国家 / 地区
docurl=/cn/About_H3C/News_Media/Company_News/202005/1294160_30008_0.htm

都在谈零信任安全,可落地才是成败的关键

【发布时间:2020-05-19】

2020年4月24日,在以“智·变”为主题的 2020 NAVIGATE 领航者峰会上,紫光旗下新华三集团向业界全面介绍了其最新零信任安全解决方案总体架构。在国内零信任安全领域,谈的人很多,然而案例却很少,这与方案的复杂度以及关键技术的突破难度有关。新华三正在通过不断技术创新及落地实践,推动零信任安全研究不断纵深发展,尤其在通过持续性检测解决动态授权方面取得了重点突破。

零信任安全是安全建设思路的转变

2010年“零信任”概念由市场研究机构Forrester正式提出,并逐步在国外市场开始了零信任安全的实践。2019年起我国的一些部委机构、央企,以及包括新华三集团在内的厂商开启零信任安全业务架构的落地,同时在2019年9月,工信部公开发布对《关于促进网络安全产业发展的指导意见(征求意见稿)》中,除了提出对市场规模和网络安全企业的要求外,《意见》还将“零信任安全”列入需要“着力突破的网络安全关键技术”。

新华三集团认为,有两点原因使得零信任安全如此受业界追捧,一个是在传统安全架构设计方面,企业重金打造的边界防护并不能保证内部系统安全无虞;另一个原因是,随着5G、云计算等技术不断深入的应用,随之带来的边界的模糊化和访问路径的多样化直接导致传统边界防护无从入手。

基于对安全现状及趋势的研判,新华三集团从2019年开始,基于持续性分析检测、动态授权、最小化原则零信任安全的核心思想,利用自身在云、网络、安全、大数据、AI方面的技术积累,开启了零信任安全架构在不同场景下的落地实践。

新华三零信任安全解决方案

总体架构与核心能力

新华三集团零信任安全架构包含四个部分:

安全统一管理系统,对企业的重要资源进行管理,对安全风险进行持续性地分析,对安全策略进行快速生成和下发。

可信业务控制系统,通过该系统来实现对访问主体的访问控制,是实现零信任安全理念中动态授权和最小化原则的重要执行节点。

身份认证和权限管理系统,提供身份、认证、权限等基础能力,是实现零信任安全思想中动态授权和最小化原则的主要支撑系统。

可信终端系统,提供终端杀毒、合规管理、环境感知、漏洞发现的能力,为实现零信任安全思想中动态授权提供了重要数据支撑。

以上新华三集团零信任安全架构的核心能力重点体现在业务访问流程的三个环节上:

在用户接入部分,首先要做身份认证准入,不光验证接入者的身份,还对接入设备的身份进行认证,一旦发现有高危因素存在于环境之中,便会立刻切断访问动作。

在业务访问部分,即接入者获得认证并登入后,必须通过资源列表来访问其权限范围内的资源,超出范围则不被许可。

在全流程监控部分,新华三强调权限控制、环境感知、行为分析以及策略控制等能力,实现对零信任的分析检测和动态授权。

重在落地,

新华三的零信任安全不断突破技术瓶颈

虽然零信任安全的理念在业内越来越流行,但大家实际看到的落地案例非常少,这与零信任安全架构中的几大关键技术实现难度有关:

首先,零信任安全以认证和授权为基础,但认证和授权不是零信任安全的全部。

一部分市场观点认为零信任就是升级版的认证和授权系统。但传统的IAM(身份识别与访问管理)系统无法做到持续分析和威胁发现,更不具备环境感知和动态授权的能力。所以完善统一的认证和授权只是做好零信任安全的第一步,更多的精力是要通过持续性分析检测来解决零信任安全理念中动态授权的问题。

其次,如何解决零信任安全中动态授权的问题。

新华三通过引入AI技术,实现对海量的多源信息、上下文信息进行快速分析,通过一些无监督学习和有监督学习的算法来及时发现异常访问行为。进而由风险变化的快速感知来实现动态授权。

最后,融合安全防护能力是零信任安全落地的关键。

新华三认为,在零信任安全架构落地过程中,不能忽略安全防护体系的建设。零信任安全落地要做到和网络安全防护体系的同步规划、同步建设、同步运行。实现零信任体系与安全防护体系及时联动,从而做到问题的及时发现和及时处置。

谈及未来对零信任安全发展趋势的展望,新华三集团安全产品拓展部副部长赵佳伟表示,新华三将致力于四个方面的达成:在云方面,推动零信任安全在原生云的落地,实现从DevOps到DevSecOps的模式的转变;在网络方面,新华三将利用自己在网络方面的优势,加速轻量级零信任安全方案的落地,以便为更多的中小客户服务;在安全方面,实现ATT&CK框架中的安全检测和响应模型与零信任安全的融合,进一步提升零信任安全方案的可靠性;在技术先进性方面,利用新华三AI研究成果,减少零信任安全方案中人工研判的环节,使零信任安全更加智能化、自动化。

