未来已来!企业零信任安全落地实践应用指南及十大案例推荐
日期:2022年12月02日 阅:113
随着网络边界的消失,零信任技术成为行业普遍关注的焦点。但是,零信任安全并非一款产品级的解决方案,相比传统的网络安全防护模式,其覆盖范围更广,与信息化基础设施的耦合性也更密切。企业在开展零信任安全建设时,需要面对海量的权限梳理和资产识别工作,涉及企业各个业务系统、认证系统、终端设备以及访问协议的对接,因此很多零信任项目建设都要面对建设周期长、运维压力大、投入产出低的挑战。
为更好了解零信任技术在我国的应用建设状况,并分析零信任实践带来的行业变化,安全牛以第九版《中国网络安全行业全景图》中零信任技术领域研究数据为基础,正式发起并开展了《现代企业零信任安全落地实践应用指南》报告(以下简称“报告”)研究项目,对现阶段我国企业用户的零信任安全建设需求、态势、难点和最佳实践经验进行了调查与分析。2022年12月2日,报告正式发布。
零信任安全建设成熟度模型
零信任安全建设是一个持续性、体系化的过程,企业用户可以从“点、线、面”按阶段建设的方式,逐步构建完善零信任安全能力体系。在本次报告研究中,安全牛从支撑技术、防护空间和运营管理三个维度给出了零信任安全能力建设的成熟度参考模型。
零信任落地应用挑战零信任安全建设面临诸多挑战,在本次报告中,分别从用户侧和厂商侧进行了调研。
1、在用户侧调研中,零信任落地挑战多集中于:业务流程/数据资产梳理、授权/策略管理。超过半数用户希望以自建模式构建零信任安全体系为主,43%的用户表示能够在零信任安全建设中接受SaaS化安全服务。
2、在厂商侧调研中,零信任安全建设挑战主要为包括现有安全系统整合、与业务系统对接、信任评估和产品标准化等方面。
零信任应用实践的建议
(一) 寻找可以借鉴的实践案例经验
目前,零信任安全方案多处于快速迭代期,项目建设过程中需要不同程度的定制化开发工作。因此在规划前,参考行业中应用规模相当的实践案例,能一定程度上帮助解决架构选择和建设实施阶段的难点。
(二) 根据业务需求选择适合的零信任安全架构
零信任安全架构要具备一定的安全扩容和持续演进的能力,才能为企业数字化业务的快速发展做好支撑和保障。因此,对于计划向零信任转型的企业,架构选择至关重要。架构规划时,架构设计师或CSO需要充分了解企业的业务运营模式,包括企业未来五年的扩展及数字化转型计划,这可以帮助企业更好匹配中长期发展的零信任安全需求。
(三) 在项目实施中落实好5个技术要素
在零信任安全建设中,需要指定相关责任人或部门,为项目顺利实施落实身份、网络、终端、应用和数据等5个方面的技术要求,细化出每个方面的具体要求,并提出详细的需求说明。
(四) 多部门的协同配合与支撑
在零信任项目建设过程中,业务系统的对接往往是企业和服务商共同的难点。业务资产由于其形态、部署位置、权属分散等方面的特殊性,使零信任建设要素对接过程会非常复杂。因此,业务部门、安全团队、服务商的协同配合对推动零信任建设非常重要。
(五) 为零信任系统上线预留充分的试运行时间
相比传统网络安全产品,零信任安全控制系统的可靠性、鲁棒性要求非常高。所以,不管是旧系统迁移还是新系统重建,正式上线前,都需要预留足够的测试时间,以确定系统运行的稳定性、行为分析模型的可用性,同时识别那些不符合业务期望的安全策略。根据本次调研,可参考的试运行测试周期应该在3-6个月。
(六) 重视零信任系统的安全运营
零信任安全系统必须要纳入企业整体的安全运营体系中去,同时还需考虑如何将企业的业务运营计划合理融入到到零信任的运营体系中去,包括业务细粒度访问监管、例行检查等,特别是在重要人员调整和重大网络重构事件发生时。
零信任落地实践成功案例
为了发现行业中可规模性应用的零信任示范应用和标杆项目,进一步推广零信任安全的建设经验与应用效果,在本次报告调研中,从用户类型、案例特点、应用价值、技术代表性等维度,对目前国内已成功落地并实际应用的部分优秀零信任建设案例进行了研究分析。
案例推荐
某政务大数据平台零信任访问安全建设
