2021零信任落地案例集.pdf

2021 云安全联盟大中华区-版权所有12021 云安全联盟大中华区-版权所有2目 录一一、前前言言.5 5二二、落落地地案案例例清清单单.7 7三三、落落地地案案例例.9 91、安恒信息温州市大数据发展管理局零信任实践案例.92、任子行零信任安全防护解决方案护航海事局移动/远程办公安全.133、奇安信零信任安全解决方案在部委大数据中心的实践案例.174、吉大正元某大型集团公司零信任实践案例.195、格尔软件航空工业商网零信任安全最佳实践.276、厦门服云招商局零信任落地案例.367、深信服山东港口集团零信任多数据中心安全接入.408、杭州漠坦尼物联网零信任安全解决方案.419、易安联中国核工业华兴建设有限公司 EnSDP 零信任安界防护平台.4410、虎符网络国家电网某二级单位基于零信任架构的远程安全访问解决方案.4811、奇安信某大型商业银行零信任远程访问解决方案.5412、蔷薇灵动中国交通建设股份有限公司零信任落地解决方案.5913、缔盟云中国建设银行零信任落地案例.6714、联软科技光大银行零信任远程办公实践.7015、云深互联阳光保险集团养老与不动产中心零信任落地案例.7416、上海云盾贵州白山云科技股份有限公司应用可信访问.7817、天谷信息 e 签宝零信任实践案例.8418、北京芯盾时代电信运营商零信任业务安全解决方案落地项目.8819、云深互联零信任/SDP 安全在电信运营商行业的实践案例.9320、启明星辰中国移动某公司远程办公安全接入方案.9821、指掌易某集团灵犀SDP 零信任解决方案.10422、美云智数美的集团零信任实践案例.11123、360 零信任架构的业务访问安全案例.11724、数字认证零信任安全架构在陆军军医大学第一附属医院的应用.11925、山石网科南京市中医院云数据中心“零信任”建设项目成功案例.1242021 云安全联盟大中华区-版权所有326、九州云腾科技有限公司某知名在线教育企业远程办公零信任解决方案.132四四、关关于于云云安安全全联联盟盟大大中中华华区区.1 13 36 62021 云安全联盟大中华区-版权所有42021 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下:（a）本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。2021 云安全联盟大中华区-版权所有5一、前言零信任这一概念提出到现在已有十一年了。作为新一代的网络安全防护理念，零信任（Zero Trust）坚持“持续验证，永不信任”，基于身份认证和授权重新构建了访问控制的基础。当前，零信任已经从一种安全理念逐步发展成为网络安全关键技术，受到了各国政府的认可。由于传统网络安全模型逐渐失效，零信任安全日益成为新时代下的网络安全的新理念、新架构，甚至已经上升为国家的网络安全战略。2019 年，在工信部发布的关于促进网络安全产业发展的指导意见(征求意见稿)的意见中，“零信任安全”被列入“着力突破网络安全关键技术”之一。同年，中国信通院发布了中国网络安全产业白皮书，报告中指出：“零信任已经从概念走向落地”。国家也首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。我们欣喜地看到，从 2020 年云安全联盟大中华区召开了“十年磨一剑，零信任出鞘”为主题的零信任十周年暨首届零信任峰会，越来越多的 IT 安全厂商投入到了零信任产品的开发和实施中来。从 2021 年 5 月底云安全联盟大中华区征集零信任案例以来，在短短十多天的时间内，我们就收到了 29 家厂商的落地案例，这个速度大大出乎我们的意料，而收集到的案例数量也比去年丰富了不少，可见零信任实践的火爆程度。与2020 年的 9 个方案相比，今年的方案有了 300%的增长。最后基于“讲技术不讲概念，强调落地不空谈方案”的原则，最终筛选了 24 个案例，涉及 9 个行业，涵盖了政企、能源、金融、互联网、医疗等多个行业，充分说明了零信任技术的广泛适用性。在征集案例的过程中，有的客户尽管提供了授权，但不希望自己的公司名出现在案例中。因此，对于这部分客户，我们在案例中进行了匿名处理。NIST 在零信任架构标准白皮书中列举了 3 个技术方案：1)SDP，软件定义边界;2)IAM，身份权限管理;3)MSG，微隔离。