從零信任到精益信任：深信服精益信任aTrust安全架構正式發(fā)布

8月16日下午,在2019深信服創(chuàng)新大會的風險驅動網(wǎng)絡安全建設專場上,深信服移動產(chǎn)品研發(fā)總監(jiān)郭炳梁正式發(fā)布深信服精益信任aTrust安全架構,并發(fā)表“從零信任到精益信任”的主題演講。

深信服精益信任aTrust安全架構在零信任的基礎上做了增強,通過信任和風險的反饋控制,實現(xiàn)“精確而足夠”的信任。同時,精益信任aTrust安全架構下,終端、邊界、外網(wǎng)的已有安全設備可以基于信任和風險的閉環(huán)進行聯(lián)動,形成自主調優(yōu)、快速處置的統(tǒng)一安全架構。

郭炳梁在演講中介紹了零信任的發(fā)展熱潮,并分析企業(yè)為什么需要零信任,以及深信服精益信任aTrust安全架構與傳統(tǒng)零信任安全架構的不同和變化。

零信任熱潮

企業(yè)的傳統(tǒng)防護理念是為企業(yè)內網(wǎng)構建防御邊界,縱向的流量將會受到重重的防護,但是一旦進入內部,便將暢通無阻。基于傳統(tǒng)的安全理念,在企業(yè)發(fā)展初期,可以相對簡單的實現(xiàn)網(wǎng)絡安全。

但隨著企業(yè)業(yè)務的不斷增長,需要開設子公司、辦事處,將子公司和辦事處的邊界與總部的內部網(wǎng)絡進行聯(lián)通,越來越多的困擾出現(xiàn)在企業(yè)面前。

1. 擴建慢:企業(yè)需要不斷采購設備,進行復雜的部署實施上線。

2. 成本高:子公司需要專線或VPN組網(wǎng)。

3. 運維難:網(wǎng)絡、安全設備分散部署,難以維護。

這形成了企業(yè)發(fā)展過程中的成長之痛。

同時移動辦公的情況變得越來越多,更多的員工、供應商、合作伙伴需要從全球、全國各個位置安全的接入企業(yè)內網(wǎng)進行訪問。除此之外,應用的移動化,數(shù)據(jù)中心的云化也不斷帶來更多的問題。

這種情況下,內部網(wǎng)絡的安全邊界變得模糊,甚至趨于破碎,基于邊界的安全防護體系正在漸漸失效。

同時,傳統(tǒng)的安全架構基于網(wǎng)絡位置構建信任區(qū),內部網(wǎng)絡屬于受信特權區(qū)域。但內網(wǎng)威脅持續(xù)增高,在傳統(tǒng)認為受信的內網(wǎng)區(qū)域,存在大量橫向移動、嗅探暴破等惡意流量,無法被發(fā)現(xiàn)和控制。

APT攻擊更是內網(wǎng)威脅里的重大隱患,攻擊方從企業(yè)的任意一個邊界突破進入內網(wǎng),長期潛伏下來,伺機尋找高機密系統(tǒng)的破綻,找準機會,一擊即中,實施信息竊取或破壞,成為了企業(yè)網(wǎng)安全的達克摩斯之劍。

以2009年發(fā)生的APT攻擊『極光行動』為例,攻擊者通過特定員工的終端,入侵了谷歌內網(wǎng)的gmail郵箱服務器,盜竊機密行為持續(xù)了數(shù)月之久。這讓谷歌痛下決心,在自身企業(yè)網(wǎng)實施Beyond Corp零信任安全架構。

傳統(tǒng)的安全架構其實已經(jīng)很難去適應企業(yè)的快速成長,也難以去適應業(yè)務的快速變化,企業(yè)需要構筑全新的網(wǎng)絡安全架構。在這樣的大背景下,零信任應運而生。

零信任安全一詞最早出現(xiàn)在2010年,由IT和安全分析機構Forrester的首席分析師約翰金德維提出。在2011年到2017年之間,谷歌在自身企業(yè)內網(wǎng)進行零信任的實踐并成功落地。谷歌Beyond Corp的零信任安全架構,通過全面身份化、多源信任評估和動態(tài)訪問控制,成功解決了破碎的邊界的問題。

