2021零信任落地案例集
26、九州云腾科技有限公司某知名在线教育企业远程办公零信任解决方案.133四、关于云安全联盟大中华区.1363 2021云安全联盟大中华区-版权所有 4 2021云安全联盟大中华区-版权所有 2021云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及,或者访问云安全联盟大中华区官网(https:/www.c-)。须遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。5 2021云安全联盟大中华区-版权所有 一、前 言零信任这一概念提出到现在已有十一年了。作为新一代的网络安全防护理念,零信任(ZeroTrust)坚持“持续验证,永不信任”,基于身份认证和授权重新构建了访问控制的基础。当前,零信任已经从一种安全理念逐步发展成为网络安全关键技术,受到了各国政府的认可。由于传统网络安全模型逐渐失效,零信任安全日益成为新时代下的网络安全的新理念、新架构,甚至已经上升为国家的网络安全战略。2019年,在工信部发布的关于促进网络安全产业发展的指导意见(征求意见稿)的意见中,“零信任安全”被列入“着力突破网络安全关键技术”之一。同年,中国信通院发布了中国网络安全产业白皮书,报告中指出:“零信任已经从概念走向落地”。国家也首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。我们欣喜地看到,从2020年云安全联盟大中华区召开了“十年磨一剑,零信任出鞘”为主题的零信任十周年暨首届零信任峰会,越来越多的IT安全厂商投入到了零信任产品的开发和实施中来。从2021年5月底云安全联盟大中华区征集零信任案例以来,在短短十多天的时间内,我们就收到了29家厂商的落地案例,这个速度大大出乎我们的意料,而收集到的案例数量也比去年丰富了不少,可见零信任实践的火爆程度。与2020年的9个方案相比,今年的方案有了300%的增长。最后基于“讲技术不讲概念,强调落地不空谈方案”的原则,最终筛选了24个案例,涉及9个行业,涵盖了政企、能源、金融、互联网、医疗等多个行业,充分说明了零信任技术的广泛适用性。在征集案例的过程中,有的客户尽管提供了授权,但不希望自己的公司名出现在案例中。因此,对于这部分客户,我们在案例中进行了匿名处理。NIST在零信任架构标准白皮书中列举了3个技术方案:1)SDP,软件定义边界;2)IAM,身份权限管理;3)MSG,微隔离。从我们收到的案例来看,绝大部分案例都是SDP的案例,聚焦于远程办公的场景。这可能与新冠疫情带来的办公模式的变化有关,与云安全联盟最早推广SDP有关,也与SDP的技术复杂度较低有关。MSG和身份权限管理案例的匮乏一方面说明调整传统网络架构以适应零信任架构充满挑战,仍然有很多工6 2021云安全联盟大中华区-版权所有 作要做,另一方面,很多企业虽然接受零信任的理念,但对于系统转换可能的风险持审慎态度,更愿意从边缘系统开始试水。因此,云安全联盟大中华区汇编这本2021零信任落地案例集,收集各厂商的成功案例及实施过程中的经验教训,一方面是希望给众多厂商和客户以参考,让大家知道零信任离我们并不遥远;另一方面是鼓励更多的企业投入零信任的探索中来,进入零信任的深水区,打造更先进的零信任平台。随着企业数字化转型的深入,传统边界逐渐消失,企业以传统安全防护理念应对安全风险暴露出越来越多问题,而零信任理念为我们提供了新的安全思路。我们希望今后会看到越来越多更具代表性的零信任应用场景和探索涌现出来。2021零信任落地案例集包含了去年和今年入围的案例。云安全联盟大中华区在今后仍密切关注零信任应用实践并更新这一案例集,我们计划每年都发布一份零信任落地案例集,收录从2020年以来不同行业的零信任实践典型案例,供广大从业用户了解这一领域的最新实践,并协助推动零信任技术的发展。感谢案例提供的全体单位,经过多次修改及调整,力争为行业呈现单位最优的解决方案。感谢CSA大中华区零信任工作组组长陈本峰、专家姚凯以及研究助理夏营对本次2021零信任落地案例集汇编的大力支持。如文有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!