从我们收到的案例来看，绝大部分案例都是SDP 的案例，聚焦于远程办公的场景。这可能与新冠疫情带来的办公模式的变化有关，与云安全联盟最早推广 SDP 有关，也与 SDP 的技术复杂度较低有关。MSG 和身份权限管理案例的匮乏一方面说明调整传统网络架构以适应零信任架构充满挑战，仍然有很多工2021 云安全联盟大中华区-版权所有6作要做，另一方面，很多企业虽然接受零信任的理念，但对于系统转换可能的风险持审慎态度，更愿意从边缘系统开始试水。因此，云安全联盟大中华区汇编这本2021 零信任落地案例集，收集各厂商的成功案例及实施过程中的经验教训，一方面是希望给众多厂商和客户以参考，让大家知道零信任离我们并不遥远；另一方面是鼓励更多的企业投入零信任的探索中来，进入零信任的深水区，打造更先进的零信任平台。随着企业数字化转型的深入，传统边界逐渐消失，企业以传统安全防护理念应对安全风险暴露出越来越多问题，而零信任理念为我们提供了新的安全思路。我们希望今后会看到越来越多更具代表性的零信任应用场景和探索涌现出来。2021 零信任落地案例集包含了去年和今年入围的案例。云安全联盟大中华区在今后仍密切关注零信任应用实践并更新这一案例集，我们计划每年都发布一份零信任落地案例集，收录从 2020 年以来不同行业的零信任实践典型案例，供广大从业用户了解这一领域的最新实践，并协助推动零信任技术的发展。感谢案例提供的全体单位，经过多次修改及调整，力争为行业呈现单位最优的解决方案。感谢 CSA 大中华区零信任工作组组长陈本峰、专家姚凯以及研究助理夏营对本次2021 零信任落地案例集汇编的大力支持。如文有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正!联系邮箱：infoc-;云安全联盟 CSA 公众号2021 云安全联盟大中华区-版权所有7二、案例名单序序号号案案例例所所属属行行业业零零信信任任技技术术案案例例用用户户名名称称案案例例提提供供单单位位1政企SDP温州市大数据发展管理局安恒信息2政企SDP某市海事局任子行3政企SDP部委大数据中心（2020 年案例）奇安信4政企IAM某大型集团公司吉大正元5政企SDP中国航空工业集团有限公司格尔软件6政企微隔离招商局集团厦门服云7交通SDP山东港口集团深信服8能源SDP某省电力公司直属单位漠坦尼9能源SDP中国核工业华兴建设有限公司易安联10能源SDP国家电网有限公司某二级直属单位虎符网络11金融SDP某大型商业银行奇安信12金融微隔离中国交通建设股份有限公司蔷薇灵动13金融SDP中国建设银行缔盟云14金融SDP光大银行联软15金融SDP阳光保险集团养老与不动产中心云深互联16互联网SDP贵州白山云科技股份有限公司上海云盾17互联网IAMe 签宝天谷信息18运营商SDP,IAM电信运营商芯盾时代19运营商SDP电信运营商（2020 年案云深互联2021 云安全联盟大中华区-版权所有8例）20运营商IAM中国移动某公司启明星辰21制造业SDP某集团指掌易22制造业SDP美的集团美云智数23制造业SDP某国家高新技术企业36024医疗SDP陆军军医大学第一附属医院数字认证25医疗微隔离南京市中医院山石网科26教育IAM某知名在线教育企业九州云腾2021 云安全联盟大中华区-版权所有9三、具体案例1、安恒信息温州市大数据发展管理局零信任实践案例1 1.1 1 方方案案背背景景温州市大数据发展管理局一直来在以大数据赋能智慧城市、智慧国企、智慧健康等方面走在前列，已建成的一体化智能化公共数据平台为该市下属的委办单位、企业、公众提供良好的大数据业务支撑服务，以数据智能赋能数字经济和民生。十四五规划中，数据相关产业将成为未来中国发展建设的重点部署领域，相关的数据安全也变得更加重要。随着数据开放面逐渐扩大、数据访问量不断增加，温州市大数据发展管理局预见到了开放共享过程中潜在的数据安全防护及溯源问题，例如数据访问无法追溯到最终用户、API 自身脆弱性带来的安全配置错误及注入风险、API 异常高频访问带来的数据暴露风险等，为此温州市大数据局启动了一体化智能化公共数据平台零信任安全防护体系的建设任务，并引入安恒信息作为零信任安全供应商。1 1.2 2 方方案案概概述述和和应应用用场场景景基于零信任的理念，本次方案强调“永不信任、始终确认”，在业务访问的全流程中引入身份认证的能力，对管控的客体对象“用户”、“应用”的身份进行持续校验，并针对防护对象 API 资源，实现“先认证、再授权、再访问”的管控逻辑，通过为公共数据平台构建虚拟身份安全边界，最大程度上收窄公共数据平台的暴露面，保障业务安全开展。