隨著數(shù)字新時(shí)代的到來(lái)，云計(jì)算、大數(shù)據(jù)、移動(dòng)互聯(lián)網(wǎng)等新興技術(shù)大量被應(yīng)用，傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)已經(jīng)不適應(yīng)數(shù)字新時(shí)代的發(fā)展要求，基于傳統(tǒng)物理邊界的安全防護(hù)模式也在新技術(shù)的應(yīng)用潮流下面臨更多挑戰(zhàn)。在此背景下，零信任架構(gòu)安全理念順勢(shì)而生，用以解決傳統(tǒng)邊界安全防護(hù)方式無(wú)法解決的新風(fēng)險(xiǎn)。

　　為了滿足企業(yè)用戶在新形勢(shì)下的安全防護(hù)需求，派拉軟件研發(fā)推出一體化的零信任產(chǎn)品體系，從以身份為中心的動(dòng)態(tài)訪問(wèn)控制，逐步延伸到聯(lián)動(dòng)終端管理、SDP、API網(wǎng)關(guān)、用戶行為分析等端到端安全能力全面覆蓋的零信任安全解決方案，為企業(yè)數(shù)字化轉(zhuǎn)型穩(wěn)定發(fā)展構(gòu)建新信任體系。

　　標(biāo)簽

　　零信任、軟件定義邊界、網(wǎng)絡(luò)準(zhǔn)入、身份訪問(wèn)與管理

　　用戶痛點(diǎn)

　?。?）遠(yuǎn)程辦公訪問(wèn)風(fēng)險(xiǎn)

　　現(xiàn)有VPN等接入技術(shù)僅提供網(wǎng)絡(luò)級(jí)驗(yàn)證，無(wú)法對(duì)用戶的訪問(wèn)行為進(jìn)行分析和監(jiān)控，一旦登錄就可以自由地在內(nèi)網(wǎng)和本地之間進(jìn)行重要數(shù)據(jù)和內(nèi)部文件傳輸，在用戶賬號(hào)泄露或被仿冒情況下極易被黑客非法利用獲取重要數(shù)據(jù)。

　?。?）身份和訪問(wèn)管理難以統(tǒng)一

　　隨著業(yè)務(wù)發(fā)展，企事業(yè)單位的系統(tǒng)與用戶數(shù)逐漸增多，每個(gè)系統(tǒng)都有一套相對(duì)獨(dú)立的賬號(hào)體系，集團(tuán)的訪問(wèn)控制無(wú)法通過(guò)身份進(jìn)行統(tǒng)一用戶、統(tǒng)一認(rèn)證、統(tǒng)一授權(quán)和集中審計(jì)。

　?。?）業(yè)務(wù)暴露面不斷擴(kuò)大

　　越來(lái)越多的企事業(yè)單位選擇在互聯(lián)網(wǎng)側(cè)為客戶和員工提供服務(wù)，同時(shí)也把更多的信息技術(shù)資產(chǎn)（IP、端口等）暴露在了黑客的可視范圍之內(nèi)，黑客可以通過(guò)資產(chǎn)暴露面發(fā)現(xiàn)脆弱點(diǎn)對(duì)企業(yè)進(jìn)行惡意攻擊。

　?。?）內(nèi)部威脅難以防御

　　很多企事業(yè)單位默認(rèn)內(nèi)部網(wǎng)絡(luò)安全可信而忽略了內(nèi)網(wǎng)的用戶威脅，相對(duì)企業(yè)的邊界防護(hù)內(nèi)網(wǎng)的安全建設(shè)相對(duì)較少，但往往一旦發(fā)生內(nèi)網(wǎng)安全事件就會(huì)造成非常大的影響。

　?。?）傳統(tǒng)邊界防御模式失效

　　數(shù)據(jù)中心或信息系統(tǒng)遷移上云后企業(yè)的網(wǎng)絡(luò)邊界逐漸模糊，以數(shù)據(jù)中心內(nèi)部和外部簡(jiǎn)單劃分的安全邊界已不能滿足對(duì)企業(yè)資產(chǎn)的防護(hù)需求，企業(yè)面臨更多信任危機(jī)。

　?。?）特權(quán)賬號(hào)管理問(wèn)題突出

　　云環(huán)境和遠(yuǎn)程運(yùn)維場(chǎng)景的增加，企事業(yè)單位內(nèi)部經(jīng)常會(huì)出現(xiàn)一個(gè)特權(quán)賬號(hào)多人使用的情況，賬號(hào)一旦泄露或被員工誤操作，就為數(shù)據(jù)的泄漏、勒索病毒的侵入埋下了安全隱患，且訪問(wèn)過(guò)程外部無(wú)法干預(yù)，事件風(fēng)險(xiǎn)難以追溯。