联系邮箱:infoc-;云安全联盟CSA公众号7 2021云安全联盟大中华区-版权所有 二、案例名单案例所序号零信任技术案例用户名称案例提供单位属行业温州市大数据发展管理局12345政企SDPSDPSDPIAMSDP安恒信息任子行政企政企政企政企某市海事局部委大数据中心(2020年案例)奇安信某大型集团公司吉大正元格尔软件中国航空工业集团有限公司678政企交通能源微隔离SDP招商局集团山东港口集团厦门服云深信服SDP某省电力公司直属单位漠坦尼中国核工业华兴建设有限公司9能源SDP易安联国家电网有限公司某二级直属单位101112能源金融金融SDPSDP虎符网络奇安信某大型商业银行中国交通建设股份有限公司微隔离蔷薇灵动1314金融金融SDPSDP中国建设银行光大银行缔盟云联软阳光保险集团养老与不动产中心1516金融SDPSDP云深互联上海云盾贵州白山云科技股份有限公司互联网171819互联网运营商运营商IAMSDP,IAMSDPe签宝天谷信息芯盾时代云深互联电信运营商电信运营商(2020年案8 2021云安全联盟大中华区-版权所有 例)20212223运营商制造业制造业制造业IAMSDPSDPSDP中国移动某公司某集团启明星辰指掌易美云智数360美的集团某国家高新技术企业陆军军医大学第一附属医院24医疗SDP数字认证2526医疗教育微隔离IAM南京市中医院山石网科九州云腾某知名在线教育企业9 2021云安全联盟大中华区-版权所有 三、具体案例1、安恒信息温州市大数据发展管理局零信任实践案例1.1方案背景温州市大数据发展管理局一直来在以大数据赋能智慧城市、智慧国企、智慧健康等方面走在前列,已建成的一体化智能化公共数据平台为该市下属的委办单位、企业、公众提供良好的大数据业务支撑服务,以数据智能赋能数字经济和民生。十四五规划中,数据相关产业将成为未来中国发展建设的重点部署领域,相关的数据安全也变得更加重要。随着数据开放面逐渐扩大、数据访问量不断增加,温州市大数据发展管理局预见到了开放共享过程中潜在的数据安全防护及溯源问题,例如数据访问无法追溯到最终用户、API自身脆弱性带来的安全配置错误及注入风险、API异常高频访问带来的数据暴露风险等,为此温州市大数据局启动了一体化智能化公共数据平台零信任安全防护体系的建设任务,并引入安恒信息作为零信任安全供应商。1.2方案概述和应用场景基于零信任的理念,本次方案强调“永不信任、始终确认”,在业务访问的全流程中引入身份认证的能力,对管控的客体对象“用户”、“应用”的身份进行持续校验,并针对防护对象API资源,实现“先认证、再授权、再访问”的管控逻辑,通过为公共数据平台构建虚拟身份安全边界,最大程度上收窄公共数据平台的暴露面,保障业务安全开展。10 2021云安全联盟大中华区-版权所有 图1温州市一体化智能化公共数据平台零信任安全防护体系逻辑架构温州市一体化智能化公共数据平台零信任安全防护体系由以下几个关键组件构成:1.统一控制台:作为零信任架构中的PDP,维护用户清单、应用清单及资源清单,集成SSO系统,并负责零信任体系内访问控制策略的制定和API安全代理的控制。其中用户清单来源于浙江省数字政府IDaaS、浙政钉等多源用户身份目录的合并,追踪和更新温州全市12万余用户信息的变化,所有用户具有唯一标识,用户清单为零信任体系中的UEBA行为分析引擎提供信息;应用清单维护所有接入零信任体系的应用系统的身份信息,通过与温州市建设的目录系统联动,实现全网应用身份统一,并为应用生成零信任安全接入工具;资源清单维护所有要保护的客体对象信息(在温州场景下即API接口资源),通过手动配置或从流量中分析的方式建立。2.API安全代理:作为零信任架构中的PEP,以“默认拒绝”的模式接管所有面向公共数据平台的访问请求,针对每条请求进行身份鉴别和权限鉴别,仅放通通过统一控制台验证的合法请求,同时输出其他API安全防护能力。3.UEBA行为分析引擎:负责采集零信任体系中的用户行为数据,并对用户行为、应用行为进行大数据建模匹配分析,为统一控制台的访问控制策略制定提供输入依据。应商。1.3优势特点和应用价值1.3.1统一身份、安全认证统一控制台通过SSO系统为政务外网所有的应用系统提供认证门户,接入应用的用11 2021云安全联盟大中华区-版权所有 户在通过统一认证的合法性校验后将会生成包含用户、应用身份唯一信息的访问令牌,作为获得后续访问资源的授权凭证之一。