2020年4月24日,在以“智·变”为主题的 2020 NAVIGATE 领航者峰会上,紫光旗下新华三集团向业界全面介绍了其最新零信任安全解决方案总体架构。在国内零信任安全领域,谈的人很多,然而案例却很少,这与方案的复杂度以及关键技术的突破难度有关。新华三正在通过不断技术创新及落地实践,推动零信任安全研究不断纵深发展,尤其在通过持续性检测解决动态授权方面取得了重点突破。

零信任安全是安全建设思路的转变

2010年“零信任”概念由市场研究机构Forrester正式提出,并逐步在国外市场开始了零信任安全的实践。2019年起我国的一些部委机构、央企,以及包括新华三集团在内的厂商开启零信任安全业务架构的落地,同时在2019年9月,工信部公开发布对《关于促进网络安全产业发展的指导意见(征求意见稿)》中,除了提出对市场规模和网络安全企业的要求外,《意见》还将“零信任安全”列入需要“着力突破的网络安全关键技术”。

新华三集团认为,有两点原因使得零信任安全如此受业界追捧,一个是在传统安全架构设计方面,企业重金打造的边界防护并不能保证内部系统安全无虞;另一个原因是,随着5G、云计算等技术不断深入的应用,随之带来的边界的模糊化和访问路径的多样化直接导致传统边界防护无从入手。

基于对安全现状及趋势的研判,新华三集团从2019年开始,基于持续性分析检测、动态授权、最小化原则零信任安全的核心思想,利用自身在云、网络、安全、大数据、AI方面的技术积累,开启了零信任安全架构在不同场景下的落地实践。

新华三零信任安全解决方案

总体架构与核心能力

新华三集团零信任安全架构包含四个部分:

安全统一管理系统,对企业的重要资源进行管理,对安全风险进行持续性地分析,对安全策略进行快速生成和下发。

可信业务控制系统,通过该系统来实现对访问主体的访问控制,是实现零信任安全理念中动态授权和最小化原则的重要执行节点。

身份认证和权限管理系统,提供身份、认证、权限等基础能力,是实现零信任安全思想中动态授权和最小化原则的主要支撑系统。

可信终端系统,提供终端杀毒、合规管理、环境感知、漏洞发现的能力,为实现零信任安全思想中动态授权提供了重要数据支撑。

以上新华三集团零信任安全架构的核心能力重点体现在业务访问流程的三个环节上:

在用户接入部分,首先要做身份认证准入,不光验证接入者的身份,还对接入设备的身份进行认证,一旦发现有高危因素存在于环境之中,便会立刻切断访问动作。

在业务访问部分,即接入者获得认证并登入后,必须通过资源列表来访问其权限范围内的资源,超出范围则不被许可。

在全流程监控部分,新华三强调权限控制、环境感知、行为分析以及策略控制等能力,实现对零信任的分析检测和动态授权。

重在落地,

新华三的零信任安全不断突破技术瓶颈

虽然零信任安全的理念在业内越来越流行,但大家实际看到的落地案例非常少,这与零信任安全架构中的几大关键技术实现难度有关:

首先,零信任安全以认证和授权为基础,但认证和授权不是零信任安全的全部。

一部分市场观点认为零信任就是升级版的认证和授权系统。但传统的IAM(身份识别与访问管理)系统无法做到持续分析和威胁发现,更不具备环境感知和动态授权的能力。所以完善统一的认证和授权只是做好零信任安全的第一步,更多的精力是要通过持续性分析检测来解决零信任安全理念中动态授权的问题。

其次,如何解决零信任安全中动态授权的问题。

新华三通过引入AI技术,实现对海量的多源信息、上下文信息进行快速分析,通过一些无监督学习和有监督学习的算法来及时发现异常访问行为。进而由风险变化的快速感知来实现动态授权。

最后,融合安全防护能力是零信任安全落地的关键。

新华三认为,在零信任安全架构落地过程中,不能忽略安全防护体系的建设。零信任安全落地要做到和网络安全防护体系的同步规划、同步建设、同步运行。实现零信任体系与安全防护体系及时联动,从而做到问题的及时发现和及时处置。

谈及未来对零信任安全发展趋势的展望,新华三集团安全产品拓展部副部长赵佳伟表示,新华三将致力于四个方面的达成:在云方面,推动零信任安全在原生云的落地,实现从DevOps到DevSecOps的模式的转变;在网络方面,新华三将利用自己在网络方面的优势,加速轻量级零信任安全方案的落地,以便为更多的中小客户服务;在安全方面,实现ATT&CK框架中的安全检测和响应模型与零信任安全的融合,进一步提升零信任安全方案的可靠性;在技术先进性方面,利用新华三AI研究成果,减少零信任安全方案中人工研判的环节,使零信任安全更加智能化、自动化。

联系我们 联系我们
联系我们
回到顶部 回到顶部