零信任在金融行業四大場景中的落地及應用
隨著各國在金融科技關鍵底層技術布局加快,跨國協作加強,監管力度加大,金融科技在經濟復蘇過程中正發揮著重要作用。中國金融科技產業逐步進入更加規范的發展階段,同時,對于金融科技應用的識別、管理也更加嚴格,在此背景下,如何保障金融科技安全顯得尤為重要。
8月11日,第四屆INSEC WORLD 成都·世界信息安全大會系列研討會金融科技安全專場成功舉辦,會議邀請網商銀行、深信服科技、樂信集團的安全負責人共同探討金融科技安全。
圖片來源:世界信息安全大會
深信服零信任產品總監楊志剛在會上進行了金融行業零信任應用場景及實踐分享。
楊志剛認為,金融行業數字化轉型帶來了資源開放和共享,越來越多的企業將應用部署到云端,企業數據通過云服務共享,資產暴露面變大,受攻擊維度也就越多。同時,遠程辦公、多方協同辦公等帶來了訪問需求復雜性變高和內部資源暴露面擴大的風險。
數字化變革、IT架構轉型、業務彈性擴展、安全邊界逐漸模糊,我們建議引入‘零信任’理念,通過‘軟件定義邊界’‘微隔離’‘身份認證和管理’等關鍵技術落地零信任架構,從傳統網絡提升到零信任網絡,真正實現全面安全保護。
零信任理念及相關技術,在金融行業擁有廣泛的應用場景,當前應用較為普遍的主要是遠程辦公、跨網訪問、第三方接入和移動展業。
遠程辦公場景
遠程辦公場景首先要解決的問題是:業務系統都在公司內網,員工不在公司時怎么實現訪問?
解決了訪問問題還得考慮安全問題。例如,遠程辦公時使用的個人終端如果感染了病毒木馬,怎么防止終端接入時對內網系統產生威脅?采用口令認證時,如果口令泄露或者被暴破,如何防止其被不法分子利用登錄內部系統?
采用SDP技術路線,部署零信任平臺和代理網關,能夠實現遠程訪問安全。
● 身份認證:多因子身份認證,并根據風險評估情況(如異常地點/時間段/使用終端、賬號暴破、僵尸賬號等)進行增強認證,保障身份持續可信;
● 終端檢測:終端環境和應用程序合規性檢測,阻斷風險終端設備訪問后端業務;
● 鏈路安全:L3+L4隧道加密技術,保證數據傳輸機密性;
● 訪問控制:基于身份的細粒度權限訪問控制,阻斷越權訪問流量,進一步收縮和保障主客體的受控訪問關系;
● 持續評估:持續監控和分析主客體的訪問行為,通過與EDR/態勢感知的對接,實現網絡、端點、行為多維度風險評估,異常情況實施動態訪問控制。
跨網訪問場景
傳統安全建設采用分區分域+縱深防御的方式解決跨網訪問問題,但隨著業務和人員規模的不斷變化,分區分域面臨嚴峻挑戰:用戶活動,范圍廣泛;人員眾多,職責切換;入職離職,權限復雜;ACL腐化混亂;一機多網,隔離艱難。
通過部署零信任平臺、代理網關/直連網關,可以實現跨網訪問安全。
● 流量身份化:通過對接統一身份管理系統,實現流量的身份化;
● 終端檢測:終端環境和應用程序合規性檢測,阻斷風險終端設備訪問后端業務;
● 訪問控制:基于身份的細粒度權限訪問控制,阻斷未授權訪問流量,進一步收縮和保障主客體的受控訪問關系;
● 數據防護:綜合數據沙箱、桌面云、內容審計等,實現差異化的數據泄密防護;
● 網絡隔離:基于安全沙箱的網絡隔離技術,實現一機多空間,不同空間訪問不同網絡區域的業務,實現安全隔離,防止風險橫向擴散;
● 持續評估:持續監控和分析主客體的訪問行為,通過與EDR/態勢感知的對接,實現網絡、端點、行為多維度風險評估,異常情況實施動態訪問控制。