案例建设单位:天融信科技集团股份有限公司
目前,政务大数据平台业务资源访问管控主要存在运维人员流动性较高、安全意识薄弱、缺乏有效的管控等难题,各种重要的数据信息极易被非法利用或滥用。该案例项目基于政务大数据平台远程访问的需求和典型特征分析,提出了该场景下统一访问管理的零信任安全访问解决方案,系统整合多个零信任相关组件和多种技术措施,提升了政务大数据平台响应异常访问行为的能力,强化了政府部门的数据安全管控能力。
案例推荐
某大型央企集团零信任应用实践案例
案例建设单位:格尔软件股份有限公司
随着大型央企集团移动办公和业务系统云化,在访问主体和接入场景的多样化、网络边界的模糊、访问策略的精准化等方面提出新的安全需求。本项目通过践行零信任建设理念,实现了集团园区网用户的统一身份管理、统一授权、统一认证、统一审计,同时融合PKI体系提供移动端APP证书签发、签名验签、证书登录等功能。通过建设后的零信任安全管理平台,整合了园区网资源及业务系统,成为统一化的身份安全管理中台,给集团及下属成员单位提供应用上云的身份集成服务,实现以园区网办公平台为基础的安全可靠的业务访问。
案例推荐
某大型央企集团零信任安全体系建设
案例建设单位:北京芯盾时代科技有限公司
大型央企集团在满足业务远程化的同时,还必须考虑合规性的要求,并完善国产化安全能力体系的适配与建设。此外,在零信任安全建设中,如何有效的利用已有安全能力是企业新安全能力建设的顾虑之一。该安全项目在企业新业务发展需求驱动下,将零信任的网络安全能力体系与用户已有的纵深防御安全体系进行了有效结合,可以帮助企业实现了网络安全风险统一管理,这也是该零信任方案建设的一大亮点。
案例推荐
某大型央企一体化办公零信任安全建设
案例建设单位:上海派拉软件股份有限公司
随着互联网技术及数字化转型的高速发展,越来越多的业务需要开放和共享,业务转型在给大型央企带来信息使用便利的同时,也引入了新的安全问题。在案例项目结合央企用户一体化办公的安全要求,在一期项目中通过SDP、IAM和API网关打造了满足企业数据在远程访问中基于安全连接的一体化零信任安全建设方案,IAM系统对所有访问人员的身份和权限进行管理,API统筹所应用接口远程访问的安全和访问权限,可以为企业后续的远程访问安全能力的扩展、系统扩容奠定基础。
案例推荐
某大型科技企业零信任安全实践
案例建设单位:深信服科技股份有限公司
随着数字化转型的深入,该科技型企业业务发展与人员增长迅速,组织架构也在不断优化,企业在内部安全评估中发现很多难以解决的安全问题。该案例项目通过持续践行“简单有效、省心可靠”的零信任安全理念,探索出了一套可落地的零信任安全解决方案。在实践中,建设方帮助用户在保证安全防护效果基础上,兼顾体验,并逐步构建完善零信任安全体系架构,实现内外网全面零信任改造,项目完成后零信任接入终端数已超过30000个,最大并发在线终端数超2.5万,发布应用2000+。
案例推荐
某大型互联网企业零信任云网安全建设
案例建设单位:北京绎云科技有限公司
某大型互联网企业拥有近两万员工,设有国内总部、国内分公司和海外分公司。随着时间迁移,基于VPN的远程接入方式暴露出众多系统漏洞,异常行为监控能力缺失,统一集中管理复杂等问题突显,需求对现有的网络安全架构进行改造。该案例的典型建设特点是通过实名制网络实现敏感业务、数据自治可控。同时,采用云服务模式交付,为用户快速构建实现随时随处可信访问的零信任网络,简化重构复杂异构的物理网络,可适用于多种类型分布式互联网企业及多云混合云业务场景。
案例推荐
某能源行业企业零信任安全建设实践
案例建设单位:长春吉大正元信息技术股份有限公司
某能源行业客户已经建立了内部业务访问平台,通过部署边界安全等实现了一定程度的安全访问。但随着业务访问场景的多样化和攻击手段的升级,当前的安全机制存在很大的局限性,需要进行升级改造。该案例项目建设紧密结合用户应用场景,完善零信任动态访问控制策略,并在数字认证和传输私密性方面与基础密码服务体系进行深度融合,最大程度上兼顾了安全防护效果与易用性的平衡。
