2021零信任落地案例集

26、九州云腾科技有限公司某知名在线教育企业远程办公零信任解决方案..........................133 四、关于云安全联盟大中华区.....................................................................................................136 3 © 2021云安全联盟大中华区-版权所有 4 © 2021云安全联盟大中华区-版权所有 @2021云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展 示、查看、打印及，或者访问云安全联盟大中华区官网（https://www.c-）。须 遵守以下:（a）本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改;(c) 本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权 法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 5 © 2021云安全联盟大中华区-版权所有 一、前 言 零信任这一概念提出到现在已有十一年了。作为新一代的网络安全防护理念，零信 任（ZeroTrust）坚持“持续验证，永不信任”，基于身份认证和授权重新构建了访问 控制的基础。 当前，零信任已经从一种安全理念逐步发展成为网络安全关键技术，受到了各国政 府的认可。 由于传统网络安全模型逐渐失效，零信任安全日益成为新时代下的网络安全的新理 念、新架构，甚至已经上升为国家的网络安全战略。2019年，在工信部发布的《关于 促进网络安全产业发展的指导意见(征求意见稿)》的意见中，“零信任安全”被列入 “着力突破网络安全关键技术”之一。同年，中国信通院发布了《中国网络安全产业白 皮书》，报告中指出：“零信任已经从概念走向落地”。国家也首次将零信任安全技术和 5G、云安全等并列列为我国网络安全重点细分领域技术。 我们欣喜地看到，从2020年云安全联盟大中华区召开了“十年磨一剑，零信任出 鞘”为主题的零信任十周年暨首届零信任峰会，越来越多的IT安全厂商投入到了零信 任产品的开发和实施中来。从2021年5月底云安全联盟大中华区征集零信任案例以来， 在短短十多天的时间内，我们就收到了29家厂商的落地案例，这个速度大大出乎我们 的意料，而收集到的案例数量也比去年丰富了不少，可见零信任实践的火爆程度。与 2020年的9个方案相比，今年的方案有了300%的增长。最后基于“讲技术不讲概念， 强调落地不空谈方案”的原则，最终筛选了24个案例，涉及9个行业，涵盖了政企、 能源、金融、互联网、医疗等多个行业，充分说明了零信任技术的广泛适用性。在征集 案例的过程中，有的客户尽管提供了授权，但不希望自己的公司名出现在案例中。因此， 对于这部分客户，我们在案例中进行了匿名处理。 NIST在《零信任架构标准》白皮书中列举了3个技术方案：1)SDP，软件定义边 界;2)IAM，身份权限管理;3)MSG，微隔离。从我们收到的案例来看，绝大部分案例都是 SDP的案例，聚焦于远程办公的场景。这可能与新冠疫情带来的办公模式的变化有关， 与云安全联盟最早推广SDP有关，也与SDP的技术复杂度较低有关。MSG和身份权限管 理案例的匮乏一方面说明调整传统网络架构以适应零信任架构充满挑战，仍然有很多工 6 © 2021云安全联盟大中华区-版权所有 作要做，另一方面，很多企业虽然接受零信任的理念，但对于系统转换可能的风险持审 慎态度，更愿意从边缘系统开始试水。 因此，云安全联盟大中华区汇编这本《2021零信任落地案例集》，收集各厂商的成 功案例及实施过程中的经验教训，一方面是希望给众多厂商和客户以参考，让大家知道 零信任离我们并不遥远；另一方面是鼓励更多的企业投入零信任的探索中来，进入零信 任的深水区，打造更先进的零信任平台。 随着企业数字化转型的深入，传统边界逐渐消失，企业以传统安全防护理念应对安 全风险暴露出越来越多问题，而零信任理念为我们提供了新的安全思路。我们希望今后 会看到越来越多更具代表性的零信任应用场景和探索涌现出来。 《2021零信任落地案例集》包含了去年和今年入围的案例。云安全联盟大中华区 在今后仍密切关注零信任应用实践并更新这一案例集，我们计划每年都发布一份《零信 任落地案例集》，收录从2020年以来不同行业的零信任实践典型案例，供广大从业用户 了解这一领域的最新实践，并协助推动零信任技术的发展。 感谢案例提供的全体单位，经过多次修改及调整，力争为行业呈现单位最优的解决 方案。 感谢CSA大中华区零信任工作组组长陈本峰、专家姚凯以及研究助理夏营对本次 《2021零信任落地案例集》汇编的大力支持。 