2021 云安全联盟大中华区-版权所有10图 1 温州市一体化智能化公共数据平台零信任安全防护体系逻辑架构温州市一体化智能化公共数据平台零信任安全防护体系由以下几个关键组件构成：1 1.统统一一控控制制台台：作为零信任架构中的 PDP，维护用户清单、应用清单及资源清单，集成 SSO 系统，并负责零信任体系内访问控制策略的制定和 API 安全代理的控制。其中用户清单来源于浙江省数字政府 IDaaS、浙政钉等多源用户身份目录的合并，追踪和更新温州全市 12 万余用户信息的变化，所有用户具有唯一标识，用户清单为零信任体系中的 UEBA 行为分析引擎提供信息；应用清单维护所有接入零信任体系的应用系统的身份信息，通过与温州市建设的目录系统联动，实现全网应用身份统一，并为应用生成零信任安全接入工具；资源清单维护所有要保护的客体对象信息（在温州场景下即 API 接口资源），通过手动配置或从流量中分析的方式建立。2 2.A AP PI I 安安全全代代理理：作为零信任架构中的 PEP，以“默认拒绝”的模式接管所有面向公共数据平台的访问请求，针对每条请求进行身份鉴别和权限鉴别，仅放通通过统一控制台验证的合法请求，同时输出其他 API 安全防护能力。3 3.U UE EB BA A 行行为为分分析析引引擎擎：负责采集零信任体系中的用户行为数据，并对用户行为、应用行为进行大数据建模匹配分析，为统一控制台的访问控制策略指定提供输入依据。应商。1 1.3 3 优优势势特特点点和和应应用用价价值值1 1.3 3.1 1 统统一一身身份份、安安全全认认证证统一控制台通过 SSO 系统为政务外网所有的应用系统提供认证门户，接入应用的用2021 云安全联盟大中华区-版权所有11户在通过统一认证的合法性校验后将会生成包含用户、应用身份唯一信息的访问令牌，作为获得后续访问资源的授权凭证之一。统一控制台在认证过程中，通过对接浙政钉体系、短信体系等，提供多因子认证手段，并通过门户获取登录环境信息，综合判定用户身份，并在发生异常访问事件时对用户登录进行快速处置。1 1.3 3.2 2 收收缩缩资资源源暴暴露露面面API 安全代理逻辑串行在公共数据平台的访问通道上，默认拒绝所有请求。统一控制台为注册应用生成访问工具，实现只有集成了访问工具的应用系统服务器可以建立安全连接，同时在应用层叠加用户身份凭证的验证，实现只有授信用户、通过授信应用服务器才能够访问 API 资源，极大强化了公共数据平台对抗潜在的扫描攻击等威胁的能力。1 1.3 3.3 3 全全流流量量加加密密API 安全代理为所有访问公共数据平台的请求加载 TLS 加密通道，保障流量在通道上的安全加密、防篡改。1 1.3 3.4 4 用用户户及及 A AP PI I 调调用用行行为为分分析析API 安全管控系统支持对 API 访问过程中产生的访问日志进行智能分析，并发现潜在的违规调用行为。统一控制台支持按场景扩展异常行为特征匹配规则，根据用户、应用、IP、入参、出参等完整的 API 请求日志信息，帮助安全团队发现凭证共享、疑似拖库、暴力破解等行为。1 1.3 3.5 5 A AP PI I 敏敏感感信信息息监监控控及及溯溯源源为调用方发起的所有访问请求形成日志记录，记录包括但不限于调用方（用户、应用）身份、IP、访问接口、时间、返回字段等信息，并向统一管控平台上报。API 安全管控系统将按配置对 API 返回数据中的字段名、字段值进行自动分析，发现字段中包含的潜在敏感信息并标记，帮助安全团队掌握潜在敏感接口分布情况。2021 云安全联盟大中华区-版权所有121 1.4 4 经经验验总总结结项目的实施准备阶段，交付团队首先在统一控制台上拉通多方身份及认证体系、注册一体化智能化公共数据平台服务，准备好零信任安全防护体系的上线和基础。在该阶段，需要注意对多方身份目录的梳理，涉及到多方用户信息整合的，需要提前获取各方所提供的数据同步文档、接口文档，确认同步方案，以确保用户信息能够及时同步、保持一致。搭建好基础架构后，统一控制台即对应用系统开放单点登录及访问工具集成能力，优先选择了开发中的和新上线的业务系统进行单点登录对接，并将 SSO 能力形成标准文档，作为后续政务外网应用开发、接入一体化智能化公共数据平台服务前的必选项之一。需要尤其注意的是在现有的访问体系下，如何向新的安全访问控制体系迁移。因此项目组在一体化智能化公共数据平台侧，对接口的访问迁移也采用分步骤的方式。在项目实施前期阶段，公共数据平台上已有接口并没有做强制的访问策略切换，只针对新上线的接口，在公共数据平台上启用源 IP 白名单，只接收 API 安全代理转发来的请求；同时，由 API 安全代理兼容公共数据平台的认证能力，不再向新上线的应用提供公共数据平台自身的认证凭证，使其必须通过 API 安全管控系统访问，完成遗留的通道切换后，再处理网络策略的连通性。另外，在运维流程上实现资源目录的统一管理运维，对后期维护来说也非常重要，一次项目组通过将温州市用户统一登录中心（统一控制台）对接温州市资源目录系统，打通新应用接入的标准化流程，实现业务资源的统一运维。在访问过程中，统一控制台收集 API 安全代理上报的日志，对 API 的访问频度、调用方分布、异常行为、API 敏感数据进行分析和展示，根据分析结果、API 重要程度逐渐进行白名单策略的切换。2021 云安全联盟大中华区-版权所有132、任子行零信任安全防护解决方案护航海事局移动/远程办公安全2 2.1 1 方方案案背背景景2 2.1 1.1 1 用用户户需需求求及及方方案案必必要要性性随着网络技术在海事业务如船舶驾驶控制、货物装卸、推进系统、旅客管理、通信系统等方面的应用不断提升，越来越多的对外信息交互，使海事业务遭受网络威胁的隐患也不断加剧，这些潜在的威胁可能导致有关的操作、安全或安保系统的破坏或信息的泄露。网络安全是某海事局开展海事安全管理体系建设中的重要组成部分，自公安部2018 年组织国家级的网络攻防实战演练以来，某海事局作为实战检验的重点单位，其信息交互、网络环境、信息设备系统等复杂性对网络安全综合防御能力提出重要挑战。同时，网络安全将是 2021 年符合证明（DOC）年度审核的一个重点领域，迫切需要建立由内到外的安全架构体系，保障海事业务信息系统安全稳定运行，满足移动办公、审批、执法等应用场景需求。2 2.2 2 方方案案概概述述和和应应用用场场景景2 2.2 2.1 1 用用户户需需求求与与解解决决方方案案用户存在的安全需求总结如下：1.系统直接暴露在互联网上，导致攻击目标明确，采用 VPN 存在漏洞和连接终端使用不顺畅问题；2.存在来自于互联网的肉鸡恶意扫描、恶意攻击；3.用户在互联网上注册时使用简单好记密码或多个业务使用统一密码，导致访问主体的身份安全无法保障；2021 云安全联盟大中华区-版权所有144.系统和应用程序的漏洞属于致命威胁。任子行结合海事局的实际需求与面临的挑战，助力海事局建立综合防御能力更强的网络安全体系，具体实施方案如下：1.建立统一工作台，多业务系统统一门户，在解决业务访问主体身份安全问题的同时实现单点登录；2.采用细腻动态的访问控制策略，弱化内网安全事件发生的风险，仅允许合法的请求和合法的客户端访问业务系统，拒绝非法请求，屏蔽非法流量的攻击；3.业务系统隐身，同时隐藏程序漏洞，将企业内网应用暴露的攻击面降到最低；4.持续的安全信任评估，及时发现用户的异常登录和异常访问行为。2 2.2 2.2 2 用用户户使使用用部部门门及及规规模模安全监督科、工会、组织人事科、办公室等 12 个科室。（基于信息安全需求，此处不一一列举）2021 云安全联盟大中华区-版权所有15图 1 方案架构示意图2 2.3 3 优优势势特特点点和和应应用用价价值值任子行智行零信任远程接入安全防护解决方案，采用 SDP 的技术架构，以安全浏览器的方式将认证客户端与 Web 应用访问工具相结合，在实践零信任核心安全理念的同时为用户带来了方便快捷的使用体验。这种“轻量级”的实施方案，有助于企业快速落地零信任安全模型，使得零信任访问控制系统成为企业安全防护架构中最基础的防护设施。2 2.3 3.1 1 技技术术优优势势1 1.基基于于七七层层应应用用隧隧道道技技术术，可可完完美美替替换换传传统统 V VP PN N1）覆盖的安全能力更全面，理念更先进，拥有更强的身份认证和细粒度访问控制能力。2）适用场景更多，不局限于网络远程访问，企业内网零信任安全访问也可以做到。3）因只需要通过浏览器快速发布，则可实现快速扩容，对网络链路质量要求没有VPN 严格。2 2、让让企企业业应应用用彻彻底底“隐隐身身”，将将攻攻击击暴暴露露面面降降至至最最低低1）零信任网关可以将企业内网所有核心资产和业务“隐藏”起来。2）只有通过专用安全浏览器才能够与零信任网关建立通信隧道，并进而访问到受保护的业务。3 3、采采用用“零零信信任任”理理念念，对对用用户户动动态态按按需需授授权权和和动动态态调调整整权权限限1）任何用户都必须先进行认证后再接入，对于接入的授权用户，根据最小权限原则只允许用户访问其允许访问的业务系统。2）除了应用的维度之外，还可以对用户的访问设备、访问位置、访问时间等维度进行安全限制。3）系统可为不同用户配置不同的安全策略，并且基于来自终端环境、身份信息、审计日志等多源数据建立用户的信任模型，对用户的访问风险进行实时评估，根据结果2021 云安全联盟大中华区-版权所有16动态调整其安全策略。2 2.3 3.2 2 应应用用效效果果将零信任身份安全能力内嵌入业务应用体系，构建全场景身份安全便捷，升级企业安全架构。其主要价值交付有：1 1.信信息息安安全全加加强强身份管理体系作为信息安全加强的重要举措，可有效保障公司机密及业务数据的安全使用，保护其信息资产不受勒索软件、犯罪黑客行为、网络钓鱼和其他恶意软件攻击的威胁，加强内部人员规范管理；平均减少了 31%的重复身份。2 2.业业务务流流程程风风险险控控制制业务流程风险控制作为管理核心，身份治理体系可加强内外部相关人员访问的硬件设备及业务系统进行集中管控，同时从管理制度、合规性、审计要求进行内部风险控制；通过自动化的账号创建、变更、回收及重复密码工作，提升 IT 部门 91%的运维效率。3 3.提提高高企企业业生生产产力力为有效满足信息系统对业务的快捷响应能力，减少保护用户凭证和访问权限的复杂性及开销，打造一套标准化、规范化、敏捷度高的身份管理平台成为经营发展的基础保障，可极大提高企业生产力。通过集中的用户管理模块，访问认证模块及合规审计模块的统一建设，有效减少 88%的信息化重复投入。4 4.降降低低运运营营成成本本实现身份管理和相关最佳实践，可以多种形式带来重大竞争优势。大多数公司需要为外部用户赋予到内部系统的访问权限。向客户、合作伙伴、供应商、承包商和雇员开放业务融合，可提升效率，降低运营成本。用户从打开网页到登录进系统的访问时间，通过统一认证与 SSO，提升 73%的用户访问效率。2 2.4 4 经经验验总总结结项目实施过程中，零信任团队面临客户环境多样性、网络复杂性等多方面挑战。零信任产品上线可在不破坏原有客户环境的情况下进行，因此需要对客户外接设备进行逐2021 云安全联盟大中华区-版权所有17一对接，对客户网络环境进行深度适配。对接流程规范化、对接接口标准化是任子行零信任产品后续提升的必经之路。3、奇安信：零信任安全解决方案在部委大数据中心的实践案例奇安信零信任安全解决方案，基于以身份为基石、业务安全访问、持续信任评估和动态访问控制四大核心特性，有效解决用户访问应用，服务之间的 API 调用等业务场景的安全访问问题，是适用于云计算、大数据等新业务场景下的新一代动态可信访问控制体系。解决方案已经在部委级客户、能源企业、金融行业等进行正式的部署建设或 POC试点。下面以某部委大数据中心安全保障体系为例进行阐述。3 3.1 1 方方案案背背景景1.数据集中导致安全风险增加，大数据中心的建设实现了数据的集中存储与融合，促进了数据统一管理和价值挖掘；但同时大数据的集中意味着风险的集中，数据更容易成为被攻击的目标。2.基于边界的安全措施难以应对高级安全威胁现有安全防护技术手段大多基于传统的网络边界防御方式，假定处于网络内的设备和用户都被信任，这种传统架构缺乏对访问用户的持续认证和授权控制，无法有效应对愈演愈烈的内部和外部威胁。3.静态的访问控制规则难以应对数据动态流动场景大数据中心在满足不同的用户访问需求时，将面临各种复杂的安全问题：访问请求可能来自于不同的部门或者组织外部人员，难以确保其身份可信；访问人员可能随时随地在不同的终端设备上发起访问，难以有效保障访问终端的设备可信；访问过程中，难以有效度量访问过程中可能发生的风险行为并进行持续信任评估，并根据信任程度动态调整访问权限。如上安全挑战难以通过现有的静态安全措施和访问控制策略来缓解。2021 云安全联盟大中华区-版权所有18图 1 大数据中心安全场景为应对上述安全挑战，基于零信任架构构建安全接入区，在用户、外部应用和大数据中心应用、服务之间构建动态可信访问控制机制，确保用户访问应用、服务之间 API调用的安全可信，保障大数据中心的数据资产安全。