统一控制台在认证过程中,通过对接浙政钉体系、短信体系等,提供多因子认证手段,并通过门户获取登录环境信息,综合判定用户身份,并在发生异常访问事件时对用户登录进行快速处置。1.3.2收缩资源暴露面API安全代理逻辑串行在公共数据平台的访问通道上,默认拒绝所有请求。统一控制台为注册应用生成访问工具,实现只有集成了访问工具的应用系统服务器可以建立安全连接,同时在应用层叠加用户身份凭证的验证,实现只有授信用户、通过授信应用服务器才能够访问API资源,极大强化了公共数据平台对抗潜在的扫描攻击等威胁的能力。1.3.3全流量加密API安全代理为所有访问公共数据平台的请求加载TLS加密通道,保障流量在通道上的安全加密、防篡改。1.3.4用户及API调用行为分析API安全管控系统支持对API访问过程中产生的访问日志进行智能分析,并发现潜在的违规调用行为。统一控制台支持按场景扩展异常行为特征匹配规则,根据用户、应用、IP、入参、出参等完整的API请求日志信息,帮助安全团队发现凭证共享、疑似拖库、暴力破解等行为。1.3.5API敏感信息监控及溯源为调用方发起的所有访问请求形成日志记录,记录包括但不限于调用方(用户、应用)身份、IP、访问接口、时间、返回字段等信息,并向统一管控平台上报。API安全管控系统将按配置对API返回数据中的字段名、字段值进行自动分
收藏
编号:343006638
类型:共享资源
大小:4.04MB
格式:DOC
上传时间:2023-01-29
19.9
金贝
- 关 键 词:
-
2021
信任
落地
案例
- 资源描述:
-
26、九州云腾科技有限公司某知名在线教育企业远程办公零信任解决方案..........................133
四、关于云安全联盟大中华区.....................................................................................................136
3
© 2021云安全联盟大中华区-版权所有
4
© 2021云安全联盟大中华区-版权所有
@2021云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展
示、查看、打印及,或者访问云安全联盟大中华区官网(https://www.c-)。须
遵守以下:(a)本文只可作个人、信息获取、非商业用途;(b)本文内容不得篡改;(c)
本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权
法相关条款情况下合理使用本文内容,使用时请注明引用于云安全联盟大中华区。
5
© 2021云安全联盟大中华区-版权所有
一、前 言
零信任这一概念提出到现在已有十一年了。作为新一代的网络安全防护理念,零信
任(ZeroTrust)坚持“持续验证,永不信任”,基于身份认证和授权重新构建了访问
控制的基础。
当前,零信任已经从一种安全理念逐步发展成为网络安全关键技术,受到了各国政
府的认可。
由于传统网络安全模型逐渐失效,零信任安全日益成为新时代下的网络安全的新理
念、新架构,甚至已经上升为国家的网络安全战略。2019年,在工信部发布的《关于
促进网络安全产业发展的指导意见(征求意见稿)》的意见中,“零信任安全”被列入
“着力突破网络安全关键技术”之一。同年,中国信通院发布了《中国网络安全产业白
皮书》,报告中指出:“零信任已经从概念走向落地”。国家也首次将零信任安全技术和
5G、云安全等并列列为我国网络安全重点细分领域技术。
我们欣喜地看到,从2020年云安全联盟大中华区召开了“十年磨一剑,零信任出
鞘”为主题的零信任十周年暨首届零信任峰会,越来越多的IT安全厂商投入到了零信
任产品的开发和实施中来。从2021年5月底云安全联盟大中华区征集零信任案例以来,
在短短十多天的时间内,我们就收到了29家厂商的落地案例,这个速度大大出乎我们
的意料,而收集到的案例数量也比去年丰富了不少,可见零信任实践的火爆程度。与
2020年的9个方案相比,今年的方案有了300%的增长。最后基于“讲技术不讲概念,
强调落地不空谈方案”的原则,最终筛选了24个案例,涉及9个行业,涵盖了政企、
