零信任代表的是新一代的网络安全防护理念,目前,很多企业都在零信任的基础上,构建一个全新的安全体系,助力企业更好的完成数字化转型。构建零信任架构最好找专业的服务商,白山云科技实力比较强,它是国内创新的独立边缘云服务提供商,白山边缘云平台基于 SASE 与零信任理念,构建“网络+安全+计算”的一体化产品与服务。早前,白山云科技已经入围 CSA云安全联盟《2021零信任落地案例集》,有不少成功案例都值得参考∞
B. 零信任网络安全
近年来,国内信息与通信技术(ICT)发展迅速,各企业将新技术应用于商业环境,推动了其数字化应用与发展。与此同时,也出现了许多信息安全方面的问题,如用户信息泄露和盗用、病毒引起的数据丢失、外部攻击导致的业务停顿等,对企业和社会的发展产生了极大影响。确保企业日益复杂的IT系统能够长期、安全、可靠运转成为众多企业IT决策者面临的巨大挑战。另外,随着以《中华人民共和国网络安全法》颁布为标志的一系列法律法规及各类标准的推出,网络安全上升为重要国家战略。网络安全不仅是企业内部的问题,还是企业合法合规开展业务的重要内容。
随着云计算、大数据、移动互联网、物联网(IoT)、第五代移动通信(5G)等新技术的崛起,传统的网络安全架构难以适应时代发展需求,一场网络安全架构的技术革命正在悄然发生,其受到越来越多企业IT决策者的认可。
在传统安全理念中,企业的服务器和终端办公设备主要运行在内部网络中,因此,企业的网络安全主要围绕网络的“墙”建设,即基于边界防护。然而,物理安全边界有天然的局限性。随着云计算、大数据、移动互联网、物联网等技术的融入,企业不可能将数据局限在自己的内部网络中。例如,企业要上云,就不能将公有云装入自己的防火墙;企业要发展移动办公、物联网,防火墙却无法覆盖外部各角落;企业要拥抱大数据,就不可避免地要与合作伙伴进行数据交换。因此,传统安全边界模型在发展新技术的趋势下逐渐瓦解,在万物互联的新时代成为企业发展的障碍,企业需要建立新的网络安全模型。
在这样的时代背景下,基于零信任理念的新一代网络安全架构应运而生。它打破了传统安全边界,不再默认企业物理边界内的安全性,不再基于用户与设备在网络中的位置判断是否可信,而是始终验证用户的身份、设备的合法性及权限,即遵循“永不信任,始终校验(Never Trust,Always Verify)”的零信任理念。在零信任理念下,网络位置变得不再重要,其完全通过软件来定义企业的安全边界,“数据在哪里,安全就到哪里”。SDP依托自身优势成为解决新时代诸多安全问题的最佳选项,其安全性和易用性也通过大量企业的实践得到了验证。为了推进SDP技术在中国的落地,CSA(大中华区)于2019年成立SDP工作组。
本书基于SDP工作组的若干成果,对分散在不同文献中的理论与概念进行汇总和整理,自上而下地对SDP的完整架构进行详细介绍,并结合大量实践案例,为读者提供完整的软件定义边界技术架构指南。
(1)企业信息安全决策者。本书为企业信息安全决策者设计基于SDP的企业信息安全战略提供完整的技术指导和案例参考。
(2)信息安全、企业架构或安全合规领域的专业人员。本书将指导他们对SDP解决方案进行评估、设计、部署和运营。
(3)解决方案供应商、服务供应商和技术供应商将从本书提供的信息中获益。
(4)安全领域的研究人员。
(5)对SDP有兴趣并有志从事安全领域工作的人。
第1章对SDP的基本概念、主要功能等进行介绍。
第2章对SDP架构、工作原理、连接过程、访问控制及部署模式等进行介绍。
第3章对SDP架构的具体协议及日志进行介绍。
第4章对SDP架构部署模式及其适用场景进行介绍,为企业部署SDP架构做技术准备。
第5章对企业部署SDP需要考虑的问题、SDP与企业信息安全要素集成及SDP的应用领域进行介绍。
第6章对技术原理和IaaS使用场景进行分析与介绍,指导企业安全上云。
第7章通过展示SDP对DDoS攻击的防御机制,加强读者对SDP的认识和理解。
第8章介绍SDP对等保2.0各级要求的适用情况。通过对等保2.0的深入解读,展示如何通过SDP满足企业的等保2.0合规要求。
第9章对SDP战略规划与部署迁移方法进行介绍,在战略规划和部署迁移层面为企业提供指导。
第10章对NIST、Google、微软及Forrester的零信任架构与实现进行介绍。
第11章精选了国内主要的SDP和零信任实践案例,对其进行介绍。
