化,以全流程、體系化的思想去解決安全訪問等問題。在零信任訪問控制的道路上,美亞網(wǎng)安也將持續(xù)對(duì)“天盾”產(chǎn)品進(jìn)行迭代和優(yōu)化,為國(guó)家的網(wǎng)絡(luò)安全事業(yè)貢獻(xiàn)力量。
(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )