2023零信任大数据网络安全新架构.docx

20231新式技术架构的安全挑战2 .零信任架构的发展历史3 .什么是零信任架构？1 .新式技术架构的安全挑战2 .零信任架构的发展历史3 .什么是零信任架构？以大数据为核心的新一代信息化建设浪潮挑网:新一代式技术架构加剧了边界安之用户多样化/物理边界设备多样化（区88、I_NIgI边界瓦oO三/平台多样化,业务多样化数据分散在不同的业务应用中并长数据的流动加剧了大数据的安刍全架构的失效XeX移动办公丫.物理边界、（合作伙伴£UbSs''JHsay国K、y人：Io#OT/寺续流动f函险跷决成2:传统的边界安全架构忽视了内部威胁安全意识？安全投入？安全措施？边界安全架构：为内网中的人和设备预设了过多的信任ZeroTrustArchitectureZEROTRUSTSECURITY安全从开始ISC互联网安全大会中国北京lntm<ScudtyConference2018Biing-CNrm1新式技术架构的安全挑战2 .零信任架构的发展历史3 .什么是零信任架构？八一1.SJERBchoFoRUM发展简史:2005,JerichoForumBlackHatUSAEUROPEASIAC-*'InherentSecurity”-Thateverythingis; Authenticated Protectedagainstunauthorisedreading(probablyEncrypted) Repudiatable发展简史:2009,ForresterZeroTrustFoRRESTERNovember5,2010BuildSecurityIntoYourNetwork'sDNAiTheZeroTrustNetworkArchitecturebyJohnKindervagUserMCAPwithStephanieBalaourasand1.indseyCoit发展简史:2017,GoogleBeyondCorpGoogleBeyondCorp是在构建零信任网络6年经验的基础上打造的新一代企业安全架构。通过将访问权限控制措施从网络边界转移到具体的设备.用户和应用,让员工可以更安全地在任何地点工作,而不必借助于传统好!PZ0BeyondcorpANEWAPPROACHTOENTERPRISESECURITY802.1XACCESSPROXYPIPE1.INEPUB1.ICNHWORKCERTIFICATEISSUERUNPRIVI1.EGEDN11WORKJI4MAMAGEDOEVCE三RGR00p如ABASEDEVlCEIhVEMToV°atabasTRUSTINFERENCEMANAGEDDEVICERADIUSSIGNONACCESSCONTRO1.ENGINEGgleBeyondCorpcomponentsandaccessflow发展简史:2018,MicrosoftZeroTrustModelZeroTrustModel1.egendTrUe"ThreatIntelligenceFullAccess一一，1.imitedAccessModernApproachtoAccessSignaltomakeaninformeddecisionDecisionbasedonorganizationalpolicyEnforcementofpolicyacrossresourcesRUST：GEMEA!><ltrustn)e©SymantecIrrult<Ut.r*rUrlinformationProtectionIiffKlMMDn三三1.*if户CountooujnTozerotrustJN0WjrMWX»TOPIWACCESSNCexCEPTiOhZeroTrustSecuritydummiesZm-tnstSecurity创新安全公司1.uminateDoubleOctopusAporetoGuardicoreCloudHarmonicsJumpCloudCloudflareNetronomeCymbelPlixerCyxteraScaIeFTSecureCircIeidaptivArecaBayBasil基础设施厂商IAM厂商传统安全厂商GoogleCentrifySymantecMSAzureOktaPANAWSDUOZscalerAkamaiPingIdentityTripwireForgeRockAIgoSecPuIseSecureMobieIIronNetworkServicesComputingServicesEndPoint=ActivelyEngagedQ=ActivelyPursuingQ=Monitoring三EnablingActivities2019年：7月Z美国国防信息系统局（6S4）战略规划IS1.92022UEX技术发展路线图A1.WAYSCONNECTED,FRICTION1.ESSSECUREENVIRONMENT2019年：7月，美国国防部数字现代化战略DoDDIGITA1.MODERNIZATIONSTRATEGY零信任安全的概念： 零信任是一种网络安全策略，它将安全嵌入到整个体系结构中，以阻止数据泄露。