(1)本书主要基于公有云的IaaS产品,如Amazon Web Services、Microsoft Azure、Google Compute Engine和Rackspace Public Cloud等。其相关用例和方法同样适用于私有化部署的IaaS,如基于VMware或OpenStack的私有云等。
(2)按照SDP规范实现商业化的厂商与没有严格按照SDP规范进行产品开发的厂商,在构建产品的过程中,有不同架构、方法和能力。本书对厂商保持中立并避免涉及与头部厂商相关的能力。如果有因为厂商能力产生的差异化案例,本书尽量使用“也许、典型的、通常”等词语来解释这些差异,避免减弱本书的可读性。
(3)高可用性和负载均衡不在本书的讨论范围内。
(4)SDP策略模型不在本书的讨论范围内。本书讨论的SDP用例和方法也适用于平台即服务(PaaS)。
(5)下列内容为引用文字。
零信任网络又称软件定义边界(SDP),是围绕某个应用或某组应用创建的基于身份和上下文的逻辑访问边界。应用是隐藏的,无法被发现,并且通过信任代理限制一组指定实体访问。在允许访问前,代理会验证指定访问者的身份、上下文和策略合规性。该机制将应用资源从公共视野中消除,从而显着缩小可攻击面。
(6)下列内容为数据包格式。
IP TCP AID(32位) 密码(32位) 计数器(64位)
(7)标题带有“JSON规范格式”字样的方框中的内容为JSON文件的标准格式。
JSON规范格式
{
“sid”: <256-bit IH Session ID>,
“seed”:<32-bit SPA seed>,
“counter”: <32-bit SPA counter>
[
“id”:<32-bit Service ID>
]
}
C. 网络安全行业专题报告:零信任,三大核心组件,六大要素分析
获取报告请登录【未来智库】。
1.1 零信任架构的兴起与发展
零信任架构是 一种端到端的企业资源和数据安全 方法,包括身份( 人和 非 人的实体)、凭证、访问管理理、操 作、端点、宿主环境和互联基础设施。
• 零信任体系架构是零信任不不是“不不信任”的意思,它更更像是“默认不不信任”,即“从零开始构建信任”的思想。 零信任安全体系是围绕“身份”构建,基于权限最 小化原则进 行行设计,根据访问的 风险等级进 行行动态身份 认证和授权。
1.2 零信任架构的三大核心组件
1.3 零信任的六大实现要素——身份认证
2.1 零信任安全解决方案主要包括四个模块
2.2 零信任的主要部署场景
2.3 零信任将会对部分安全产品带来增量效应
2.4 零信任将会成为安全行业未来的重要发展方向
零信任抓住了了 目前 网络安全 用户的痛点, 零信任是未来 网络安全技术的重要发展 方 向。根据Cybersecurity的调查, 目前 网络 安全的最 大的挑战是私有应 用程序的访问 端 口 十分分散,以及内部 用户的权限过多。 62%的企业认为保护遍布在各个数据中 心 和云上的端 口是 目前最 大的挑战,并且 61%的企业最担 心的是内部 用户被给予的 权限过多的问题。这两点正是零信任专注 解决的问题,现在有78%的 网络安全团队 在尝试采 用零信任架构。
3、投资建议
企业业务复杂度增加、信息安全防护压 力力增 大,催 生零信任架构。
企业上云、数字化转型加速、 网络基 础设施增多导致访问资源的 用户/设备数量量快速增 长, 网络边界的概念逐渐模糊; 用户的访问请求更更加复 杂,造成企业对 用户过分授权;攻击 手段愈加复杂以及暴暴露露 面和攻击 面不不断增 长,导致企业安全防护压 力力加 大。 面对这些新的变化,传统的基于边界构建、通过 网络位置进 行行信任域划分的安全防护模式已经 不不能满 足企业要求。零信任架构通过对 用户和设备的身份、权限、环境进 行行动态评估并进 行行最 小授权, 能够 比传统架构更更好地满 足企业在远程办公、多云、多分 支机构、跨企业协同场景中的安全需求。
零信任架构涉及多个产品组件,对国内 网安 行行业形成增量量需求。
零信任的实践需要各类安全产品组合, 将对相关产品形成增量量需求:1)IAM/IDaaS等统 一身份认证与权限管理理系统/服务,实现对 用户/终端的 身份管理理;2)安全 网关: 目前基于SDP的安全 网关是 一种新兴技术 方向,但由于实现全应 用协议加密流 量量代理理仍有较 大难度,也可以基于现有的NGFW、WAF、VPN产品进 行行技术升级改造;3)态势感知、 SOC、TIP等安全平台类产品是零信任的 大脑,帮助实时对企业资产状态、威胁情报数据等进 行行监测;4)EDR、云桌 面管理理等终端安全产品的配合,实现将零信任架构拓拓展到终端和 用户;5) 日志审计:汇聚各 数据源 日志,并进 行行审计,为策略略引擎提供数据。此外,可信API代理理等其他产品也在其中发挥重要 支撑 作 用。