案例推荐
某金融用户远程办公零信任改造方案
案例建设单位:北京九州云腾科技有限公司
某金融行业头部客户,在国内多个省份城市都有办公点,为提高协同效率,企业需要将传统仅能在内网访问的业务开放到公网,供员工远程办公访问,为此,需要一套更加安全可靠的方案。本案例项目通过零信任安全改造提升了远程办公协作平台自身的安全性,可以让企业进一步将更多业务访问整合到远程办公的统一门户中,不仅有效减少员工远程办公复杂度,也提升了员工的协同效率和访问体验。
案例推荐
某银行零信任数据安全访问与流通的应用案例
案例建设单位:杭州云缔盟科技有限公司
某大型国有银行在数字化转型中,面临如何平衡数据充分利用和安全保护之间的困境,为缓解这一难题,该行破旧立新,在终端数据安全防泄露项目中选定了基于SASE平台的零信任安全方案为金融数据的安全高效流通保驾护航。项目通过构建“终端-互联网-云”的弹性安全区域,重点解决数据流转的效率和终安全性问题,可灵活应用于银行、大型制造、医疗器械等广域网互联企业远程访问、数据防泄露等场景。
案例推荐
某运营商零信任应用实践案例
案例建设单位:江苏易安联网络技术有限公司
为了增强运营商网络安全能力,有效识别各类安全威胁风险,减少信息安全事件,基于DCN网的零信任信息安全转型迫在眉睫。该案例项目中,通过引入移动现网中的4A、智能分析系统和大数据平台,一方面强化了零信任体系和现有网络安全业务的结合;另一方面也为零信任访问控制未来的自适应策略优化奠定了基础,让更多的业务部门参与进来,有助于构建闭环运营管理。
零信任落地实践的产业观点
在本次报告调研中,安全牛通过访谈,收集整理了部分国内零信任安全代表性厂商对零信任技术落地实践的看法和观点:
派拉软件
零信任技术落地,要基于实际应用场景去解决用户的安全问题,结合业务在网络空间分布的现状,用一体化的零信任解决方案,使每一个业务都实现闭环的安全访问是非常必要的。
绎云科技
零信任是伴随企业网络结构升级的需求出现的。因此,我们认为零信任对于企业来说,最核心的变革是让网络底层身份化,使企业从受限于物理位置的IP网络升级为与物理位置无关的身份网络。
天融信
零信任落地的关键是做好持续信任评估和授权策略,相关产品不仅要有第三方权威机构认可,还要有实战化的能力,因此需要在满足合规的基础上做更多的事情,包括:全面身份化、与周边系统对接、异常行为分析等。
易安联
零信任落地中,除了安全架构,更重要的是要解决好终端安全问题,端侧的安全能力越丰富对零信任的安全评估越有力。
九州云腾
动态多因素认证是零信任落地的核心要素。基于用户访问行为构建每个用户的行为画像,千人千面,异常时自动触发认证,是整个零信任方案成功应用的重要因素。
芯盾时代
没有单一的产品能够完整的适配零信任的理念或架构,零信任与企业现有的安全架构(如纵身防御体安全架构)也不互斥。在项目落地规划中要体系化思考,要与企业已有的安全能力构成互补或增强的网络系统。
深信服
零信任理念可以通过多种技术路径落地,组织单位可以根据自身改造难度,选择最适配的技术。实践证明,零信任落地是一个长期且持续的过程,用户应找具备强大服务能力以及有较好端点安全能力支撑的服务商。
缔盟云
SASE是未来零信任落地应用的一个重要模式,但是其在国内落地需要根据不同行业的特点进行变通,不同行业的方案也会不一样,有的侧重于终端防泄露,有的则侧重于高性能的边云连接,需要根据各自的特点去增强在行业的应用。
吉大正元
零信任最初是在身份鉴别方面可以满足等保建设要求,但也对通信传输和计算中心做了扩展,同时等保作为引导政策,也给零信任推广提供了一定支持,我们认为,在企业等保建设中,也可以引入零信任的安全建设理念和方案。
格尔软件
零信任的本质是基于身份、建立策略驱动的自适应动态访问控制体系。零信任的落地一定要结合客户业务场景及安全体系现状,分阶段分步骤实施,同时还应该考虑满足等保、密评等安全合规性要求。
目前,《现代企业零信任安全落地实践应用指南》已经在安全牛商城上架,获取完整版本报告,请点击识别下方预售二维码: