神州泰岳

2022安全样板工程——神州泰岳零信任身份安全解决方案

2022-06-27 9764
阅读提示:

当前,数字化、网络化、智能化成为数字经济时代发展的重要特征。与此同时,网络安全也在向体系化、常态化、实战化方向迈进,网络安全建设正从产品驱动向服务驱动转变。

在此背景下,《网络安全和信息化》杂志推出“2022安全样板工程”系列专题,通过样板案例展示,向广大企业用户推介网络安全建设思路和经验,提升企业网络安全防护能力,更好地护航数字经济发展。基于此,神州泰岳零信任身份安全解决方案成功入选2022安全样板工程。

神州泰岳零信任身份安全解决方案通过以身份为基石,采用多维风险与信任评估技术,形成网络隐身、可信认证、持续信任评估、动态访问控制、安全传输、持续信任评估以及全类型终端支持等核心技术;对默认不可信的所有访问请求进行加密、多因素认证和动态授权,汇聚关联各种数据源对访问请求进行持续信任评估,根据持续信任评估结果动态地对权限信息进行调整,在访问主体和访问客体之间建立一种动态的信任关系,适用于移动办公、多云等数字化安全访问场景。

神州泰岳基于零信任理念的架构设计,围绕业务系统创建一种以身份为中心的访问边界,对未取得认可的一切设备、信息都置为“不可信”,直至身份可信取得授权后方可接入。

1、软件定义边界(SDP)。基于身份的访问控制以及完备的权限认证机制为企业应用和服务提供隐身保护,其体系结构主要包括 SDP 客户端、SDP 控制器及 SDP 网关三个组件。

2、增强的身份管理(IAM)。通过围绕身份、权限、环境等信息进行有效管控与治理,保证正确的身份,在正确的访问环境下,基于正当的理由访问正确的资源;新增风控中心组件,通过对用户和设备的行为、上下文环境进行持续的监视,风控中心实现对访问请求的持续风险评估,从而缓解以致消除操作给敏感数据和业务系统带来的风险。

3、微隔离(MSG)。使用策略驱动防火墙技术或者网络加密技术来隔离数据中心、公共云IaaS和容器;在逻辑上划分不同的安全分段,用于阻止攻击者进入网络内部后的东西向移动访问。

应用场景

1、远程安全办公场景。适用于在家、出差、分支机构等异地远程访问办公,可保障异地员工在网络可达的情况下,通过客户端、互联网访问到部署在公司内网出口的网关,进而在通过认证的情况下开展远程办公。

2、云上资源访问场景。企业部署在公有云上的内部应用,因安全考虑,如直接面向互联网开放,将会收到大量的匿名流量攻击。零信任身份服务系统可打通网络隔离,将部署在云上的内部应用,限制为仅有内部员工才可访问的资源。

方案实施效果与经验价值

2022年初,某地新冠肺炎疫情爆发。神州泰岳充分利用其SDP解决方案所具备的降低安全风险-企业业务服务隐身、消除隐含信任-基于身份的可信认证、网络访问最小授权-动态按需授权访问、访问可视化-行为流量审计、便捷访问-跨设备统一访问入口等特性,有效解决了网络边界模糊带来的安全问题,完整支持现阶段各类场景,为中国移动全网内推广使用起到典范作用,为某地移动打赢疫情防控阻击战保驾护航。