【零信任落地案例】吉大正元某大型集团公司零信任实践案例

1方案背景

随着信息化技术不断发展，企业智慧化、数字化理念的不断深化已经深入各个领域, 云计算、大数据、物联网、移动互联、人工智能等新兴技术为客户的信息化发展及现代化建设带来了新的生产力，但同时也给信息安全带来了新挑战。企业急需一套安全、可信、合规的立体化纵深防御体系，确保访问全程可知、可控、可管、可查，变静态为动态，变被动为主动，为信息化安全建设提供严密安全保障。客户已经建立了自己的内部业务访问平台，通过部署边界安全等实现了一定程度的安全访问。但是，随着业务访问场景的多样化和攻击手段的升级，当前的安全机制存在一些局限性，需要进行升级改造。其中的主要问题如下：

1.传统安全边界瓦解

传统安全模型，仅仅关注组织边界的网络安全防护，认为外部网络不可信，内部网络是可以信任的，企业内部信息化已不再是传统PC端，各种设备可随时随地进行企业数据访问提高了企业运行效率，同时也带来更多安全风险。

2. 外部风险暴露面不断增加

企业数据不再仅限于内部自有使用或存储，随着云计算、大数据的发展，数据信息云化存储、数据遍地走的场景愈加普遍，如何保证在数据信息被有效、充分利用同时，确保数据使用及流转的安全、授信是一大难题。

3. 企业人员和设备多样性增加

企业员工、外包人员、合作伙伴等多种人员类型，在使用企业内部管理设备、家用 PC、个人移动终端等，从任何时间、任何地点远程访问业务。各种访问人员的身份和权限管理混乱，弱密码屡禁不止；接入设备的安全性参差不齐，接入程序漏洞无法避免等, 带来极大风险。

4. 数据泄露和滥用风险增加

在远程办公过程中，企业的业务数据在不同的人员、设备、系统之间频繁流动，原本只能存放于企业数据中心的数据也不得不面临在员工个人终端留存的问题。数据的在未经身份验证的设备间流动，增加了数据泄露的危险，同时也将对企业数据的机密性造成威胁。

5. 内部员工对数据的恶意窃取

在非授权访问、员工无意犯错等情况下，“合法用户"非法访问特定的业务和数据资源后，造成数据中心内部数据泄露，甚至可能发生内部员工获取管理员权限，导致更大范围、更高级别的数据中心灾难性事故。

2方案概括和应用场景

2. 1实施范围

实施范围为集团总部及各个二级单位的国内员工、国外员工及供应商外协人员共计 4.5万人。

2.2实施内容

基于客户现有安全访问能力以及其面临的安全挑战，我们决定为用户建设以下几个

21 层面的安全机制：

1. 将身份作为访问控制的基础

身份作为访问控制的基础，为所有对象赋予数字身份，基于身份而非网络位置来构建访问控制体系。

2. 最小权限原则

强调资源的使用按需分配，仅授予其所需的最小权限。同时限制了资源的可见性。默认情况下，资源对未经认证的访问发起方不可见。

3. 实时计算访问策略

访问策略决策依据包括：访问发起方的身份信息、环境信息、当前访问发起方信任等级等，通过将这些信息进行实时计算形成访问策略。一旦决策依据发生变化，将重新进行计算分析，必要时即使变更访问策略。

4. 资源安全访问

默认网络互联环境是不安全的，要求所有访问链必须加密。可信访问网关提供国密安全代理能力，保障访问过程中的机密性。

5. 基于多源数据进行信任等级持续评估

访问发起方信任等级是零信任授权决策判断的重要依据。访问发起方信任等级根据多源信任信息实时计算得出。

6. 动态控制机制

当访问发起方信任等级发生变化后，策略执行引擎将向各个策略执行点进行策略下发。再由各策略点执行控制动作。

2.3总体架构

图1零信任总体架构图

1. 动态访问控制体系

动态访问控制体系主要负责管理参与访问的实体身份管理、风险威胁的采集，以及动态访问控制策略的定义及计算，动态访问控制的主要产品组件如下：

1） IAM

作为动态访问控制的基础，为零信任提供身份管理、身份认证、细粒度授权及行为感知能力。身份管理及认证能力：身份管理服务对网络、设备、应用、用户等所有对象赋予数字身份，为基于身份来构建访问控制体系提供数据基础。认证服务构建业务场景自适应的多因子组合认证服务。实现应用访问的单点登录。细粒度权限管理能力：权限服务基于应用资源实现分类分级的权限管理与发布。实现资源按需分配使用，为应用资源访问提供细粒度的权限控制。

2）安全控制中心

作为策略管理中心：负责管理动态访问控制规则。作为策略执行引擎：负责基于多数据源持续评估用户信任等级，并根据用户信任等级与访问资源的敏感程度进行动态访问控制策略匹配，最后将匹配到的结果下发到各个策略执行点。

