零信任实践.从远程办公开始

联软与零信任网络访问 ~2004 网络访问控制 (NAC)架构 2004 Jericho Forum 去网络边界化,限制基于网络的隐式授权 2010 Forrester提出 “Zero Trust”概 念 2014 Google发布 “BeyondCorp” 2017 O’Reily出版 <Zero Trust Networks> 2019 NIST SP 800-207 Draft 2004 中国最早的NAC厂商 2012 基于终端代理的进程级 网络访问授权 2011 基于角色的场景化 动态最小授权 2013 EMM 可信接入代理 人员、设备、应用 分层独立授权 2015 无口令战略 PC 移动智能设备联动 2017 基于零信任架构的SDP 产品 2019 UEM统一端点管理战略2020 华为、安恒零信任生态 SDP+UEM的软件定义 访问战略 美国国家标准与技术研究院 发布SP800-207: Zero Trust Architecture 草案第二版本。 2020年: 构建可控的互联世界 构建可控的互联世界 联软一直致力于推动零信任的发展 今年,CSA大中华区率先在国内推出零信任专家 认证CZTP,CZTP是零信任领域首个面向个人的 安全认证。 官方授予联软:种子讲师 一名,认证讲师 两名。 入选 《CCSIP 2020中国网络安全产业全景图》 标准的制定与赋能 大量客户实践 构建可控的互联世界 构建可控的互联世界 NIST NCCoE 《实现零信任架构》草案版 (2020年3月发布) NIST NCCoE 《实现零信任架构》正式版 (2020年10月发布) 零信任最新变化:从理念走向落地 构建可控的互联世界 构建可控的互联世界 零信任主要落地方向与产品 构建可控的互联世界 SDP 与 零信任 Gartner:ZTNA=SDP NIST:SDP作为ZTA推荐实现方案 CSA:SDP是零信任的最高级实现方案 构建可控的互联世界 构建可控的互联世界 技术层面 ? 代理程序支持哪些操作系统 ? 是否支持SPA ? 是否集成UEM,对设备进行安全状态评估 ? 是否集成UEM作为数据采集,集成UEBA 进行上下文分析,进行持续信任评估 以上来自Gartner 2020 ZTNA市场指南 ROI层面 ? 是否可以解决已存在的安全现实问题和 发现未知的安全威胁? ? 是否可以在未来一定时间范围为信息化 系统的发展持续提供安全保障? ? 是否可以顺畅对接现有安全投资,在此 基础上还需要多大的持续安全投入? ? 是否可以满足上级机构和国家对于信息 化系统的安全检查要求? 实施层面 整体规划、分步建设、逐步验证 ? 以终为始确定愿景 ? 根据业务重要程度及风险影响进行优先 级排序 ? 优先在新场景中验证 零信任架构增强 ? 现有的NAC/EPP/AV/EDR/SIEM/威胁情 报等安全建设对零信任起到增强的作用 ? 要充分考虑集成和融合 以上来自中国信通院 企业评估ZTNA(SDP)从哪些方面来考虑 构建可控的互联世界 构建可控的互联世界 联软SDP产品架构 加密隧道 控制平面 数据平面 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 可信API代理 个人/企业设备 业 务 访 问 CRM OA 邮件 业务C 业务A 业务B 私有云 公有云 数据中心 外部应用 接口调用个人计算环境 多域安全沙箱 本地磁盘 多域安全沙箱 可信接入代理 UEBA 威胁情报 SIEM IAM 态势感知 资产管理 安全应用 个人应用 可信接入代理 SPA1 计算环境 物理环境威胁 环 境 感 知 全面身份化 基线 行为 持续信任评估 基线 应用 设备 人员 234 数据安全组件 端点安全组件 安全分析组件 身份与访问管理组件 构建可控的互联世界 SPA SPA 非法终端 SPA验证通过 控制器开放TCP端口 控制器不做回应 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 个人计算环境 安全计算环境 本地磁盘 安全计算环境 默认不相信任何连接,对核心资 产进行隐藏: ? 满足最小授权 ? 缓解对核心资产的扫描探测 ? 缓解DDos攻击 ? 缓解漏洞利用 ? 缓解非法爬取价值 安全应用 个人应用 1 合法报文 构建可控的互联世界 全面身份化 SPA 身份人员身份 账号密码 多因素 生物特征 员工状态 验证正确 扫码登录 指纹在职 设备归属 设备os 设备标识 软件标识 BYOD Windows 硬件ID 助手ID 证书校验 安全版本 通过通过 设备身份 应用身份 控制平面 数据平面 临时、动态身份标识 安全分析引擎 身份管理与 访问控制 信任评估引擎 UEM 构建可控的互联世界 环境感知 SPA 物理位置 曾经登陆 登陆时间 上海是正常 普通环境

  • 2021-06-22
  • 阅读145
  • 下载0
  • 32页
  • pdf

基础安全建设思考

李骁 aka 与非 ? bilibili - 基础安全建设 ? PINGAN Tech - 移动安全/SOC产品建设 ? Ctrip - 安全架构/反爬虫 基础安全scope ? 网络区域 1. 办公/职场 2. IDC(自建/租借) 3. 公有云 ? 技术领域 1. 终端安全(PC/Server) 2. 系统/中间件安全 3. 网络安全 4. 数据安全 ? 聚焦工作 1. 安全产品研发/运营 2. 应急响应 3. 专项治理 4. 红蓝对抗 ? 负责产品 1. 办公终端:网络准入、防病毒 2. 服务器:HIDS、蜜罐、容器安全、漏扫 3. 网络:IDS、WAF 概要 ? 0x01. 企业面临的变局与乱局 一. 变局:业务快速变化 二. 变局:技术更新迭代 三. 乱局:攻击从未停歇 ? 0x02. 基础安全建设历程 一.安全基线 二.安全产品 三.感知左移 四.红蓝对抗 ? 0x03. 思考与展望 0x01. 企业面临的变局与乱局 变局:业务快速变化 1.30 1.72 1.72 1.97 2.02 0 0.7 1.4 2.1 2.8 2019Q4 2020Q1 2020Q2 2020Q3 2020Q4 月活用户(亿) ? 用户量增长 ? 新的组织架构 / 业务部分 / 收购公司 ? 大潮退去,不再迭代也不下线的业务 ? 出海业务,合规、技术挑战 变局:技术更新迭代 ? 业务快速变化 -> 技术革新 -> 颠覆固有安全策略 ? 提升服务器利用率,推行容器化 HIDS不香了:如何监控容器内部行为? 传统的防火墙ACL怎么管理? ? 资源节省,推行gRPC(电池/流量/带宽/高性能) nginx -> envoy 基于 lua-nginx-module / Openresty 的WAF完全废弃 考虑故障降级到1.X的方案 ? 新的异地职场、疫情影响下的居家办公 VPN -> Zero Trust 员工体验优化、安全验证策略的挑战 乱局:攻击从未停歇 ? BORG —— 一个快速进化的僵尸网络 ? 2020年12月28日,腾讯宙斯盾首次捕获了该僵尸网络针对Docker的攻击 ? 利用kubelet API未授权访问RCE,具备内网扫描、传播能力 ? 2021年1月统计算力23KH/s,相当于1300+台i5 2300机器的挖矿算力 ? 2021年3月统计算力96KH/s,相当于5400+台i5 2300机器的挖矿算力 ? 2个月,4倍增长

  • 2021-06-22
  • 阅读145
  • 下载0
  • 19页
  • pdf