零信任安全的优势: 这种以数将为中心的安全模型，消除了受信任或不受信任的网络、设备、角色或进程的概念，并转变为基于多属性助管任级别，使身份验证和授权策略在最小特权访问概念下得以实现。 实现零信任，需要重新思考我们如何利用现有的基础设施，以更简单、更高效的方式设计安全性，同时实现不受阻碍的操作。 除了总体上保护架构的优势外，还有其他跨功能的好处。1新式技术架构的安全挑战2 .零信任架构的发展历史3 .什么是零信任架构？11tfeB11O'REI1.1.Y,*文吉尔曼三B*奇安信身份安全实室/ij>iiIfAmKKWi”第MU应该假设网络始终存在为潮磁沏辆磁，仅仅通过网络位置来评估信任是不够的。默认情况下不应该信任网络的凝拗部的任何人/设备/系统,而是基于以J三隔建构业务访问控制的信任基础。每个设备、用户的业务访问都应该被以延授权和加密。访问控制策略和信任应该是动强的，基于设备、用户和环境的多源环境数据计算出来。技术本质是构建以身份为基石的业务动态可信访问控制机制/什么是零信任架构？Gartnervs.ForresterGARTNER:CARTAZeroTrustNetworkSegmentationakaMicrosegmentationFORRESTER:ZTXPredictRHk.pno11tizedexposureassessmentAnticipatethreats/attacksBaselinesystemsandsecu11typostureRemodiatoDesIgiVModeIpolicychangeInvestigateincidents/RetrospectiveanalysisRespondContinuousRisk/TrustAssessmentSystemsSystemactivityPyoadPreventUatesystemsProvantattacks>QtctincidentsConftrmandprioritizeriskContainIncMntsDetectComplianceZeroTrustNetworkAccessakaSoftwareDefinedPerimeterDiscoverRequirementsAssessriskandcomplianceDiscovernewrequirementsBaselineknownusageandentitlementsAssessnskTstpolicychangeAnalyze,manageandreportusageInvestigateandrespondtoexceptionsManageUsagePolicyDetectexceptions;prioritizeriskComplianceContinuousRiskZTmstAssessmentUsrsDevkesAPpSActionsAdaptiveAccessContextandcredentialassessmentEntityZServiceZDataadaptationMonitorusagecomplianceContainZMitigateriskVerifyUsage范围的扩展：网络一>用户.设备.工作负载能力的扩展：微隔离一>可视.分析.自动化.编排什么是零信任架构ZNIST零信任架构薪DraftNlSTSpecialPublication800-207ZeroTrustArchitecture零信任架构是一种端到端的网络安全体系，包含身份、凭据、访问管理、操作、终端、托管环境与关联基础设施。零信任架构提供了相关概念、思路和组件关系的集合，旨在消除在信息系统和服务中实施精准访问策略的不确定性。6 SCouKoee7 OliverBorvbcrt*StuMiICben9ScanConnelkyThisPUbliUHkmisavaihibleIrceofchargefrom:g:/心i.u*10.6O2NlST.SP.OO-2O7lraftCOMPUTERSECURITY2019车9月NI三NationalInstituteofStandardso<dTechnologyUS.Dpar*nriolCo<nmrcFigure2:CoreZeroTrust1.ogicalComponentsDataAccessPolicyIDMangementSIEMSystemPKI什么是零信任架构？NeKGenerationAccessControl策略信息点PlP什么是零信任架构？Whynow?WV&捶制威胁驱动演进架构驱动演进恶意代码访问控制Mainframevs.InternetvCloudrwxrwxrwx防火墙零信任JIT(JustInTime)&JEA(JustEnoughAccess)1新式技术架构的安全挑战2 .零信任架构的发展历史3 .什么是零信任架构？持续信任评估（4）动态访问控制