零信任的实践将推动安全 行行业实现商业模式转型,进 一步提 高 厂商集中度。
目前国内 网安产业已经经过 多年年核 心技术的积累,进 入以产品形态、解决 方案和服务模式创新的新阶段。零信任不不是 一种产品, 而 是 一种全新的安全技术框架,通过重塑安全架构帮助企业进 一步提升防护能 力力。基于以太 网的传统架构 下安全设备的交互相对较少,并且能够通过标准的协议进 行行互联,因 而导致硬件端的采购 非常分散,但 零信任的实践需要安全设备之间相互联动、实现多云环境下的数据共享,加速推动安全 行行业从堆砌安全 硬件向提供解决 方案/服务发展,同时对客户形成强粘性。我们认为研发能 力力强、产品线种类 齐全的 厂商 在其中的优势会越发明显。
由于中美安全市场客户结构不不同以及企业上公有云速度差异,美国零信任SaaS公司的成功之路路在国内还 缺乏复制基础。
美国 网络安全需求 大头来 自于企业级客户,这些企业级客户对公有云的接受程度 高,过 去 几年年上云趋势明显。根据Okta发布的《2019 工作报告》,Okta客户平均拥有83个云应 用,其中9%的 客户拥有200多个云应 用。这种多云时代下企业级 用户统 一身份认证管理理难度 大、企业内外 网边界极为 模糊的环境,是Okta零信任SaaS商业模式得以发展的核 心原因。 目前国内 网络安全市场需求主要集中于 政府、 行行业( 金金融、运营商、能源等),这些客户 目前上云主要以私有云为主, 网安产品的部署模式仍 未进 入SaaS化阶段。但随着未来我国公有云渗透率的提升,以及 网安向企业客户市场扩张,零信任相关 的SaaS业务将会迎来成 长机会。
投资建议:
零信任架构的部署模式有望提升国内 网安市场集中度,将进 一步推动研发能 力力强、拥有全线 安全产品的头部 厂商扩 大市场份额、增加 用户粘性,重点推荐启明星 辰辰、绿盟 科技 、深信服、南洋股份, 关注科创新星奇安信、安恒信息。
(报告观点属于原作者,仅供参考。作者:招商证券,刘 萍、范昳蕊)
如需完整报告请登录【未来智库】。
D. 零信任网络助力工业互联网安全体系建设
随着云计算、大数据、物联网、5G、边缘计算等IT技术的快速发展,支撑了工业互联网的应用快速落地。作为“新基建”的重点方向之一,工业互联网发展已经进入快轨道,将加速“中国制造”向“中国智造”转型,并推动实体经济高质量发展。
新型 IT 技术与传统工业 OT 技术深度融合,使得工业系统逐步走向互联、开放,也加剧了工业制造面临的安全风险,带来更加艰巨的安全挑战。CNCERT 发布的《2019 年我国互联网网络安全态势综述》指出,我国大型工业互联网平台平均攻击次数达 90 次/日。
工业互联网连接了大量工业控制系统和设备,汇聚海量工业数据,构建了工业互联网应用生态、与工业生产和企业经营密切相关。一旦遭入侵或攻击,将可能造成工业生产停滞,波及范围不仅是单个企业,更可延伸至整个产业生态,对国民经济造成重创,影响 社会 稳定,甚至对国家安全构成威胁。
近期便有重大工业安全事件发生,造成恶劣影响,5 月 7 日,美国最大燃油运输管道商 Colonial Pipeline 公司遭受勒索软件攻击,5500 英里输油管被迫停运,美国东海岸燃油供应因此受到严重影响,美国首次因网络攻击而宣布进入国家紧急状态。
以下根据防护对象不同,分别从网络接入、工业控制、工业数据、应用访问四个层面来分析 5G 与工业互联网融合面临的安全威胁。
01
网络接入安全
5G 开启了万物互联时代,5G 与工业互联网的融合使得海量工业终端接入成为可能,如数控机床、工业机器人、AGV 等这些高价值关键生产设备,这些关键终端设备如果本身存在漏洞、缺陷、后门等安全问题,一旦暴露在相对开放的 5G 网络中,会带来攻击风险点的增加。
02
工业控制安全
传统工业网络较为封闭,缺乏整体安全理念及全局安全管理防护体系,如各类工业控制协议、控制平台及软件本身设计架构缺乏完整的安全验证手段,如数据完整性、身份校验等安全设计,授权与访问控制不严格,身份验证不充分,而各类创新型工业应用软件所面临的病毒、木马、漏洞等安全问题使原来相对封闭的工业网络暴露在互联网上,增大了工控协议和工业 IT 系统被攻击利用的风险。
03
数据传输及调用安全