　　解決方案

　　派拉一體化零信任體系由身份認(rèn)證管理中心IAM、零信任客戶端、零信任SDP控制器、零信任可信網(wǎng)關(guān)、MSG微隔離和其他細(xì)粒度訪問(wèn)控制網(wǎng)關(guān)等組成，可以實(shí)現(xiàn)端到端的訪問(wèn)資源全生命周期的安全交互保障。

　　圖1：派拉一體化零信任體系產(chǎn)品總體架構(gòu)圖

　　■  方案通過(guò)身份認(rèn)證管理系統(tǒng)IAM構(gòu)建了“持續(xù)評(píng)估 動(dòng)態(tài)授權(quán)”為目標(biāo)的風(fēng)險(xiǎn)控制中心，對(duì)訪問(wèn)主體和訪問(wèn)行為進(jìn)行風(fēng)險(xiǎn)分析；

　　■  SDP控制器負(fù)責(zé)決策判斷，同時(shí)解決終端設(shè)備先認(rèn)證后連接與邊緣服務(wù)的隱藏，免受網(wǎng)絡(luò)的探測(cè)和攻擊；

　　■  可信網(wǎng)關(guān)是建立加密隧道服務(wù)與動(dòng)態(tài)授權(quán)的策略執(zhí)行點(diǎn)，負(fù)責(zé)執(zhí)行和持續(xù)監(jiān)測(cè)；

　　■  MSG微隔離以“最小授權(quán)”為原則，對(duì)業(yè)務(wù)或應(yīng)用進(jìn)行細(xì)粒度精細(xì)化權(quán)限控制，同時(shí)解決服務(wù)熔斷、負(fù)載均衡與訪問(wèn)權(quán)限檢查，保障每次請(qǐng)求訪問(wèn)網(wǎng)絡(luò)線路獨(dú)立，故障與威脅影響面最小化；

　　■  業(yè)務(wù)網(wǎng)關(guān)主要是結(jié)合業(yè)務(wù)對(duì)外提供的訪問(wèn)控制服務(wù)與審計(jì)能力。

　　為使組件間能更系統(tǒng)化協(xié)同工作，方案中的身份認(rèn)證中心IAM和微隔離兩個(gè)關(guān)鍵組件分別映射到對(duì)訪問(wèn)主體的信任管理和訪問(wèn)客體授權(quán)管理，并通過(guò)加強(qiáng)兩個(gè)組件間的信息交換使訪問(wèn)主體在不同的環(huán)境下自動(dòng)獲得與風(fēng)險(xiǎn)匹配的訪問(wèn)權(quán)限。

　　方案特點(diǎn)

　　通過(guò)建設(shè)派拉一體化零信任體系，可為企事業(yè)單位提供全面、專業(yè)、便捷的零信任安全保護(hù)，具體成效如下：

　　（1）實(shí)現(xiàn)端到端的安全訪問(wèn)

　　派拉一體化零信任平臺(tái)實(shí)現(xiàn)從終端、用戶、到加密訪問(wèn)通道、身份認(rèn)證、云資源的授權(quán)訪問(wèn)的端到端的安全訪問(wèn)。零信任客戶端提供終端安全容器，訪問(wèn)設(shè)備進(jìn)行安全保護(hù)，提供安全加密鏈路對(duì)訪問(wèn)進(jìn)行加密，在訪問(wèn)過(guò)程中，不僅對(duì)用戶進(jìn)行身份認(rèn)證，同時(shí)也對(duì)訪問(wèn)設(shè)備進(jìn)行認(rèn)證。對(duì)應(yīng)用服務(wù)進(jìn)行訪問(wèn)時(shí)，直接參與到應(yīng)用授權(quán)環(huán)節(jié)，從而保證了從設(shè)備到業(yè)務(wù)全程的安全管理。

　　（2）實(shí)現(xiàn)統(tǒng)一的身份安全管理

　　派拉一體化零信任平臺(tái)的身份認(rèn)證管理中心IAM在統(tǒng)一門戶和信息服務(wù)平臺(tái)的基礎(chǔ)上，提供統(tǒng)一的用戶管理、授權(quán)管理、審計(jì)管理和用戶認(rèn)證體系，將組織信息、用戶信息統(tǒng)一存儲(chǔ)，進(jìn)行集中授權(quán)、集中登錄和集中身份認(rèn)證，規(guī)范應(yīng)用系統(tǒng)的用戶認(rèn)證方式，及時(shí)響應(yīng)因用戶組織、崗位或狀態(tài)等因素變化所帶來(lái)的應(yīng)用系統(tǒng)管理風(fēng)險(xiǎn)，從而提高應(yīng)用系統(tǒng)的安全性和用戶使用的方便性，實(shí)現(xiàn)企事業(yè)單位全部應(yīng)用的單點(diǎn)登錄、訪問(wèn)審計(jì)、用戶權(quán)限統(tǒng)計(jì)，實(shí)現(xiàn)真正意義上的集中化管理，能夠滿足企事業(yè)單位內(nèi)部和外部審計(jì)，以及行業(yè)和政府監(jiān)管的要求，符合客戶當(dāng)前和未來(lái)的業(yè)務(wù)要求和政策法規(guī)的要求。

　?。?）縮小信息資產(chǎn)暴露面

　　零信任一個(gè)重要理念就是先認(rèn)證后連接，采用網(wǎng)絡(luò)隱身技術(shù)隱藏要訪問(wèn)的資產(chǎn)，必須通過(guò)認(rèn)證才能發(fā)起訪問(wèn)連接通信。用戶身份驗(yàn)證通過(guò)，發(fā)起正常的資源應(yīng)用訪問(wèn)請(qǐng)求，平臺(tái)通過(guò)SPA發(fā)送一個(gè)加密單數(shù)據(jù)包至網(wǎng)關(guān)，網(wǎng)關(guān)接收到單數(shù)據(jù)包并進(jìn)行驗(yàn)證，驗(yàn)證通過(guò)，打開(kāi)端口，建立與客戶端的連接。驗(yàn)證失敗，則直接丟棄數(shù)據(jù)包，客戶端不會(huì)收到任何回應(yīng)。

　　派拉一體化零信任平臺(tái)的SDP組件以此方式實(shí)現(xiàn)服務(wù)端IP和端口的隱藏，使客戶端無(wú)法直接查看應(yīng)用，更不讓其對(duì)資源進(jìn)行更高權(quán)限的操作，從而達(dá)到保護(hù)信息技術(shù)資產(chǎn)的效果。

　?。?）通過(guò)用戶行為分析監(jiān)測(cè)內(nèi)網(wǎng)威脅

　　派拉一體化零信任平臺(tái)的UEBA用戶行為分析模塊通過(guò)廣泛的數(shù)據(jù)收集，使用機(jī)器學(xué)習(xí)（ML）、人工智能（AI） 技術(shù)，檢測(cè)用戶行為的細(xì)微變化，配合專家知識(shí)庫(kù)，發(fā)現(xiàn)內(nèi)部人員潛在的威脅行為，能夠有效防止橫向攻擊、員工違規(guī)操作、賬號(hào)盜用等內(nèi)部安全問(wèn)題，同時(shí)能為安全事件調(diào)查提供。依據(jù)UEBA更具洞察力，通過(guò)對(duì)大數(shù)據(jù)和機(jī)器學(xué)習(xí)引擎的應(yīng)用，能夠以極高的準(zhǔn)確率命中異常事件，在威脅發(fā)現(xiàn)速度和準(zhǔn)確率方面遠(yuǎn)快于傳統(tǒng)的安全信息和事件管理（SIEM）系統(tǒng)。

　?。?）重新定義可信的訪問(wèn)邊界

　　派拉一體化零信任平臺(tái)不再以傳統(tǒng)的內(nèi)外網(wǎng)區(qū)分邊界，默認(rèn)內(nèi)網(wǎng)也不安全，所有的訪問(wèn)都需要經(jīng)過(guò)嚴(yán)格的多因素認(rèn)證和動(dòng)態(tài)授權(quán)，并且在建立信任之前不進(jìn)行任何數(shù)據(jù)傳輸操作。此外還應(yīng)通過(guò)分析、篩選和日志記錄等措施來(lái)驗(yàn)證所有行為的正確性，并持續(xù)觀察是否存在代表威脅的信號(hào)。

　?。?）動(dòng)態(tài)授權(quán)認(rèn)證防止數(shù)據(jù)泄露

　　派拉一體化零信任平臺(tái)通過(guò)權(quán)限模型可管控到應(yīng)用系統(tǒng)賬號(hào)的精細(xì)化權(quán)限，如：菜單、API等。為了持續(xù)監(jiān)控用戶操作，平臺(tái)在授權(quán)管理上增加了更細(xì)粒度的動(dòng)態(tài)安全管控。平臺(tái)給用戶和被訪問(wèn)資源之間搭建一條動(dòng)態(tài)細(xì)粒度“訪問(wèn)通道”。通道建立的訪問(wèn)規(guī)則為：只面向被認(rèn)證、被授權(quán)的用戶和服務(wù)開(kāi)放，密鑰和策略也是動(dòng)態(tài)生成單次使用。這種“臨時(shí)并單一”的訪問(wèn)控制方式，將私有資源對(duì)非法用戶完全屏蔽，可顯著減少非法數(shù)據(jù)獲取和泄露事件的發(fā)生。

