根据Gartner发布的2020云安全技术成熟度曲线显示,零信任正在跨过低谷,将进入市场成熟期并快速发展。
再看中国市场,在本次收集的样本数据中,有超过90%的企业都认为零信任是一个亿级的市场,将近50%的企业认为至少是百亿级市场。
从客户行业分布来看,目前国内零信任的目标客户大多分布在在政企、金融、能源、互联网、运营商、教育、医疗、电力、交通、公安、制造业、军工、民航、军队、零售等行业。
为了让读者对零信任的应用有一个更直观的了解,我们特征集了部分已经落地的案例和解决方案供学习。
腾讯安全依托于腾讯多年内网安全管理的经验以及业界的最佳实践,利用终端安全评估和管控、统一身份管理和授权、零信任网关以及动态授权评估等组件,构建了腾讯的零信任安全解决方案。无论是远程办公,远程运维,全球业务加速还是多云接入的场景都能够得到快捷安全的接入体验。方案的架构如图:
动态可信评估:在传统的身份认证基础上,集成了动态令牌、生物特征等多因素认证机制,杜绝身份盗用和伪造问题。同时,策略分析引擎实时分析终端状况和用户行为,对可疑行为进行二次认证或阻断,确保访问合法可靠。
无客户端/轻客户端接入:为便于客户、第三方合作伙伴接入,零信任网关支持B/S模式接入,用户可通过标准浏览器或企业微信等多种方式接入并访问企业应用。
终端安全保护:终端防护平台采用模块化架构,按照每个用户的部署场景灵活拓展安全或管理功能,包括:终端加固与合规检测、防病毒、EDR、入侵检测、终端外设管控、文件审计、数据防泄漏等。
一键快速部署:腾讯零信任安全解决方案为客户提供多种部署模式,支持SaaS化模式及私有化模式,SaaS模式下支持多租户共享及资源独享两种模式,可一键部署及开通服务。
腾讯零信任安全解决方案能够在一定程度上帮助数字化转型企业应对用户接入面临的安全挑战,保护企业内的业务和数据的访问,确保用户身份安全,设备安全和应用安全,建立可信的访问链 ,持续评估访用户请求并授予最小授权,大幅度降低攻击面并提升安全管理效能。
随着企业拥抱云计算、移动互联网、IoT等新兴技术,企业的数据和应用都不再局限在内网,因此传统基于防火墙的物理边界防御已经没办法适应需求,取而代之是软件定义边界,即SDP。主张网络、零信任、最小授权,是更适用于云和移动时代的企业安全架构。
适用场景:总部及各分公司人员多,层级复杂,身份繁杂且应用权限众多,需要加强业务系统的保密性,隐藏业务系统,减少公司业务系统的暴露面。需要对接入业务系统的人员做身份预认证,访问预授权,不同身份的人员给予不同的访问权限,对应用级的访问进行准入控制。
技术方案SDP技术方案包含SDP客户端、SDP控制器和SDP网关三个部分。方案架构如图12所示:
为了强化用户认证与权限管理部分,可提供增强组件IAM实现更细致的 身份管控功能。
在集团总部部署SDP控制器。总部和各级人员通过SDP客户端访问业务系统之前,会向SDP控制器发起认证和权限请求。
在总部、各级分支业务中心分别部署的SDP网关。当用户发起访问请求时,SDP控制器联动验证用户的身份和权限。
确认访问用户的身份和访问权限后,SDP控制器会授权访问用户及可访问的SDP网关,允许访问用户访问相应的业务系统。
方案价值:天融信零信任体系SDP解决方案能够在一定程度上帮助集团用户建立三级体系的安全访问体系,实现业务安全访问需求,整个方案通过预授权提前划分好业务访问的细粒度权限,区分客户端所能访问的网关和应用,避免业务直接暴露在互联网,也避免黑客提前知道网关入口,进行嗅探和尝试。
方案介绍:云计算和大数据时代,信息技术获得了加快速度进行发展,但同时也给信息安全带来了新挑战:企业内部外部威胁愈演愈烈,导致传统的边界安全架构正在失效。
奇安信零信任身份安全解决方案,通过以身份为基石、业务安全访问、持续信任评估和动态访问控制这四大关键能力,应用身份管理与访问控制、访问代理、端口隐藏等技术,基于对网络所有参与实体的数字身份,对默认不可信的所有访问请求进行加密、认证和强制授权,汇聚关联各种数据源进行持续信任评估,并根据信任的程度动态对权限做调整,最终在访问主体和访问客体之间建立一种动态的信任关系。方案的架构如图14所示:
方案价值:奇安信零信任身份安全解决方案,通过全面化的身份认证能力、动态化的用户授权、传输数据的加密与攻击防护能力,智能化的访问行为数据分析能力,全方位、全时地保障企业数据访问的安全性;
以自动化的方式实现统一的身份管理、用户认证与授权能力,减少了企业IT人员工作量及人为出错几率,大幅度的降低了安全运维成本;
同时解决方案为用户更好的提供了可随时随地访问业务数据能力,同时通过终端环境自动感知、一站式门户访问、单点登录,减少用户访问认证的繁琐操作,实现无缝式的访问体验,有效提升用户工作效率,有效提升了体验与安全的平衡。
适用场景:目前,解决方案覆盖了政企行业用户的典型应用场景,如远程访问场景、数据交换场景和服务网格场景等;在大型部委、金融、央企等头部行业,奇安信零信任身份安全解决方案已经全面落地。