3）用户实体行为感知

通过日志或网络流量对用户的行为是否存在威胁进行分析，为评估用户信任等级提 23 供行为层面的数据支撑。

4）终端环境感知

对终端环境进行持续的风险评估和保护。当终端发生威胁时，及时上报给安全策略中心，为用户终端环境评估提供数据依据。

5）网络流量感知

实现全网的整体安全防护体系，利用威胁情报追溯威胁行为轨迹，从源头解决网络威胁；威胁情报告警向安全控制中心输出，为安全控制中心基于多源数据进行持续信任评估提供支撑。

6）可信访问网关

代理服务是可信架构的数据平面组件，是确保业务访问安全的关口，为零信任提供支持建立国密算法与RSA算法的安全通路，基于动态安全，制的会话阻断移动终端与客户端登录均通过安全通道访问服务。

2. 策略执行点

主要负责执行由安全控制中心下发的动态访问控制策略，避免企业资源遭到更大的威胁。主要包括以下动态访问控制能力：

1）二次认证

当用户信任等级降低时，需要使用更加安全的认证进行认证，确保是本人操作。效果：当用户信任等级降低时，需要使用生物识别技术和数字证书技术组合的方式才能完成认证。

2）限制访问

当用户信任等级降低时，限制其能访问的企业资源，避免企业敏感资源对外暴露的风险。效果：当用户信任等级降低时，通过动态权限的变化，使其不能访问到企业敏感资源。

3）会话熔断

当用户访问过程中信任等级降低时，立即阻断当前会话。最大程度上降低企业资源受到威胁的时间。效果：当用户下载文件时，如果信任等级降低，会导致下载失败。

4）身份失效

当用户信任等级过低时，为避免其进行更多的威胁活动。将其身份状态改为失效。

效果：身份失效后，不能访问任何应用。

5）终端隔离

当终端产生严重威胁时，对被隔离的终端进行网络层面上的隔离，效果：被隔离后断网；

3.密码支撑服务

密码支撑服务为零信任提供底层的密码能力，负责保障所有访问的机密行和完整性。

2.4逻辑架构

安全控制中心基于访问发起者的身份及终端环境、实体行为、网络态势等多源数据, 实时计算信任等级，并将信任等级与安全策略自动匹配，决定最终访问方式。

与云计算平台（公有云/私有云/混合云）结合保护企业资源

为客户构建动态的虚拟身份边界，解决内部人员访问、外部人员访问、外部应用访问、外部数据平台问安全问题。

2. 5远程办公

客户远程办公主要包含以下几条路径：

1.用户直接访路径

通过零信任方案的落地，实现了国内外用户多网络位置、多种访问通道、多种脱敏方式的自适应无感安全访问流程。

2.VPN访问路径

将原有VPN访问场景迁移到用户直接访问。导致用户下定决心进行前的迁移的主要原因如下：

1）安全问题

VPN是为了解决连接的问题而设计的，其架构本身没有考虑资源安全问题。通过VPN 链接，与资源在同一网络后，资源就面临直接暴露的风险。

2）权限控制问题

传统VPN在鉴定用户身份后即开放相应权限，缺乏整体的安全管控分析能力，容易受到弱口令、凭证丢失等方式的安全威胁。

3）部署问题

VPN的部署一般需要考虑网络的拓扑结构，升级往往要做设备替换，因为是网络层的应用因而客户端侧容易出现各种连接不上的问题，需要管理员投入大量精力。

迁移后效果：

4）安全问题

零信任架构是基于安全设计的，其设计的目的就是解决应用访问的安全，具备减少应用暴露面积的能力，这样黑客就很难找到攻击点。

5）权限控制问题

零信任在每次对用户认证时会进行动态访问控制，动态访问内容包括：动态认证控制，动态权限控制和动态阻断控制。以信任评估等级决策授权内容。

6）部署问题

可信上云的部署不需要改变现网结构，同时可以随时根据需要，通过增加设备或虚拟机弹性扩容。大大减少管理员的人工成本。

2.6云桌面访问路径

将用户的云桌面作为一个特殊的cs应用与零信任进行对接，对接后使云桌面访问路径得到了更强的安全保护。改造后具备了单点登录、动态认证，实时阻断能力，并使用国密算法进行通道保护。

2. 7特权账号

集中管理所有特权帐户，提供密码托管服务、动态访问控制和特权账号发现等能力。管理范围包括：操作系统特权账号、网络设备特权账号、应用系统特权账号等。

3优势特点和应用价值

本方案与同类方案相比的主要优势在于：能够根据客体资源（应用、服务等）的敏感程度，对客体进行分级管理，降低应用改造难度；建立细粒度动态访问控制机制；支持国密与RSA通道自适应。

4经验总结

零信任项目不是交钥匙工程。除了有好的方案与好的产品做支撑外，还需要对客户的访问方式方法、进行全面而细致的调研，紧密结合用户应用场景不断的迭代零信任动态访问控制策略，才能最大程度上兼顾安全与易用性。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集终稿（无水印版）