　?。?）特權(quán)訪問(wèn)管理排除內(nèi)部隱患

　　派拉一體化零信任平臺(tái)的特權(quán)訪問(wèn)管理模塊通過(guò)對(duì)特權(quán)賬號(hào)訪問(wèn)進(jìn)行生命周期管理，定期自動(dòng)更新改密，對(duì)權(quán)限進(jìn)行分級(jí)管理并對(duì)高危操作進(jìn)行二次認(rèn)證，從訪問(wèn)開(kāi)始到訪問(wèn)結(jié)束的整個(gè)過(guò)程可進(jìn)行可視化記錄和追溯，并提供特權(quán)賬號(hào)訪問(wèn)全行為審計(jì)管理，從嚴(yán)防范“內(nèi)鬼”破壞事件發(fā)生。

　　方案價(jià)值

　　■  通過(guò)派拉一體化零信任平臺(tái)構(gòu)建客戶零信任身份治理體系，可以有效減少因身份管理不規(guī)范帶來(lái)的信息安全風(fēng)險(xiǎn)、隱私風(fēng)險(xiǎn)以及經(jīng)營(yíng)風(fēng)險(xiǎn)；

　　■  保障客戶的網(wǎng)絡(luò)安全建設(shè)符合國(guó)家相關(guān)法律法規(guī)的要求，實(shí)現(xiàn)用戶及應(yīng)用系統(tǒng)的統(tǒng)一身份管控，提升了企業(yè)組織的IT治理水平；

　　■  有效解決企事業(yè)單位遠(yuǎn)程辦公、系統(tǒng)遷移上云等場(chǎng)景的信任危機(jī)；

　　■  提供一套完整的持續(xù)的用戶管理規(guī)范及運(yùn)營(yíng)規(guī)范體系，提升信息化平臺(tái)建設(shè)質(zhì)量及增效降本。

　     用戶反饋

　　“派拉一體化零信任解決方案，保證了在疫情防控常態(tài)化形勢(shì)下，我機(jī)構(gòu)遠(yuǎn)程辦公各業(yè)務(wù)的安全需求，通過(guò)應(yīng)用安全容器、零信任SDP接入、統(tǒng)一身份認(rèn)證與管理等新安全技術(shù)，為公司各類辦公應(yīng)用的快速投產(chǎn)和推廣，實(shí)現(xiàn)有效安全賦能和效率提升，提供了有力支撐，有效降低遠(yuǎn)程辦公過(guò)程中的安全風(fēng)險(xiǎn)，為疫情期間的網(wǎng)絡(luò)安全運(yùn)營(yíng)提供了較可靠的保障?！?/p>

　　——來(lái)自某大型金融機(jī)構(gòu)用戶

　　“制造業(yè)在數(shù)據(jù)驅(qū)動(dòng)的新模式下，通過(guò)構(gòu)建一體化零信任安全體系，打通全鏈路的服務(wù)觸點(diǎn)，通過(guò)融合AI智能認(rèn)證、風(fēng)險(xiǎn)分析、細(xì)顆粒度權(quán)限管控等技術(shù)手段，充分挖掘我司內(nèi)外部數(shù)字價(jià)值，提升用戶體驗(yàn)和品牌粘度，賦能從研發(fā)、設(shè)計(jì)、生產(chǎn)、制造、銷售、售后全鏈路的數(shù)字化轉(zhuǎn)型，滿足上百萬(wàn)C端、B端用戶身份管理和業(yè)務(wù)訪問(wèn)環(huán)節(jié)的安全需求?！?/p>

　　——來(lái)自某大型汽車集團(tuán)用戶

　　“派拉一體化零信任從安全管理、認(rèn)證管理、技術(shù)實(shí)施等多方面入手為我們建立起了完整可靠的零信任身份管理體系，實(shí)現(xiàn)了以安全保業(yè)務(wù)、用安全促業(yè)務(wù)的目標(biāo)”

　　——來(lái)自某能源央企用戶

　　評(píng)論

　　對(duì)于企業(yè)組織，零信任的建設(shè)需要融入到企業(yè)的數(shù)字化業(yè)務(wù)環(huán)境中，企業(yè)的零信任規(guī)劃不僅要符合當(dāng)前的業(yè)務(wù)需求，也要能更好地支撐未來(lái)業(yè)務(wù)的擴(kuò)展需求。因此，零信任應(yīng)用落地時(shí)，組織可以從系統(tǒng)化建設(shè)的角度，嘗試用一體化的零信任解決方案，從場(chǎng)景出發(fā)，結(jié)合業(yè)務(wù)在網(wǎng)絡(luò)空間分布的現(xiàn)狀，使每一個(gè)業(yè)務(wù)都形成閉環(huán)的安全訪問(wèn)。可以認(rèn)為，一體化的零信任解決方案模式，是一種有效的零信任安全建設(shè)嘗試。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<