3 3.2 2 部部署署方方案案奇安信零信任安全解决方案应用于某部委的整体安全规划与建设之中，在新建大数据共享业务平台的场景下，访问场景和人员复杂，数据敏感度高。基于零信任架构设计，数据子网不再暴露物理网络边界，建设跨网安全访问控制区隐藏业务应用和数据。解决方案通过构建零信任安全接入区，所有用户接入、终端接入、API 调用都通过安全接入区访问内部业务系统，同时实现了内外部人员对于部委内部应用以及外部应用或数据服务平台对于部委数据中心 API 服务的安全接入，并且可根据访问主体实现细粒度的访问授权，在访问过程中，可基于用户环境的风险状态进行动态授权调整，以持续保障数据访问的安全性。2021 云安全联盟大中华区-版权所有19图 2 奇安信零信任安全解决方案部署图3 3.3 3 优优势势特特点点和和应应用用价价值值目前奇安信零信任安全解决方案在某部委大数据中心已经大规模稳定运行超过半年，通过零信任安全接入区，覆盖应用达到 60 多个，用户终端超过 1 万，每天的应用访问次数超过 200 万次，每天的数据流量超过 600G，有效保证了相关大型组织对大数据中心的安全。奇安信零信任安全解决方案，能够帮助客户实现终端的环境感知、业务的访问控制与动态授权与鉴权，确保业务安全访问，最终实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构，构建组织的“内生安全”能力，极大地收缩暴露面，有效缓解外部攻击和内部威胁，为数字化转型奠定安全根基。注：本案例为 2020 年案例4、吉大正元某大型集团公司零信任实践案例4.1 方案背景随着信息化技术不断发展，企业智慧化、数字化理念的不断深化已经深入各个领域，云计算、大数据、物联网、移动互联、人工智能等新兴技术为客户的信息化发展及现代化建设带来了新的生产力，但同时也给信息安全带来了新挑战。企业急需一套安全、可信、合规的立体化纵深防御体系，确保访问全程可知、可控、可管、可查，变静态为动态，变被动为主动，为信息化安全建设提供严密安全保障。客户已经建立了自己的内部业务访问平台，通过部署边界安全等实现了一定程度的安全访问。但是，随着业务访问场景的多样化和攻击手段的升级，当前的安全机制存在一些局限性，需要进行升级改造。其中的主要问题如下：1 1.传传统统安安全全边边界界瓦瓦解解传统安全模型，仅仅关注组织边界的网络安全防护，认为外部网络不可信，内部网络是可以信任的，企业内部信息化已不再是传统 PC 端，各种设备可随时随地进行企业2021 云安全联盟大中华区-版权所有20数据访问提高了企业运行效率，同时也带来更多安全风险。2 2.外外部部风风险险暴暴露露面面不不断断增增加加企业数据不再仅限于内部自有使用或存储，随着云计算、大数据的发展，数据信息云化存储、数据遍地走的场景愈加普遍，如何保证在数据信息被有效、充分利用同时，确保数据使用及流转的安全、授信是一大难题。3 3.企企业业人人员员和和设设备备多多样样性性增增加加企业员工、外包人员、合作伙伴等多种人员类型，在使用企业内部管理设备、家用PC、个人移动终端等，从任何时间、任何地点远程访问业务。各种访问人员的身份和权限管理混乱，弱密码屡禁不止；接入设备的安全性参差不齐，接入程序漏洞无法避免等，带来极大风险。4 4.数数据据泄泄露露和和滥滥用用风风险险增增加加在远程办公过程中，企业的业务数据在不同的人员、设备、系统之间频繁流动，原本只能存放于企业数据中心的数据也不得不面临在员工个人终端留存的问题。数据的在未经身份验证的设备间流动，增加了数据泄露的危险，同时也将对企业数据的机密性造成威胁。5 5.内内部部员员工工对对数数据据的的恶恶意意窃窃取取在非授权访问、员工无意犯错等情况下，“合法用户”非法访问特定的业务和数据资源后，造成数据中心内部数据泄露，甚至可能发生内部员工获取管理员权限，导致更大范围、更高级别的数据中心灾难性事故。4 4.2 2 方方案案概概括括和和应应用用场场景景4 4.2 2.1 1 实实施施范范围围实施范围为集团总部及各个二级单位的国内员工、国外员工及供应商外协人员共计4.5 万人。4 4.2 2.2 2 实实施施内内容容基于客户现有安全访问能力以及其面临的安全挑战，我们决定为用户建设以下几个2021 云安全联盟大中华区-版权所有21层面的安全机制：1 1.将将身身份份作作为为访访问问控控制制的的基基础础身份作为访问控制的基础，为所有对象赋予数字身份，基于身份而非网络位置来构建访问控制体系。2 2.