2017年開始,業(yè)界廠商大力跟進,包括思科、微軟、亞馬遜等等。2018年至今,中央部委、國家機關、中大型企業(yè)開始探索實踐零信任安全架構。

零信任主要表現(xiàn)為以下三點:

1. 信任最小化

所有設備、用戶和網(wǎng)絡流量都應該被認證、授權和加密。

2. 網(wǎng)絡無特權化

應當始終假設外部和內部威脅每時每刻都充斥著網(wǎng)絡,并且不能僅僅依靠網(wǎng)絡位置來建立信任關系。

3. 權限動態(tài)化

訪問控制策略應該動態(tài)的基于盡量多的數(shù)據(jù)源進行計算和評估。

零信任的三個關鍵,第一全面身份化,第二多源信任評估,第三動態(tài)訪問控制。而傳統(tǒng)安全架構一共面臨兩大關鍵問題,一是破碎的邊界,一個是割裂的安全。

零信任解決了破碎的邊界問題,但是安全從來不是任意一個安全產(chǎn)品可以獨自解決的,安全一定是需要聯(lián)動和協(xié)作的。

深信服精益信任aTrust安全架構主張,零信任需要和其他安全的設備進行聯(lián)動,形成互補的安全體系,構建統(tǒng)一的安全。

深信服精益信任統(tǒng)一安全架構

在2019深信服創(chuàng)新大會的風險驅動網(wǎng)絡安全建設專場上,深信服精益信任aTrust安全架構正式發(fā)布,精益信任aTrust安全架構在零信任的基礎上做了增強。精益信任安全架構基于信任和風險的閉環(huán),整合終端、邊界、外網(wǎng)的已有安全設備,進行統(tǒng)一聯(lián)動,形成自主調優(yōu)、快速處置的統(tǒng)一安全架構,最終實現(xiàn)內外網(wǎng)“精確而足夠”的信任。

深信服精益信任aTrust安全架構主要由全面身份化、多源信任評估、動態(tài)訪問控制、統(tǒng)一安全、可成長等五點組成——

1. 全面身份化

精益信任aTrust安全架構通過前置安全接入網(wǎng)關,強制所有訪問都必須經(jīng)過認證、授權和加密;精益信任aTrust安全架構的關鍵是身份化,把用戶、設備和應用都進行全面的身份化,從原先的先訪問資源再認證身份,變?yōu)橄日J證身份再訪問資源,從而確保內部網(wǎng)絡的安全;精益信任aTrust安全架構基于單包授權(Single-Packet Authorization)技術,可以防御DDoS攻擊,降低0day風險。

(1)統(tǒng)一身份認證

精益信任aTrust安全架構提供統(tǒng)一身份證,支持統(tǒng)一身份管理和多因素的統(tǒng)一身份認證,最重要的是可以協(xié)同成一點,將公司人員的入職、變更、離職全生命周期和安全聯(lián)動起來,從而實時調整安全的權限、安全策略,降低運維的難度,提升安全系數(shù)。

(2)智能發(fā)現(xiàn)

精益信任aTrust安全架構基于用戶的訪問行為,結合用戶的組織架構信息、崗位等信息,通過AI智能發(fā)現(xiàn)技術,自動生成訪問權限報告,幫助管理員實現(xiàn)權限細化;精益信任aTrust安全架構基于流量行為檢測分析,可以發(fā)現(xiàn)未知業(yè)務系統(tǒng),幫助管理員實現(xiàn)企業(yè)資源的資產(chǎn)管理,同時發(fā)現(xiàn)違規(guī)搭建、不合規(guī)的業(yè)務系統(tǒng)。