能源、金融、互联网、医疗等多个行业,充分说明了零信任技术的广泛适用性。在征集
案例的过程中,有的客户尽管提供了授权,但不希望自己的公司名出现在案例中。因此,
对于这部分客户,我们在案例中进行了匿名处理。
NIST在《零信任架构标准》白皮书中列举了3个技术方案:1)SDP,软件定义边
界;2)IAM,身份权限管理;3)MSG,微隔离。从我们收到的案例来看,绝大部分案例都是
SDP的案例,聚焦于远程办公的场景。这可能与新冠疫情带来的办公模式的变化有关,
与云安全联盟最早推广SDP有关,也与SDP的技术复杂度较低有关。MSG和身份权限管
理案例的匮乏一方面说明调整传统网络架构以适应零信任架构充满挑战,仍然有很多工
6
© 2021云安全联盟大中华区-版权所有
作要做,另一方面,很多企业虽然接受零信任的理念,但对于系统转换可能的风险持审
慎态度,更愿意从边缘系统开始试水。
因此,云安全联盟大中华区汇编这本《2021零信任落地案例集》,收集各厂商的成
功案例及实施过程中的经验教训,一方面是希望给众多厂商和客户以参考,让大家知道
零信任离我们并不遥远;另一方面是鼓励更多的企业投入零信任的探索中来,进入零信
任的深水区,打造更先进的零信任平台。
随着企业数字化转型的深入,传统边界逐渐消失,企业以传统安全防护理念应对安
全风险暴露出越来越多问题,而零信任理念为我们提供了新的安全思路。我们希望今后
会看到越来越多更具代表性的零信任应用场景和探索涌现出来。
《2021零信任落地案例集》包含了去年和今年入围的案例。云安全联盟大中华区
在今后仍密切关注零信任应用实践并更新这一案例集,我们计划每年都发布一份《零信
任落地案例集》,收录从2020年以来不同行业的零信任实践典型案例,供广大从业用户
了解这一领域的最新实践,并协助推动零信任技术的发展。
感谢案例提供的全体单位,经过多次修改及调整,力争为行业呈现单位最优的解决
方案。
感谢CSA大中华区零信任工作组组长陈本峰、专家姚凯以及研究助理夏营对本次
《2021零信任落地案例集》汇编的大力支持。
如文有不妥当之处,敬请读者联系CSAGCR秘书处给与雅正!联系邮箱:
info@c-;云安全联盟CSA公众号
7
© 2021云安全联盟大中华区-版权所有
二、案例名单
案例所
序号
零信任技术
案例用户名称
案例提供单位
属行业
温州市大数据发展管理
局
1
2
3
4
5
政企
SDP
SDP
SDP
IAM
SDP
安恒信息
任子行
政企
政企
政企
政企
某市海事局
部委大数据中心(2020年
案例)
奇安信
某大型集团公司
吉大正元
格尔软件
中国航空工业集团有限
公司
6
7
8
政企
交通
能源
微隔离
SDP
招商局集团
山东港口集团
厦门服云
深信服
SDP
某省电力公司直属单位
漠坦尼
中国核工业华兴建设有
限公司
9
能源
SDP
易安联
国家电网有限公司某二
级直属单位
10
11
12
能源
金融
金融
SDP
SDP
虎符网络
奇安信
某大型商业银行
中国交通建设股份有限
公司
微隔离
蔷薇灵动
13
14
金融
金融
SDP
SDP
中国建设银行
光大银行
缔盟云
联软
阳光保险集团养老与不
动产中心
15
16
金融
SDP
SDP
云深互联
上海云盾
贵州白山云科技股份有
限公司
互联网
17
18
19
互联网
运营商
运营商
IAM
SDP,IAM
SDP
e签宝
天谷信息
芯盾时代
云深互联
电信运营商
电信运营商(2020年案
8
© 2021云安全联盟大中华区-版权所有
例)
20
21
22
23
运营商
制造业
制造业
制造业
IAM
SDP
SDP
SDP
中国移动某公司
某集团
启明星辰
指掌易
美云智数
360
美的集团
某国家高新技术企业
陆军军医大学第一附属
医院
24
医疗
SDP
数字认证
25
26
医疗
教育
微隔离
IAM
南京市中医院
山石网科
九州云腾
某知名在线教育企业
9
© 2021云安全联盟大中华区-版权所有
三、具体案例
1、安恒信息温州市大数据发展管理局零信任实
践案例
1.1方案背景
温州市大数据发展管理局一直来在以大数据赋能智慧城市、智慧国企、智慧健康等
方面走在前列,已建成的一体化智能化公共数据平台为该市下属的委办单位、企业、公