最最小小权权限限原原则则强调资源的使用按需分配，仅授予其所需的最小权限。同时限制了资源的可见性。默认情况下，资源对未经认证的访问发起方不可见。3 3.实实时时计计算算访访问问策策略略访问策略决策依据包括：访问发起方的身份信息、环境信息、当前访问发起方信任等级等，通过将这些信息进行实时计算形成访问策略。一旦决策依据发生变化，将重新进行计算分析，必要时即使变更访问策略。4 4.资资源源安安全全访访问问默认网络互联环境是不安全的，要求所有访问链必须加密。可信访问网关提供国密安全代理能力，保障访问过程中的机密性。5 5.基基于于多多源源数数据据进进行行信信任任等等级级持持续续评评估估访问发起方信任等级是零信任授权决策判断的重要依据。访问发起方信任等级根据多源信任信息实时计算得出。6 6.动动态态控控制制机机制制当访问发起方信任等级发生变化后，策略执行引擎将向各个策略执行点进行策略下发。再由各策略点执行控制动作。2021 云安全联盟大中华区-版权所有224 4.2 2.3 3 总总体体架架构构图 1 零信任总体架构图1 1.动动态态访访问问控控制制体体系系动态访问控制体系主要负责管理参与访问的实体身份管理、风险威胁的采集，以及动态访问控制策略的定义及计算，动态访问控制的主要产品组件如下：1 1）I IA AM M作为动态访问控制的基础，为零信任提供身份管理、身份认证、细粒度授权及行为感知能力。身份管理及认证能力：身份管理服务对网络、设备、应用、用户等所有对象赋予数字身份，为基于身份来构建访问控制体系提供数据基础。认证服务构建业务场景自适应的多因子组合认证服务。实现应用访问的单点登录。细粒度权限管理能力：权限服务基于应用资源实现分类分级的权限管理与发布。实现资源按需分配使用,为应用资源访问提供细粒度的权限控制。2 2）安安全全控控制制中中心心作为策略管理中心：负责管理动态访问控制规则。作为策略执行引擎：负责基于多数据源持续评估用户信任等级，并根据用户信任等级与访问资源的敏感程度进行动态访问控制策略匹配，最后将匹配到的结果下发到各个策略执行点。3 3）用用户户实实体体行行为为感感知知通过日志或网络流量对用户的行为是否存在威胁进行分析，为评估用户信任等级提2021 云安全联盟大中华区-版权所有23供行为层面的数据支撑。4 4）终终端端环环境境感感知知对终端环境进行持续的风险评估和保护。当终端发生威胁时，及时上报给安全策略中心，为用户终端环境评估提供数据依据。5 5）网网络络流流量量感感知知实现全网的整体安全防护体系，利用威胁情报追溯威胁行为轨迹，从源头解决网络威胁；威胁情报告警向安全控制中心输出，为安全控制中心基于多源数据进行持续信任评估提供支撑。6 6）可可信信访访问问网网关关代理服务是可信架构的数据平面组件，是确保业务访问安全的关口，为零信任提供支持建立国密算法与 RSA 算法的安全通路，基于动态安全，制的会话阻断移动终端与客户端登录均通过安全通道访问服务。2 2.策策略略执执行行点点主要负责执行由安全控制中心下发的动态访问控制策略，避免企业资源遭到更大的威胁。主要包括以下动态访问控制能力：1 1）二二次次认认证证当用户信任等级降低时，需要使用更加安全的认证进行认证，确保是本人操作。效果：当用户信任等级降低时，需要使用生物识别技术和数字证书技术组合的方式才能完成认证。2 2）限限制制访访问问当用户信任等级降低时，限制其能访问的企业资源，避免企业敏感资源对外暴露的风险。效果：当用户信任等级降低时，通过动态权限的变化，使其不能访问到企业敏感资源。3 3）会会话话熔熔断断当用户访问过程中信任等级降低时，立即阻断当前会话。最大程度上降低企业资源受到威胁的时间。效果：当用户下载文件时，如果信任等级降低，会导致下载失败。4 4)身身份份失失效效当用户信任等级过低时，为避免其进行更多的威胁活动。将其身份状态改为失效。2021 云安全联盟大中华区-版权所有24效果：身份失效后，不能访问任何应用。5 5)终终端端隔隔离离当终端产生严重威胁时，对被隔离的终端进行网络层面上的隔离，效果：被隔离后断网；3 3.密密码码支支撑撑服服务务密码支撑服务为零信任提供底层的密码能力，负责保障所有访问的机密行和完整性。4 4.2 2.4 4 逻逻辑辑架架构构图 2安全控制中心基于访问发起者的身份及终端环境、实体行为、网络态势等多源数据，实时计算信任等级，并将信任等级与安全策略自动匹配，决定最终访问方式。