以一体化零信任方案构建新信任体系
用户痛点
(1)远程办公访问风险
现有VPN等接入技术仅提供网络级验证,无法对用户的访问行为进行分析和监控,一旦登录就可以自由地在内网和本地之间进行重要数据和内部文件传输,在用户账号泄露或被仿冒情况下极易被黑客非法利用获取重要数据。
(2)身份和访问管理难以统一
随着业务发展,企事业单位的系统与用户数逐渐增多,每个系统都有一套相对独立的账号体系,集团的访问控制无法通过身份进行统一用户、统一认证、统一授权和集中审计。
(3)业务暴露面不断扩大
越来越多的企事业单位选择在互联网侧为客户和员工提供服务,同时也把更多的信息技术资产(IP、端口等)暴露在了黑客的可视范围之内,黑客可以通过资产暴露面发现脆弱点对企业进行恶意攻击。
(4)内部威胁难以防御
很多企事业单位默认内部网络安全可信而忽略了内网的用户威胁,相对企业的边界防护内网的安全建设相对较少,但往往一旦发生内网安全事件就会造成非常大的影响。
(5)传统边界防御模式失效
数据中心或信息系统迁移上云后企业的网络边界逐渐模糊,以数据中心内部和外部简单划分的安全边界已不能满足对企业资产的防护需求,企业面临更多信任危机。
(6)特权账号管理问题突出
云环境和远程运维场景的增加,企事业单位内部经常会出现一个特权账号多人使用的情况,账号一旦泄露或被员工误操作,就为数据的泄漏、勒索病毒的侵入埋下了安全隐患,且访问过程外部无法干预,事件风险难以追溯。
解决方案
派拉一体化零信任体系由身份认证管理中心IAM、零信任客户端、零信任SDP控制器、零信任可信网关、MSG微隔离和其他细粒度访问控制网关等组成,可以实现端到端的访问资源全生命周期的安全交互保障。
图1:派拉一体化零信任体系产品总体架构图
■ 方案通过身份认证管理系统IAM构建了“持续评估 动态授权”为目标的风险控制中心,对访问主体和访问行为进行风险分析;
■ SDP控制器负责决策判断,同时解决终端设备先认证后连接与边缘服务的隐藏,免受网络的探测和攻击;
■ 可信网关是建立加密隧道服务与动态授权的策略执行点,负责执行和持续监测;
■ MSG微隔离以“最小授权”为原则,对业务或应用进行细粒度精细化权限控制,同时解决服务熔断、负载均衡与访问权限检查,保障每次请求访问网络线路独立,故障与威胁影响面最小化;
■ 业务网关主要是结合业务对外提供的访问控制服务与审计能力。
为使组件间能更系统化协同工作,方案中的身份认证中心IAM和微隔离两个关键组件分别映射到对访问主体的信任管理和访问客体授权管理,并通过加强两个组件间的信息交换使访问主体在不同的环境下自动获得与风险匹配的访问权限。
方案特点
通过建设派拉一体化零信任体系,可为企事业单位提供全面、专业、便捷的零信任安全保护,具体成效如下:
(1)实现端到端的安全访问
派拉一体化零信任平台实现从终端、用户、到加密访问通道、身份认证、云资源的授权访问的端到端的安全访问。零信任客户端提供终端安全容器,访问设备进行安全保护,提供安全加密链路对访问进行加密,在访问过程中,不仅对用户进行身份认证,同时也对访问设备进行认证。对应用服务进行访问时,直接参与到应用授权环节,从而保证了从设备到业务全程的安全管理。
(2)实现统一的身份安全管理
派拉一体化零信任平台的身份认证管理中心IAM在统一门户和信息服务平台的基础上,提供统一的用户管理、授权管理、审计管理和用户认证体系,将组织信息、用户信息统一存储,进行集中授权、集中登录和集中身份认证,规范应用系统的用户认证方式,及时响应因用户组织、岗位或状态等因素变化所带来的应用系统管理风险,从而提高应用系统的安全性和用户使用的方便性,实现企事业单位全部应用的单点登录、访问审计、用户权限统计,实现真正意义上的集中化管理,能够满足企事业单位内部和外部审计,以及行业和政府监管的要求,符合客户当前和未来的业务要求和政策法规的要求。