如文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱： info@c-;云安全联盟CSA公众号 7 © 2021云安全联盟大中华区-版权所有 二、案例名单 案例所 序号 零信任技术 案例用户名称 案例提供单位 属行业 温州市大数据发展管理 局 1 2 3 4 5 政企 SDP SDP SDP IAM SDP 安恒信息 任子行 政企 政企 政企 政企 某市海事局 部委大数据中心（2020年 案例） 奇安信 某大型集团公司 吉大正元 格尔软件 中国航空工业集团有限 公司 6 7 8 政企 交通 能源 微隔离 SDP 招商局集团 山东港口集团 厦门服云 深信服 SDP 某省电力公司直属单位 漠坦尼 中国核工业华兴建设有 限公司 9 能源 SDP 易安联 国家电网有限公司某二 级直属单位 10 11 12 能源 金融 金融 SDP SDP 虎符网络 奇安信 某大型商业银行 中国交通建设股份有限 公司 微隔离 蔷薇灵动 13 14 金融 金融 SDP SDP 中国建设银行 光大银行 缔盟云 联软 阳光保险集团养老与不 动产中心 15 16 金融 SDP SDP 云深互联 上海云盾 贵州白山云科技股份有 限公司 互联网 17 18 19 互联网 运营商 运营商 IAM SDP,IAM SDP e签宝 天谷信息 芯盾时代 云深互联 电信运营商 电信运营商（2020年案 8 © 2021云安全联盟大中华区-版权所有 例） 20 21 22 23 运营商 制造业 制造业 制造业 IAM SDP SDP SDP 中国移动某公司 某集团 启明星辰 指掌易 美云智数 360 美的集团 某国家高新技术企业 陆军军医大学第一附属 医院 24 医疗 SDP 数字认证 25 26 医疗 教育 微隔离 IAM 南京市中医院 山石网科 九州云腾 某知名在线教育企业 9 © 2021云安全联盟大中华区-版权所有 三、具体案例 1、安恒信息温州市大数据发展管理局零信任实 践案例 1.1方案背景 温州市大数据发展管理局一直来在以大数据赋能智慧城市、智慧国企、智慧健康等 方面走在前列，已建成的一体化智能化公共数据平台为该市下属的委办单位、企业、公 众提供良好的大数据业务支撑服务，以数据智能赋能数字经济和民生。 十四五规划中，数据相关产业将成为未来中国发展建设的重点部署领域，相关的数 据安全也变得更加重要。随着数据开放面逐渐扩大、数据访问量不断增加，温州市大数 据发展管理局预见到了开放共享过程中潜在的数据安全防护及溯源问题，例如数据访问 无法追溯到最终用户、API自身脆弱性带来的安全配置错误及注入风险、API异常高频 访问带来的数据暴露风险等，为此温州市大数据局启动了一体化智能化公共数据平台零 信任安全防护体系的建设任务，并引入安恒信息作为零信任安全供应商。 1.2方案概述和应用场景 基于零信任的理念，本次方案强调“永不信任、始终确认”，在业务访问的全流程 中引入身份认证的能力，对管控的客体对象“用户”、“应用”的身份进行持续校验，并 针对防护对象API资源，实现“先认证、再授权、再访问”的管控逻辑，通过为公共数 据平台构建虚拟身份安全边界，最大程度上收窄公共数据平台的暴露面，保障业务安全 开展。 10 © 2021云安全联盟大中华区-版权所有 图1温州市一体化智能化公共数据平台零信任安全防护体系逻辑架构 温州市一体化智能化公共数据平台零信任安全防护体系由以下几个关键组件构成： 1.统一控制台：作为零信任架构中的PDP，维护用户清单、应用清单及资源清 单，集成SSO系统，并负责零信任体系内访问控制策略的制定和API安全代理的控 制。其中用户清单来源于浙江省数字政府IDaaS、浙政钉等多源用户身份目录的合 并，追踪和更新温州全市12万余用户信息的变化，所有用户具有唯一标识，用户 清单为零信任体系中的UEBA行为分析引擎提供信息；应用清单维护所有接入零信 任体系的应用系统的身份信息，通过与温州市建设的目录系统联动，实现全网应用 身份统一，并为应用生成零信任安全接入工具；资源清单维护所有要保护的客体对 象信息（在温州场景下即API接口资源），通过手动配置或从流量中分析的方式建 立。 2.API安全代理：作为零信任架构中的PEP，以“默认拒绝”的模式接管所有 面向公共数据平台的访问请求，针对每条请求进行身份鉴别和权限鉴别，仅放通通 过统一控制台验证的合法请求，同时输出其他API安全防护能力。 3.UEBA行为分析引擎：负责采集零信任体系中的用户行为数据，并对用户行为、 应用行为进行大数据建模匹配分析，为统一控制台的访问控制策略制定提供输入依 据。应商。 1.3优势特点和应用价值 1.3.1统一身份、安全认证 统一控制台通过SSO系统为政务外网所有的应用系统提供认证门户，接入应用的用 11 © 2021云安全联盟大中华区-版权所有 户在通过统一认证的合法性校验后将会生成包含用户、应用身份唯一信息的访问令牌， 作为获得后续访问资源的授权凭证之一。 统一控制台在认证过程中，通过对接浙政钉体系、短信体系等，提供多因子认证手 段，并通过门户获取登录环境信息，综合判定用户身份，并在发生异常访问事件时对用 户登录进行快速处置。 1.3.2收缩资源暴露面 API安全代理逻辑串行在公共数据平台的访问通道上，默认拒绝所有请求。统一控 制台为注册应用生成访问工具，实现只有集成了访问工具的应用系统服务器可以建立安 全连接，同时在应用层叠加用户身份凭证的验证，实现只有授信用户、通过授信应用服 务器才能够访问API资源，极大强化了公共数据平台对抗潜在的扫描攻击等威胁的能力。 1.3.3全流量加密 API安全代理为所有访问公共数据平台的请求加载TLS加密通道，保障流量在通道 上的安全加密、防篡改。 1.3.4用户及API调用行为分析 API安全管控系统支持对API访问过程中产生的访问日志进行智能分析，并发现潜 在的违规调用行为。统一控制台支持按场景扩展异常行为特征匹配规则，根据用户、应 用、IP、入参、出参等完整的API请求日志信息，帮助安全团队发现凭证共享、疑似拖 库、暴力破解等行为。 1.3.5API敏感信息监控及溯源 为调用方发起的所有访问请求形成日志记录，记录包括但不限于调用方（用户、应 用）身份、IP、访问接口、时间、返回字段等信息，并向统一管控平台上报。 API安全管控系统将按配置对API返回数据中的字段名、字段值进行自动分