第三方接入場景
第三方接入場景面臨的主要安全風險有:非法或違規訪問業務、帶病毒終端訪問業務、明文傳輸泄密、惡意掃描和網絡攻擊風險高、越權訪問等。
零信任的部署,能夠在身份、終端、業務、數據、網絡等方面為用戶第三方接入提供安全保障。
● 身份認證:多因子身份認證,并根據風險評估情況(如異常地點/時間段/使用終端、賬號暴破、僵尸賬號等)進行增強認證,保障身份持續可信;
● 終端檢測:終端環境和應用程序合規性檢測,阻斷風險終端訪問業務;
● 業務收縮:將互聯網業務收縮至內網,隱藏對外暴露面,防御惡意掃描和攻擊;
● 數據安全:重要業務通過安全沙箱訪問,實現數據落地的隔離/加密、防泄漏;
● 網絡隔離:基于安全沙箱的網絡隔離技術,實現終端網絡隔離,防止風險橫向擴散;
● 無端訪問:高體驗要求場景,支持無端訪問,不改變原有系統訪問習慣。
移動展業場景
移動終端的便攜特性,使數據更容易以轉存、截屏、分享等方式被外發,或因終端丟失等原因導致數據泄露,難以保障數據安全;
移動展業要求隨時隨地訪問,需要接把業務系統通過邊界設備映射到互聯網,系統暴露面大、容易遭受攻擊/滲透;
隨著BYOD的普及,專用終端的采購成本和使用不變制約了移動展業的效率,而傳統EMM方案針對設備進行管控,終端干擾大、員工接受程度低、兼容性問題頻出。
如何在安全的基礎上最大限度的保障用戶體驗?零信任為用戶提供了一種解決方案:
● 身份認證:多因子身份認證,并根據風險評估情況(如異常地點/時間段/使用終端、賬號暴破、僵尸賬號等)進行增強認證,保障身份持續可信;
● SDK集成/應用自動封裝:移動APP可集成零信任SDK,實現終端環境基線檢查,業務數據本地加密存儲、內存拷貝阻斷、屏幕水印震懾截屏拍屏行為等能力,以及L3+L4隧道加密,保證數據傳輸的機密性與安全接入,也可以采用自動封裝方式,0開發實現安全改造;
● 業務收縮:將互聯網業務收縮至內網,隱藏對外暴露面,防御惡意掃描和攻擊;
● 訪問控制:基于身份的細粒度權限訪問控制,阻斷越權訪問流量,進一步收縮和保障主客體的受控訪問關系;
● 持續評估:持續監控和分析主客體的訪問行為,異常情況實施動態訪問控制。
深信服零信任aTrust可以滿足金融多場景的安全需求,助力金融科技安全建設從傳統網絡提升到零信任網絡,在方案的落地應用上有4大價值點和優勢體現:
1.實施部署簡單
最小交付場景下,采用標準SDP架構,兩個組件就可以滿足多場景的安全訪問,不管是移動APP接入、Web接入、內網員工接入還是第三方接入均可一站式匹配。
2.用戶體驗好
全面兼容各類終端系統及瀏覽器;接入速度快、使用穩定,支持免密上線、自動重連;提供WorkSpace辦公體驗,統一工作入口,滿足各種場景下的辦公便捷性,全面提升用戶體驗。
3.安全有效
豐富的認證手段、基于終端環境的持續檢測和認證、融合SDP軟件定義邊界和終端數據安全沙箱,同時滿足接入安全與終端數據安全。
4.滿足大規模使用
支持百萬規模用戶、十萬級資源、權限管理的部署應用,支持多網關橫向擴容,滿足超大規模并發接入。已交付項目中單項目最高達60w并發在線終端。
目前,深信服零信任已在金融、運營商、互聯網企業、大型制造業、教育、政府科研、企事業單位等各行各業落地實施,其價值與優勢也正在被越來越多的用戶認可。