与云计算平台（公有云/私有云/混合云）结合保护企业资源2021 云安全联盟大中华区-版权所有25图 3为客户构建动态的虚拟身份边界，解决内部人员访问、外部人员访问、外部应用访问、外部数据平台问安全问题。4 4.2 2.5 5 远远程程办办公公客户远程办公主要包含以下几条路径：1 1.用用户户直直接接访访路路径径通过零信任方案的落地，实现了国内外用户多网络位置、多种访问通道、多种脱敏方式的自适应无感安全访问流程。图 42 2.V VP PN N 访访问问路路径径将原有 VPN 访问场景迁移到用户直接访问。导致用户下定决心进行前的迁移的主要原因如下：1 1）安安全全问问题题VPN 是为了解决连接的问题而设计的，其架构本身没有考虑资源安全问题。通过 VPN链接，与资源在同一网络后，资源就面临直接暴露的风险。2 2）权权限限控控制制问问题题传统 VPN 在鉴定用户身份后即开放相应权限，缺乏整体的安全管控分析能力，容易受到弱口令、凭证丢失等方式的安全威胁。2021 云安全联盟大中华区-版权所有263 3）部部署署问问题题VPN 的部署一般需要考虑网络的拓扑结构，升级往往要做设备替换，因为是网络层的应用因而客户端侧容易出现各种连接不上的问题，需要管理员投入大量精力。迁移后效果：4 4）安安全全问问题题零信任架构是基于安全设计的，其设计的目的就是解决应用访问的安全，具备减少应用暴露面积的能力，这样黑客就很难找到攻击点。5 5）权权限限控控制制问问题题零信任在每次对用户认证时会进行动态访问控制，动态访问内容包括：动态认证控制，动态权限控制和动态阻断控制。以信任评估等级决策授权内容。6 6）部部署署问问题题可信上云的部署不需要改变现网结构，同时可以随时根据需要，通过增加设备或虚拟机弹性扩容。大大减少管理员的人工成本。4 4.2 2.6 6 云云桌桌面面访访问问路路径径将用户的云桌面作为一个特殊的 CS 应用与零信任进行对接，对接后使云桌面访问路径得到了更强的安全保护。改造后具备了单点登录、动态认证，实时阻断能力，并使用国密算法进行通道保护。4 4.2 2.7 7 特特权权账账号号集中管理所有特权帐户，提供密码托管服务、动态访问控制和特权账号发现等能力。管理范围包括：操作系统特权账号、网络设备特权账号、应用系统特权账号等。4 4.3 3 优优势势特特点点和和应应用用价价值值本方案与同类方案相比的主要优势在于：能够根据客体资源（应用、服务等）的敏感程度，对客体进行分级管理，降低应用改造难度；建立细粒度动态访问控制机制；支持国密与 RSA 通道自适应。2021 云安全联盟大中华区-版权所有274 4.4 4 经经验验总总结结零信任项目不是交钥匙工程。除了有好的方案与好的产品做支撑外，还需要对客户的访问方式方法、进行全面而细致的调研，紧密结合用户应用场景不断的迭代零信任动态访问控制策略，才能最大程度上兼顾安全与易用性。5、格尔软件航空工业商网零信任安全最佳实践5 5.1 1 方方案案背背景景中国航空工业集团有限公司（简称“航空工业”）是由中央管理的国有特大型企业，是国家授权的投资机构，于 2008 年 11 月 6 日由原中国航空工业第一、第二集团公司重组整合而成立。集团公司下辖百余家成员单位及上市公司，员工逾 40 万人。2019 年，航空工业深入贯彻落实习总书记关于网络安全和信息化工作的系列重要讲话精神，推动集团内部各成员单位之间的办公协同和数字化转型，建设了覆盖全集团所有成员单位的商密网移动办公平台。平台使用阿里专有云架构建设，企业 OA、邮件、即时通、招采平台等内部应用业务系统相继上云，促进跨地区、跨部门、跨层级的数据资源共享和业务协同。随着移动办公和业务系统的逐渐云化，商网的业务架构和网络环境随之发生了重大的变化，访问主体和接入场景的多样化、网络边界的模糊化、访问策略的精准化等都对传统基于边界防护的网络安全架构提出了新的挑战。目前在商网移动办公安全架构中存在的问题主要包括：个人移动办公终端从注册、使用到删除的设备全生命周期难掌控，移动办公终端中的运行环境监控、恶意应用安装和数据保护难管理；使用移动办公终端的人员身份冒用和越权访问难预防；现有的移动终端一次性认证通过后即取得了安全系统的默认信任，而移动终端的运行环境是随时可能发生变化的，第三方恶意应用系统的安装和病毒感染随时可能造成正在访问的敏感数据被窃取；业务系统采用云化部署，以容器化和 API 化提供服务，但对 API 接口和服务的访问防护仍停留在访问认证层面，尚无对 API 和服务调用进行权