【亞信安全】-【2021年9月2日】隨著(zhù)全球數字化和萬(wàn)物互聯(lián)的加速發(fā)展,傳統網(wǎng)絡(luò )的物理邊界已經(jīng)被徹底打破,以 "零信任"理念重構網(wǎng)絡(luò )安全防御體系近年來(lái)得到廣泛認可。
近日,中國移動(dòng)應急4A工程中的零信任安全體系正式啟用。該平臺采用了最新的軟件定義邊界(SDP)技術(shù),以"除非被證明可信,否則永不信任"為基本原則,以"不以邊界作為信任條件"前提,構建出符合當下異構網(wǎng)絡(luò )和業(yè)務(wù)的發(fā)展需求的安全防護體系,可對關(guān)鍵業(yè)務(wù)系統、網(wǎng)絡(luò )資源進(jìn)行重點(diǎn)防護。
推動(dòng)零信任《規范》建設,SDP應用率先落地
2020年至今,突如其來(lái)的新冠疫情讓遠程辦公成為新常態(tài)。另一方面,數字化加速落地,企業(yè)業(yè)務(wù)上云成為產(chǎn)業(yè)互聯(lián)網(wǎng)發(fā)展的重要趨勢。二力合一,加速了全球企業(yè)對新型網(wǎng)絡(luò )安全技術(shù)和產(chǎn)品的探索和實(shí)踐,其中之一便是"零信任"。
傳統的網(wǎng)絡(luò )邊界,無(wú)論多么堅固,墻就在那里,攻防雙方陷入技術(shù)攀比的循環(huán),一個(gè)拆、一個(gè)補。直到零信任技術(shù)的出現,改變了這個(gè)局面,墻還在那里,但看不見(jiàn),摸不著(zhù)。
零信任倡導"持續驗證、永不信任",也就是我們不應該自動(dòng)信任網(wǎng)絡(luò )中的任何人、設備和位置,"零信任"架構下,意味著(zhù)每個(gè)用戶(hù)、設備、服務(wù)或應用程序都是不可信任的,基于這樣的"懷疑"準則,必須通過(guò)持續認證才能獲得最低級別的信任和關(guān)聯(lián)訪(fǎng)問(wèn)特權,實(shí)現更安全地對資源的訪(fǎng)問(wèn),不遺漏任何可疑因素,這種思路給我們提供了全新的方法論和安全工具。
依靠需求與技術(shù)的多重推動(dòng),全球"零信任"市場(chǎng)按下了"加速鍵。在此背景下,中國移動(dòng)率先積極參與國內相關(guān)零信任技術(shù)規范,同時(shí)在行業(yè)內率先啟動(dòng)零信任平臺建設,并與安全廠(chǎng)商一起針對相關(guān)技術(shù)在運營(yíng)商行業(yè)內的應用進(jìn)行積極的研究和實(shí)踐。
從物理邊界向軟件定義邊界(SDP)轉變
在項目規劃階段,中國移動(dòng)網(wǎng)絡(luò )事業(yè)部制定了以4A身份為基石,基于全面身份化認證模式,為用戶(hù)、設備、應用程序、業(yè)務(wù)系統等實(shí)體,建立統一的數字身份標識和治理流程的目標,確保只有合法的用戶(hù)、從合法設備上才能訪(fǎng)問(wèn)網(wǎng)絡(luò )。
在建設過(guò)程中,中國移動(dòng)聯(lián)合亞信安全,充分利用其SDP解決方案所具備的網(wǎng)絡(luò )隱身屬性、網(wǎng)絡(luò )控制屬性、可信應用、終端準入、事中控制等特性,有效了解決網(wǎng)絡(luò )邊界模糊帶來(lái)的安全問(wèn)題。
·網(wǎng)絡(luò )隱身能力搭建:
基于UDP的單包認證、先認證后連接的特性能很好的起到內網(wǎng)保護的作用,同時(shí)解決了由于TCP握手而導致的SYN洪泛?jiǎn)?wèn)題,有效解決互聯(lián)網(wǎng)暴露面的問(wèn)題。
·網(wǎng)絡(luò )控制&URL控制:
基于用戶(hù)(賬號)訪(fǎng)問(wèn)資源的動(dòng)態(tài)網(wǎng)絡(luò )控制,能針對不同角色的人員授權不同的訪(fǎng)問(wèn)網(wǎng)絡(luò )和URL,有效解決防火墻無(wú)法針對用戶(hù)、角色進(jìn)行動(dòng)態(tài)的細粒度網(wǎng)絡(luò )隔離的問(wèn)題。
·可信應用&終端準入:
基于應用的白名單控制策略,保證訪(fǎng)問(wèn)內網(wǎng)的流量是通過(guò)可信應用產(chǎn)生的;基于惡意進(jìn)程和端口的的黑名單控制策略,有效解決了帶病終端接入內網(wǎng)對內網(wǎng)產(chǎn)生的危害。
· 事中行為控制:
基于持續認證策略,對用戶(hù)行為進(jìn)行支持評估,針對高危操作進(jìn)行持續認證和實(shí)時(shí)的阻斷。
由"網(wǎng)絡(luò )中心化"走向"身份中心化"
在已建設的平臺能力基礎上,中國移動(dòng)還將持續探索,并充分發(fā)揮SDP解決方案的"多"點(diǎn)多面全聯(lián)動(dòng)、"快"捷訪(fǎng)問(wèn)一站式、"全"業(yè)務(wù)場(chǎng)景覆蓋、"細"溯源安全審計等特點(diǎn),開(kāi)展零信任安全保障體系建設,重塑網(wǎng)絡(luò )安全邊界。
項目正式落地之后,中國移動(dòng)安全體系架構規劃將由"網(wǎng)絡(luò )中心化"走向"身份中心化",建立以"人"為中心進(jìn)行訪(fǎng)問(wèn)控制,解決因網(wǎng)絡(luò )環(huán)境開(kāi)放,用戶(hù)角色復雜引發(fā)的各種身份安全風(fēng)險、設備安全風(fēng)險和行為安全風(fēng)險,做到非法用戶(hù)進(jìn)不來(lái),合法用戶(hù)不能亂來(lái),斬斷黑客的黑手,保障網(wǎng)絡(luò )及業(yè)務(wù)安全。