(3)缩小信息资产暴露面
零信任一个重要理念就是先认证后连接,采用网络隐身技术隐藏要访问的资产,必须通过认证才能发起访问连接通信。用户身份验证通过,发起正常的资源应用访问请求,平台通过SPA发送一个加密单数据包至网关,网关接收到单数据包并进行验证,验证通过,打开端口,建立与客户端的连接。验证失败,则直接丢弃数据包,客户端不会收到任何回应。
派拉一体化零信任平台的SDP组件以此方式实现服务端IP和端口的隐藏,使客户端无法直接查看应用,更不让其对资源进行更高权限的操作,从而达到保护信息技术资产的效果。
(4)通过用户行为分析监测内网威胁
派拉一体化零信任平台的UEBA用户行为分析模块通过广泛的数据收集,使用机器学习(ML)、人工智能(AI) 技术,检测用户行为的细微变化,配合专家知识库,发现内部人员潜在的威胁行为,能够有效防止横向攻击、员工违规操作、账号盗用等内部安全问题,同时能为安全事件调查提供。依据UEBA更具洞察力,通过对大数据和机器学习引擎的应用,能够以极高的准确率命中异常事件,在威胁发现速度和准确率方面远快于传统的安全信息和事件管理(SIEM)系统。
(5)重新定义可信的访问边界
派拉一体化零信任平台不再以传统的内外网区分边界,默认内网也不安全,所有的访问都需要经过严格的多因素认证和动态授权,并且在建立信任之前不进行任何数据传输操作。此外还应通过分析、筛选和日志记录等措施来验证所有行为的正确性,并持续观察是否存在代表威胁的信号。
(6)动态授权认证防止数据泄露
派拉一体化零信任平台通过权限模型可管控到应用系统账号的精细化权限,如:菜单、API等。为了持续监控用户操作,平台在授权管理上增加了更细粒度的动态安全管控。平台给用户和被访问资源之间搭建一条动态细粒度“访问通道”。通道建立的访问规则为:只面向被认证、被授权的用户和服务开放,密钥和策略也是动态生成单次使用。这种“临时并单一”的访问控制方式,将私有资源对非法用户完全屏蔽,可显著减少非法数据获取和泄露事件的发生。
(7)特权访问管理排除内部隐患
派拉一体化零信任平台的特权访问管理模块通过对特权账号访问进行生命周期管理,定期自动更新改密,对权限进行分级管理并对高危操作进行二次认证,从访问开始到访问结束的整个过程可进行可视化记录和追溯,并提供特权账号访问全行为审计管理,从严防范“内鬼”破坏事件发生。
方案价值
■ 通过派拉一体化零信任平台构建客户零信任身份治理体系,可以有效减少因身份管理不规范带来的信息安全风险、隐私风险以及经营风险;
■ 保障客户的网络安全建设符合国家相关法律法规的要求,实现用户及应用系统的统一身份管控,提升了企业组织的IT治理水平;
■ 有效解决企事业单位远程办公、系统迁移上云等场景的信任危机;
■ 提供一套完整的持续的用户管理规范及运营规范体系,提升信息化平台建设质量及增效降本。
用户反馈
“派拉一体化零信任解决方案,保证了在疫情防控常态化形势下,我机构远程办公各业务的安全需求,通过应用安全容器、零信任SDP接入、统一身份认证与管理等新安全技术,为公司各类办公应用的快速投产和推广,实现有效安全赋能和效率提升,提供了有力支撑,有效降低远程办公过程中的安全风险,为疫情期间的网络安全运营提供了较可靠的保障。”——来自某大型金融机构用户
“制造业在数据驱动的新模式下,通过构建一体化零信任安全体系,打通全链路的服务触点,通过融合AI智能认证、风险分析、细颗粒度权限管控等技术手段,充分挖掘我司内外部数字价值,提升用户体验和品牌粘度,赋能从研发、设计、生产、制造、销售、售后全链路的数字化转型,满足上百万C端、B端用户身份管理和业务访问环节的安全需求。”——来自某大型汽车集团用户
“派拉一体化零信任从安全管理、认证管理、技术实施等多方面入手为我们建立起了完整可靠的零信任身份管理体系,实现了以安全保业务、用安全促业务的目标”——来自某能源央企用户