2. 多源信任評估

(1)終端安全評估

精益信任aTrust安全架構在終端安全評估方面主要提供基于AI的多維度漏斗型終端環(huán)境檢測框架,包含基于文件信譽和基因特征的檢測引擎;精益信任aTrust安全架構提供不依賴于特征的人工智能檢測能力,針對一些可疑的惡意的文件會通過沙盒進一步的識別,消除風險;精益信任aTrust安全架構會利用當前云化的能力,和云端、大數(shù)據(jù)平臺進行聯(lián)動,提供多維的威脅情報秒級響應檢測,并根據(jù)結果授權。

(2)行為檢測分析

精益信任aTrust安全架構在行為檢測分析方面,能持續(xù)采集全局實時流量,檢測內部的威脅,有效發(fā)現(xiàn)木馬、病毒等攻擊行為,并且能實時聯(lián)動訪問控制系統(tǒng)調整信任等級,控制接入和訪問權限。

3. 動態(tài)訪問控制

動態(tài)權限方面,精益信任aTrust安全架構在訪問主體和訪問客體之間基于RBAC+ABAC,建立起動態(tài)的訪問控制。

在訪問主體方面,精益信任aTrust安全架構會確認用戶身份是否可信,如最低程度的可信是基于密碼的身份驗證,如果需要獲得更高的權限,至少需要密碼和另外一個因素配合進行驗證,如短信,而更高的身份可信,則是生物特征,如指紋、人臉識別;身份可信確認之后,環(huán)境是否可信也需要確認,一個可信任的人在一個不安全的環(huán)境里也可能是不安全的;最后需要確認行為是否可信,基于用戶訪問行為進行持續(xù)的行為可信檢測。

在訪問客體方面,精益信任aTrust安全架構會基于角色和組織架構的靜態(tài)授權,如財務人員能訪問財務相關的業(yè)務系統(tǒng)、研發(fā)人員能訪問研發(fā)相關的業(yè)務系統(tǒng),再根據(jù)主體的信任等級和客體的信任等級加上已有的靜態(tài)授權,實現(xiàn)動態(tài)的訪問權限控制。

4. 統(tǒng)一安全

(1)開放融合

精益信任aTrust安全架構在開放融合方面,可以和各類安全產(chǎn)品融合聯(lián)動,實現(xiàn)統(tǒng)一的安全,包括并不僅僅限于EDR、IAM、UEBA、NAC等系統(tǒng),還會通過多種安全模型的建模,多維度地去針對各類行為做好標簽化分類,最終與精益信任aTrust安全架構進行對接,促使安全從割裂走向融合。

(2)全局可視

在全局方面,相比于傳統(tǒng)的安全架構,aTrust在進行全面的身份化后,對內網(wǎng)的所有流量進行檢測,從而做到對于內網(wǎng)安全狀況的威脅可視,基于用戶安全行為的全局可視,最終促使安全從黑盒走向可視可控,解決不可視,流量混雜的問題。

5. 可成長

精益信任aTrust安全架構中的安全網(wǎng)關能一體化提供完整的身份化能力,完整的多源信任評估能力,完整的多源控制能力,同時會提供基礎的統(tǒng)一身份認證能力、終端檢測能力、行為分析檢測能力。

在這個基礎上精益信任aTrust安全架構根據(jù)企業(yè)的不同發(fā)展階段,和更專業(yè)的EDR/UEBA等產(chǎn)品對接聯(lián)動,通過對方案的組合去實現(xiàn)企業(yè)發(fā)展的具體要求,自適應的去匹配企業(yè)發(fā)展的各個場景和階段,從而為企業(yè)量身打造一個統(tǒng)一安全體系。

深信服精益信任aTrust安全架構通過自適應策略,結合按需擴展的功能組件,通過私有化、云化等多種部署方式,實現(xiàn)信任和風險的精益控制。深信服精益信任aTrust安全架構秉持“面向未來,有效保護”的安全理念,幫助用戶構建更匹配業(yè)務需求的安全架構!

生成海報

免責聲明：本網(wǎng)站內容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內容可能涉嫌侵犯其知識產(chǎn)權或存在不實內容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內容或斷開相關鏈接。