基於零信任架構的IDaaS實現

隨著網際網路的持續發展，便捷的共享方式極大地提高了企業的生產力和工作效率，但隨之也給企業內網帶來了極大的安全隱患。企業內網承載大量的核心資產和機密資料，一旦受到攻擊可能會造成大量損失，因此，如何透過零信任內網安全解決方案保障企業資料安全，加強企業資訊化建設，是提高企業資訊保安管理水平的關鍵。

01

企業內網安全面臨的問題與挑戰

數字經濟時代，數字應用是推動經濟社會發展的必要生產要素，其重要性日益凸顯。面對新基建的歷史機遇，隨著5G網路、人工智慧、工業網際網路等產業的成熟，移動網際網路、物聯網、工業網際網路、車聯網等新型應用場景的持續推廣也隨之帶來了許多安全問題，企業內網安全面臨以下挑戰：

針對企業網路邊界的猛烈攻擊

攻擊者大量利用弱口令、口令爆破等慣用伎倆，在登入過程中突破企業邊界、在傳輸過程中截獲或偽造登入憑證。大型組織甚至國家發起的APT高階攻擊，還可以繞過或攻破企業網路防護邊界在企業內部進行橫向訪問。  

企業資源暴露程度大幅度增加

在非授權訪問、員工無意犯錯等情況下，“合法使用者”非法訪問特定的業務和資料資源後，造成企業內部資料洩漏，甚至可能發生內部員工“獲取”管理員許可權，導致更大範圍、更高階別的企業資訊保安災難性事故。

傳統安全防禦體系已經無法適應安全管控需求

傳統的安全架構以“縱深防禦+邊界防禦”為主，企業在成長過程中，安全邊界逐步被打破，並徹底走向模糊化，基於邊界的安全防護體系逐漸失效，已經難以適應企業快速成長，難以應對業務的快速變化。

02

企業內網安全場景分析

企業內部業務一方面實現了多部門、多平臺、多業務的資料融合；另一方面業務訪問方面打破了業務之間、部門之間的網路邊界，實現互通互訪。其主要的零信任業務場景包括：

企業分支機構實現內網訪問

通常企業有一個總部和一個或多個位置分散的分支機構，這些機構沒有由企業自有的物理網路連線，員工可透過內網訪問企業內部應用，其應用系統會暴露於各種安全威脅下，易受到各種形式的攻擊，包括暴力破解、DDoS、XSS和任何TLS漏洞。

企業內部員工出差實現內網訪問

員工在出差過程中，經常透過不同的環境或裝置遠端訪問企業內網進行公文處理、郵件收發或資料上傳下載，因不安全的環境和裝置非常容易導致惡意軟體透過內網進行傳播，帶來巨大的安全風險。

企業運維人員透過遠端實現內網訪問

企業內部運維人員在非工作時間，為快速支援和解決業務的應急問題，需要透過遠端訪問後臺伺服器的埠和訪問許可權進行管理，而粗放式的埠授權和訪問機制，導致攻擊者可快速掃描其伺服器漏洞，增加了被攻擊風險。

企業內部人員透過外網直接訪問被暴露的應用系統

一部分企業為方便應用系統被全球使用者或分支機構訪問，採取直接透過NAT方式對映至網際網路，並開通其訪問埠和訪問路徑，其安全隱患一是應用系統無法應對各種攻擊和病毒入侵，二是攻擊者使用DDoS等攻擊手段導致業務癱瘓。

03

零信任內網安全解決方案

派拉零信任身份安全系統是基於“零信任”架構，整合賬戶管理、統一認證、訪問授權、集中審計、特權管理、應用安全等，實現內網安全管理功能和服務。

SDP方式實現BYOD分支機構訪問

基於零信任資源門戶部署方式，對使用者的自有裝置實現裝置、人員和許可權的綜合鑑權與訪問，其中門戶閘道器可以是單個資源或資源集，並且不需要在客戶端裝置安裝代理軟體。

SDP方式實現不支援BYOD分支機構訪問

基於零信任裝置代理/閘道器部署方式，對使用者的非自有裝置實現裝置、人員和許可權的綜合鑑權與訪問，其中每個資源都具備一個閘道器，並且在客戶端裝置安裝代理軟體。

SDP方式實現運維管理及業務應用遠端訪問

使用SDP閘道器，針對運維管理人員及企業內部使用者，透過遠端訪問或直接訪問形式，首先進行SPA單包認證，只有使用者身份、訪問許可權和裝置透過驗證且可信，則建立相應的TCP連線，同時開放伺服器運維埠及應用系統訪問埠等許可權。

使用微隔離技術加強企業內部業務安全訪問

透過新一代防火牆NGFW技術,實現針對企業內部以應用維度進行網路隔離，主要包括兩種實現模式：

• 第三方防火牆微隔離：透過第三方防火牆供應商提供的虛擬防火牆進行隔離，其特點包括具備豐富的安全能力、支援自動化編排和豐富的分析報告；

• 基於代理模式微隔離：透過使用將代理軟體部署至主機或虛擬機器中，實現動態方式控制代理主機間的通訊和安全，其特點包括適用各種線下線下平臺、支援自動化編排和安全策略的快速遷移。

企業內部使用者身份管理與訪問控制

透過對企業多身份源的統一、可信終端管控以及不同網路訪問場景的安全管控，促進企業對內部、外部、客戶、消費者、合作伙伴等不同群體和物件的管理。同時基於主體、客體和環境等層面的角色動態管理和最小許可權管控，滿足安全治理要求。透過AI風險分析與監測，動態感知安全邊界的變化，更多的使用者透過手機、Pad等不同可信終端進行業務訪問，進一步擴大安全管理邊界。基於可信裝置的准入和身份鑑別，保障裝置可信接入和安全環境的合規訪問。

04

零信任內網安全訪問業務價值

構建更安全的內部安全網路

透過實施“從不信任並始終驗證”，不同型別使用者只能按照預先確定的信任級別，訪問預先申請的企業資源，未預先申請的企業資源將無法被訪問，阻止企業內部“漫遊”情況。

增強對企業應用和資料的保護

在實施“按需受控訪問”的基礎上，有效整合資源保護相關的資料加密、網路分段、資料防洩露等技術，保護應用資源、資料在網路中的傳輸和儲存，並優先保護高價值資源。

大面積減少攻擊企業內部風險

使用者透過訪問認證之前，資源對使用者隱身；即便在使用者透過訪問認證和授權，成功進入網路以後，零信任架構也將阻止使用者漫遊到未經授權的區域。零信任思維從根本上降低了外部（網際網路可發現）和內部（內部威脅）攻擊面。

縮減企業安全管理成本和建設成本

零信任架構終結了安全防護手段各自為政的現狀，在零信任架構實施時，可以透過與現有工具的整合，大幅度降低零信任潛在建設成本。

據舊金山電腦保安研究所的統計，60％到80％的網路濫用事件來自內部網路，對內部人的信任所造成的危害程度，遠遠超過駭客攻擊和病毒造成的損失。展望未來，隨著網路防護從傳統邊界安全理念向零信任理念演進，零信任將成為數字安全時代的主流架構。