以一體化零信任方案構建新信任體系
用戶痛點
(1)遠程辦公訪問風險
現有VPN等接入技術僅提供網絡級驗證,無法對用戶的訪問行為進行分析和監控,一旦登錄就可以自由地在內網和本地之間進行重要數據和內部文件傳輸,在用戶賬號泄露或被仿冒情況下極易被黑客非法利用獲取重要數據。
(2)身份和訪問管理難以統一
隨著業務發展,企事業單位的系統與用戶數逐漸增多,每個系統都有一套相對獨立的賬號體系,集團的訪問控制無法通過身份進行統一用戶、統一認證、統一授權和集中審計。
(3)業務暴露面不斷擴大
越來越多的企事業單位選擇在互聯網側為客戶和員工提供服務,同時也把更多的信息技術資產(IP、端口等)暴露在了黑客的可視范圍之內,黑客可以通過資產暴露面發現脆弱點對企業進行惡意攻擊。
(4)內部威脅難以防御
很多企事業單位默認內部網絡安全可信而忽略了內網的用戶威脅,相對企業的邊界防護內網的安全建設相對較少,但往往一旦發生內網安全事件就會造成非常大的影響。
(5)傳統邊界防御模式失效
數據中心或信息系統遷移上云后企業的網絡邊界逐漸模糊,以數據中心內部和外部簡單劃分的安全邊界已不能滿足對企業資產的防護需求,企業面臨更多信任危機。
(6)特權賬號管理問題突出
云環境和遠程運維場景的增加,企事業單位內部經常會出現一個特權賬號多人使用的情況,賬號一旦泄露或被員工誤操作,就為數據的泄漏、勒索病毒的侵入埋下了安全隱患,且訪問過程外部無法干預,事件風險難以追溯。
解決方案
派拉一體化零信任體系由身份認證管理中心IAM、零信任客戶端、零信任SDP控制器、零信任可信網關、MSG微隔離和其他細粒度訪問控制網關等組成,可以實現端到端的訪問資源全生命周期的安全交互保障。
圖1:派拉一體化零信任體系產品總體架構圖
■ 方案通過身份認證管理系統IAM構建了“持續評估 動態授權”為目標的風險控制中心,對訪問主體和訪問行為進行風險分析;
■ SDP控制器負責決策判斷,同時解決終端設備先認證后連接與邊緣服務的隱藏,免受網絡的探測和攻擊;
■ 可信網關是建立加密隧道服務與動態授權的策略執行點,負責執行和持續監測;
■ MSG微隔離以“最小授權”為原則,對業務或應用進行細粒度精細化權限控制,同時解決服務熔斷、負載均衡與訪問權限檢查,保障每次請求訪問網絡線路獨立,故障與威脅影響面最小化;
■ 業務網關主要是結合業務對外提供的訪問控制服務與審計能力。
為使組件間能更系統化協同工作,方案中的身份認證中心IAM和微隔離兩個關鍵組件分別映射到對訪問主體的信任管理和訪問客體授權管理,并通過加強兩個組件間的信息交換使訪問主體在不同的環境下自動獲得與風險匹配的訪問權限。
方案特點
通過建設派拉一體化零信任體系,可為企事業單位提供全面、專業、便捷的零信任安全保護,具體成效如下:
(1)實現端到端的安全訪問
派拉一體化零信任平臺實現從終端、用戶、到加密訪問通道、身份認證、云資源的授權訪問的端到端的安全訪問。零信任客戶端提供終端安全容器,訪問設備進行安全保護,提供安全加密鏈路對訪問進行加密,在訪問過程中,不僅對用戶進行身份認證,同時也對訪問設備進行認證。對應用服務進行訪問時,直接參與到應用授權環節,從而保證了從設備到業務全程的安全管理。
(2)實現統一的身份安全管理
派拉一體化零信任平臺的身份認證管理中心IAM在統一門戶和信息服務平臺的基礎上,提供統一的用戶管理、授權管理、審計管理和用戶認證體系,將組織信息、用戶信息統一存儲,進行集中授權、集中登錄和集中身份認證,規范應用系統的用戶認證方式,及時響應因用戶組織、崗位或狀態等因素變化所帶來的應用系統管理風險,從而提高應用系統的安全性和用戶使用的方便性,實現企事業單位全部應用的單點登錄、訪問審計、用戶權限統計,實現真正意義上的集中化管理,能夠滿足企事業單位內部和外部審計,以及行業和政府監管的要求,符合客戶當前和未來的業務要求和政策法規的要求。
(3)縮小信息資產暴露面
零信任一個重要理念就是先認證后連接,采用網絡隱身技術隱藏要訪問的資產,必須通過認證才能發起訪問連接通信。用戶身份驗證通過,發起正常的資源應用訪問請求,平臺通過SPA發送一個加密單數據包至網關,網關接收到單數據包并進行驗證,驗證通過,打開端口,建立與客戶端的連接。驗證失敗,則直接丟棄數據包,客戶端不會收到任何回應。
派拉一體化零信任平臺的SDP組件以此方式實現服務端IP和端口的隱藏,使客戶端無法直接查看應用,更不讓其對資源進行更高權限的操作,從而達到保護信息技術資產的效果。
(4)通過用戶行為分析監測內網威脅
派拉一體化零信任平臺的UEBA用戶行為分析模塊通過廣泛的數據收集,使用機器學習(ML)、人工智能(AI) 技術,檢測用戶行為的細微變化,配合專家知識庫,發現內部人員潛在的威脅行為,能夠有效防止橫向攻擊、員工違規操作、賬號盜用等內部安全問題,同時能為安全事件調查提供。依據UEBA更具洞察力,通過對大數據和機器學習引擎的應用,能夠以極高的準確率命中異常事件,在威脅發現速度和準確率方面遠快于傳統的安全信息和事件管理(SIEM)系統。
(5)重新定義可信的訪問邊界
派拉一體化零信任平臺不再以傳統的內外網區分邊界,默認內網也不安全,所有的訪問都需要經過嚴格的多因素認證和動態授權,并且在建立信任之前不進行任何數據傳輸操作。此外還應通過分析、篩選和日志記錄等措施來驗證所有行為的正確性,并持續觀察是否存在代表威脅的信號。
(6)動態授權認證防止數據泄露
派拉一體化零信任平臺通過權限模型可管控到應用系統賬號的精細化權限,如:菜單、API等。為了持續監控用戶操作,平臺在授權管理上增加了更細粒度的動態安全管控。平臺給用戶和被訪問資源之間搭建一條動態細粒度“訪問通道”。通道建立的訪問規則為:只面向被認證、被授權的用戶和服務開放,密鑰和策略也是動態生成單次使用。這種“臨時并單一”的訪問控制方式,將私有資源對非法用戶完全屏蔽,可顯著減少非法數據獲取和泄露事件的發生。
(7)特權訪問管理排除內部隱患
派拉一體化零信任平臺的特權訪問管理模塊通過對特權賬號訪問進行生命周期管理,定期自動更新改密,對權限進行分級管理并對高危操作進行二次認證,從訪問開始到訪問結束的整個過程可進行可視化記錄和追溯,并提供特權賬號訪問全行為審計管理,從嚴防范“內鬼”破壞事件發生。
方案價值
■ 通過派拉一體化零信任平臺構建客戶零信任身份治理體系,可以有效減少因身份管理不規范帶來的信息安全風險、隱私風險以及經營風險;
■ 保障客戶的網絡安全建設符合國家相關法律法規的要求,實現用戶及應用系統的統一身份管控,提升了企業組織的IT治理水平;
■ 有效解決企事業單位遠程辦公、系統遷移上云等場景的信任危機;
■ 提供一套完整的持續的用戶管理規范及運營規范體系,提升信息化平臺建設質量及增效降本。
用戶反饋
“派拉一體化零信任解決方案,保證了在疫情防控常態化形勢下,我機構遠程辦公各業務的安全需求,通過應用安全容器、零信任SDP接入、統一身份認證與管理等新安全技術,為公司各類辦公應用的快速投產和推廣,實現有效安全賦能和效率提升,提供了有力支撐,有效降低遠程辦公過程中的安全風險,為疫情期間的網絡安全運營提供了較可靠的保障。”——來自某大型金融機構用戶
“制造業在數據驅動的新模式下,通過構建一體化零信任安全體系,打通全鏈路的服務觸點,通過融合AI智能認證、風險分析、細顆粒度權限管控等技術手段,充分挖掘我司內外部數字價值,提升用戶體驗和品牌粘度,賦能從研發、設計、生產、制造、銷售、售后全鏈路的數字化轉型,滿足上百萬C端、B端用戶身份管理和業務訪問環節的安全需求。”——來自某大型汽車集團用戶
“派拉一體化零信任從安全管理、認證管理、技術實施等多方面入手為我們建立起了完整可靠的零信任身份管理體系,實現了以安全保業務、用安全促業務的目標”——來自某能源央企用戶
