零信任国标来了!网御星云助力用户重塑零信任安全新边界
背景
云计算、大数据、物联网、移动互联网和人工智能等新兴技术的发展应用,不仅为各行各业注入新质生产力,推动了行业革新,也对网络基础设施建设提出了前所未有的挑战。就企业而言,一方面,云计算、移动互联等技术的使用,使人、业务和数据“走”出了企业的边界;另一方面,大数据、物联网等新业务的开放协同,也促使外部人员、平台和服务“跨”过了企业的数字“护城河”。因此,传统以“网络为中心”基于边界的网络安全架构和解决方案,恐难以适应现代企业网络基础设施和业务发展的需要。在此背景下,一种全新的安全理念——零信任安全应运而生。它的核心思想是“永不信任,始终验证”,旨在从源头上确保企业数据的安全。
零信任概念
在国外层面,早在2019年NIST(美国国家标准与技术研究院)就发布了业内第一个零信任标准,根据NIST SP 800-207《零信任架构》的定义,零信任是一种安全模型,它要求对所有请求访问资源的主体(无论是人还是系统)进行严格的身份验证和授权,无论它们是位于组织的网络边界之内或是之外。
在国内层面,自2018年起,社会各界高度关注零信任创新发展,积极探索零信任数字化场景应用、落地建设实践等工作,推进过程中也暴露出了零信任及零信任架构认识不统一、概念混淆、与现有安全手段关系不明等问题。今年4月,为进一步推动零信任的建设和应用,国家标准化管理委员会发布了国家标准《网络安全技术 零信任参考体系架构》(GB/T 43696-2024),标准明确了零信任定义、提出了零信任参考体系架构,为推动国内零信任应用落地提供了依据。
按照《网络安全技术 零信任参考体系架构》(GB/T 43696-2024),零信任概念定义如下:
零信任 zero trust:一种以资源保护为核心的网络安全理念。
注:该理念认为主体访问资源时,无论主体和资源是否可信,主体和资源之间的信任关系都需要通过持续状态感知与动态信任评估,从零开始进行构建,以实施端到端安全的访问控制。
零信任体系架构 zero trust architecture:基于零信任建立的信息系统体系架构。
注:包括构成架构的系统组件,以及组件间关系。
零信任国标解读
图1 零信任参考体系架构
根据《网络安全技术 零信任参考体系架构》(GB/T 43696-2024),零信任参考体系架构由主体、资源、核心组件和支撑组件组成,同时应具备以下典型特征:
持续状态感知:持续对主体、资源、环境的相关信息进行采集,分析安全态势。
动态信任评估:根据安全态势变化,不断进行信任评估,调整访问策略。
最小权限原则:仅授予主体完成任务所需的最小权限,减少风险暴露。
加密传输:使用密码技术确保端到端数据传输的安全性。
同时标准还给出了零信任访问业务流程:当主体访问资源时,根据任务管理组件提交的需求,利用身份管理组件、资源管理组件、环境感知组件提供的状态信息进行状态感知,由策略判决组件通过信任评估生成策略判决,策略执行组件执行策略判决,实现最小权限访问控制;在整个访问过程中,通过持续状态感知、动态信任评估、最小权限控制的循环过程,实施对被访问资源的保护。
零信任安全解决方案
网御星云自2018年以来,陆续参与了政府、运营商、公安、法院、医疗、金融等多个行业客户的零信任应用实践,在零信任安全顶层规划、标准制定、项目实施等方面积累了大量经验。我们认为,一个完整的零信任安全解决方案至少包括“三大核心组件”和“六大要素”。三大核心组件即策略执行组件(PEP)、策略决策组件(PDP)、策略支撑组件(PIP)。六大要素即身份认证、网络隐身、最小授权、信任评估、动态授权、传输加密。通过以上组件和要素构建以身份为中心,持续认证、动态授权、业务访问、全面审计的零信任安全体系。
图2 网御星云零信任理念
网御星云零信任安全解决方案,包括零信任终端感知引擎、零信任安全网关、零信任控制器三个部分。
图3 网御星云零信任安全方案
零信任终端感知引擎:主要实现主体的环境信息持续感知,依据访问场景,采集终端各类安全风险信息,汇聚上报于零信任控制器,作为安全策略决策的一组判定数据。零信任终端感知引擎内置融合一体化客户端引擎,单个客户端同时运行SDP、EDR、DLP、数据沙箱、认证、加密等系统模块,兼容主流操作系统,具备终端风险感知能力。
零信任安全网关:主要实现主体访问客体的策略执行控制,依据访问策略,动态接收零信任控制器下发的安全策略。零信任安全网关支持网络隐身、收敛暴露面、国密传输加密、动态授权访问控制、全局可视化等能力。
零信任控制器:主要实现主体访问客体过程中的策略决策、信任评估、动态授权等。零信任控制器支持使用SPA单包认证机制,可完成关键业务网络隐身,具备多维身份认证、统一单点登录、全面应用代理、日志审计等功能,标准化API接口可联动多种安全设备,实现业务访问的持续信任评估和动态授权。
方案价值
网御星云以身份为中心,以保护数据安全为目标,构建网络隐身、可信接入、密码合规,易落地、易使用、易运维的零信任安全架构。方案适用于远程办公、远程运维、网络暴露面收敛、多云数据中心等多种访问场景。未来,网御星云将持续推动零信任安全架构的落地实施,助力客户构建网络安全新防线,通过减少攻击面和提高访问控制的精细度,应对复杂的网络安全威胁,提升整体的网络安全性。