云计算、虚拟化技术等新兴IT技术在工业互联网的大规模应用,在促进关键工业设备使用效率、提升整体制造流程智能化、透明化的同时,打破原有封闭自治的工业网络环境,使得安全边界更加模糊甚至弱化,各种外来应用数据流量及对工厂内部数据资源的访问调用缺乏足够透明性及相应监管措施,同时各种开放的 API 接口、多应用的的接入,使得传统封闭的制造业内部生产管理数据、生产操作数据等,变得开放流动,与及工厂外部各类应用及数据源产生大师交互、流动和共享,使得行业数据安全传输与存储的风险大大增加。
04
访问安全
工业互联网核心的各类创新型场景化应用,带来了更多的参与对象基础网络、OT 网络、生产设备、应用、系统等,通过与 5G 网络的深度融合,带来了更加高效的网络服务能力,收益于愈发灵活的接入方式,但也带来的新的风险和挑战,应用访问安全问题日益突出。
针对上面工业互联网遇到的安全问题,青云 科技 旗下的 Evervite Networks 光格网络面向工业互联网行业,提出了工业互联网 SD-NaaS(software definition network & security as a service 软件定义网络与安全即服务)解决方案,依托统一身份安全认证与访问控制、东西向流量、南北向流量统一零信任网络安全模型架构设计。工业互联网平台可以借助 SD-NaaS 构建动态虚拟边界,不再对外直接暴露应用,为工业互联网提供接入终端/网络的实时认证及访问动态授权,有效管控内外部用户、终端设备、工厂工业主机、边缘计算网关、应用系统等访问主体对工业互联网平台的访问行为,从而全面提高工业互联网的安全防护能力。帮助企业利用零信任网络安全防护架构建设工业互联网安全体系,让 5G、边缘计算、物联网等能力更好的服务于工业互联网的发展。
基于光格网络 SD-NaaS 架构的工业互联网安全体系大体可以分四个层面:
基于统一身份认证的网络安全接入
首先 SD-NaaS 平台引入零信任安全理念,对接入工业互联网的各类用户及工控终端,启用全新的身份验证管理模式,提供全面的认证服务、动态业务授权和集中的策略管理能力,SD-NaaS 持续收集接入终端日志信息,结合身份库、权限数据库、大数据分析,身份画像等对终端进行持续信任评估,并基于身份、权限、信任等级、安全策略等进行网络访问动态授权,有力的保障了 5G+ 工业互联网场景下的终端接入的安全。
最小权限,动态授权的工业安全控制
其次针对工业互联网时代下的工控网络面临的安全隐患,SD-NaaS 零信任网络平台提出全新的控制权限分配机制, 基于“最小化权限,动态授权”原则,控制权限判定不再基于简单的静态规则(IP 黑白名单,静态权限策略等),而是基于工控管理员、工程师和操作员等不同身份及信任等级,控制服务器、现场控制设备和测量仪表等不同终端的安全策略,不同工控指令权限,结合大数据安全分析进行动态评估及授权,实现工业边界最小授权,精细化的访问控制。以此避免工业控制网络受到未知漏洞威胁,同时还可以有效的阻止操作人员异常操作带来的危害。
端到端加密,精细化授权的数据防护
工业生产中会产生海量的工业数据包括研发设计、开发测试、系统设备资产信息、控制信息、工况状态、工艺参数等,平台各应用间有大量的数据共享与协同处理需求,SD-NaaS 平台提供更强壮的端到端数据安全保护方法,通过实时信任检测、动态评估访问行为安全等级,建立安全加密隧道以保障数据在应用间流动过程的安全可靠。同时生产质量控制系统、成本自动核算系统、生产进度可视系统等各类工业系统之间的 API 交互,数据库调用等行为,SD-NaaS 平台可实现细颗粒度的操作权限控制,对所有的增删改查等动作进行行为审计。
采用应用隐藏和代理访问的应用防护
最后 SD-NaaS 平台采用 SDP 安全网关和 MSG 微分段技术实现工业互联网平台的应用隐身和安全访问代理,有效管理工业互联网平台的网络边界及暴露面,并基于工程师、操作员、采购、销售、供应链等不同身份进行最细颗粒度的动态授权(如生产数据,库存信息,进销存管理等),对所有的访问行为进行审计,构建全方位全天候的应用安全防护屏障。
基于光格网络 SD-NaaS 解决方案,我们在工业视觉、智能巡检、远程驾驶、AI 视频监控等场景实现安全可靠落地;帮助企业在确保安全的基础上,打造支撑制造资源泛在连接、弹性供给、高效配置的工业云平台,利用工业互联网平台 探索 工业制造业数字化、智能化转型发展新模式和新业态。
SD-NaaS 最佳实践:
申请使用光格网络产品解决方案
点击申请使用光格网络产品解决方案