众提供良好的大数据业务支撑服务,以数据智能赋能数字经济和民生。
十四五规划中,数据相关产业将成为未来中国发展建设的重点部署领域,相关的数
据安全也变得更加重要。随着数据开放面逐渐扩大、数据访问量不断增加,温州市大数
据发展管理局预见到了开放共享过程中潜在的数据安全防护及溯源问题,例如数据访问
无法追溯到最终用户、API自身脆弱性带来的安全配置错误及注入风险、API异常高频
访问带来的数据暴露风险等,为此温州市大数据局启动了一体化智能化公共数据平台零
信任安全防护体系的建设任务,并引入安恒信息作为零信任安全供应商。
1.2方案概述和应用场景
基于零信任的理念,本次方案强调“永不信任、始终确认”,在业务访问的全流程
中引入身份认证的能力,对管控的客体对象“用户”、“应用”的身份进行持续校验,并
针对防护对象API资源,实现“先认证、再授权、再访问”的管控逻辑,通过为公共数
据平台构建虚拟身份安全边界,最大程度上收窄公共数据平台的暴露面,保障业务安全
开展。
10
© 2021云安全联盟大中华区-版权所有
图1温州市一体化智能化公共数据平台零信任安全防护体系逻辑架构
温州市一体化智能化公共数据平台零信任安全防护体系由以下几个关键组件构成:
1.统一控制台:作为零信任架构中的PDP,维护用户清单、应用清单及资源清
单,集成SSO系统,并负责零信任体系内访问控制策略的制定和API安全代理的控
制。其中用户清单来源于浙江省数字政府IDaaS、浙政钉等多源用户身份目录的合
并,追踪和更新温州全市12万余用户信息的变化,所有用户具有唯一标识,用户
清单为零信任体系中的UEBA行为分析引擎提供信息;应用清单维护所有接入零信
任体系的应用系统的身份信息,通过与温州市建设的目录系统联动,实现全网应用
身份统一,并为应用生成零信任安全接入工具;资源清单维护所有要保护的客体对
象信息(在温州场景下即API接口资源),通过手动配置或从流量中分析的方式建
立。
2.API安全代理:作为零信任架构中的PEP,以“默认拒绝”的模式接管所有
面向公共数据平台的访问请求,针对每条请求进行身份鉴别和权限鉴别,仅放通通
过统一控制台验证的合法请求,同时输出其他API安全防护能力。
3.UEBA行为分析引擎:负责采集零信任体系中的用户行为数据,并对用户行为、
应用行为进行大数据建模匹配分析,为统一控制台的访问控制策略制定提供输入依
据。应商。
1.3优势特点和应用价值
1.3.1统一身份、安全认证
统一控制台通过SSO系统为政务外网所有的应用系统提供认证门户,接入应用的用
11
© 2021云安全联盟大中华区-版权所有
户在通过统一认证的合法性校验后将会生成包含用户、应用身份唯一信息的访问令牌,
作为获得后续访问资源的授权凭证之一。
统一控制台在认证过程中,通过对接浙政钉体系、短信体系等,提供多因子认证手
段,并通过门户获取登录环境信息,综合判定用户身份,并在发生异常访问事件时对用
户登录进行快速处置。
1.3.2收缩资源暴露面
API安全代理逻辑串行在公共数据平台的访问通道上,默认拒绝所有请求。统一控
制台为注册应用生成访问工具,实现只有集成了访问工具的应用系统服务器可以建立安
全连接,同时在应用层叠加用户身份凭证的验证,实现只有授信用户、通过授信应用服
务器才能够访问API资源,极大强化了公共数据平台对抗潜在的扫描攻击等威胁的能力。
1.3.3全流量加密
API安全代理为所有访问公共数据平台的请求加载TLS加密通道,保障流量在通道
上的安全加密、防篡改。
1.3.4用户及API调用行为分析
API安全管控系统支持对API访问过程中产生的访问日志进行智能分析,并发现潜
在的违规调用行为。统一控制台支持按场景扩展异常行为特征匹配规则,根据用户、应
用、IP、入参、出参等完整的API请求日志信息,帮助安全团队发现凭证共享、疑似拖
库、暴力破解等行为。
1.3.5API敏感信息监控及溯源
为调用方发起的所有访问请求形成日志记录,记录包括但不限于调用方(用户、应
用)身份、IP、访问接口、时间、返回字段等信息,并向统一管控平台上报。
API安全管控系统将按配置对API返回数据中的字段名、字段值进行自动分
展开阅读全文
金锄头文库所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。