// 誰提出了零信任
縱觀整個零信任發展史,零信任的歷史最早可以追溯到1994年的Jericho Forum 探討無界化下的網路安全架構與方案,提出要限制基於網路位置的隱式信任。到2020年的RSAC大會上,隨處可見的零信任理念和產品,最終將此概念推向了實用化。
// 為什麼要提出零信任
以往的邊界安全:基於物理邊界構築安全防護,假定“內網”可信!這種假設的“信任”是安全的最大漏洞!——-(零信任提出者金德維格語);
特別是在雲服務模式下、移動辦公環境下、有第三方合作伙伴情況下,如何實現可信;這些都預示著傳統的網路邊界正在逐漸消失。在不可信的現代網路環境下,以身份(Identity)為中心,透過動態(Dynamic)訪問控制技術,圍繞核心保護物件(Object),遵循最小許可權(Least-privilege)原則,構築端到端的邏輯身份邊界。——-從不信任!始終認證和加密!動態訪問控制!這就是零信任的核心思想。
// 零信任是什麼
零信任的核心:
1、應該始終假設網路充滿威脅。
2、外部和內部威脅每時每刻都充斥著網路。
3、不能僅僅依靠網路位置來建立信任關係。
4、所有裝置、使用者和網路流量都應該被認證和授權。
5、訪問控制策略應該是動態的基於儘量多的資料來源進行計算和評估。
八個字概括為:
“永不信任,始終驗證”
。
零信任的本質是:
1、應該假設網路始終存在外部威脅和內部威脅,僅僅透過網路位置來評估信任是不夠的;
2、預設情況下不應該信任網路內部或外部的任何人/裝置/系統,而是基於認證和授權,重構業務訪問控制的信任基礎;
3、每個裝置、使用者、業務訪問流都應該被認證、授權和加密;
4、訪問控制策略應該是動態的,基於多源的環境資料和風險評估計算出來。
// 通付盾的零信任實踐路徑
通付盾是行業內較早踐行零信任理念的安全廠商,我們認為零信任的核心是計算,信任是計算出來的,我為什麼不信任它,我應該相信誰,依據是什麼?早在2011年通付盾創立之初推出的基於裝置指紋技術的身份計算服務,就從終端裝置的維度衍生出一系列的信任計算,包括驗證終端是否為本人、是否為模擬器、位置是否變換、是否為常用裝置,賬號與不同終端登陸頻次情況等等因素,計算出一個風險分值以判斷該行為是否值得信任。
在隨後通付盾建立的產品技術及服務體系中,均圍繞著以身份識別為核心,定義數字身份,並透過各種行為來進行研判計算。通付盾的零信任方案與其他廠商的區別在於擁有智慧決策平臺,該平臺脫胎於金融風控的成熟落地技術,在金融行業應用於交易反欺詐、營銷風控及信貸欺詐識別與防護,是積累了眾多經驗與防護模型的創新落地應用,透過加入更多維度的資料,圍繞身份認證、訪問風險識別及許可權控制等進行信任計算,在傳統規則的基礎上,引入演算法進行智慧決策,增加了計算的精確性。
// 零信任安全防護體系建設
零信任防護體系,是以身份為中心對使用者、人員、賬戶等進行管理,透過持續認證,認證不僅是基於賬號,也可藉助裝置指紋等技術進行身份識別;然後透過使用者基本資訊、訪問行為、操作行為等進行綜合分析建立信任等級,進行動態許可權控制和細粒度的訪問控制,實現業務安全訪問;之後對整個過程進行全方位的安全審計和持續的風險與信任評估。最終達到對身份、裝置、應用、資料的共同保護。
1、在裝置接入識別方面,通付盾裝置指紋,透過線上獲取上網裝置(PC、手機、PAD等)硬體、軟體、網路、行為等多層次屬性,精準、快速地生成唯一的裝置號,準確標識訪問裝置,為零信任體系增加裝置維度資料。
2、在身份識別與訪問控制方面,通付盾自研的“零信任新基石”—身份安全閘道器U-IAM,包括帳號管理、統一認證、集中授權和安全審計,保障使用者合法、安全、方便地使用整個系統的特定資源,既有效地保障了合法使用者的權益,又能有效地保障業務系統安全可靠地執行。
3、在可信API接入代理方面,通付盾自研的資料路由器產品,解決API管理過程中的標準不一、管理繁瑣、傳輸安全、隱私合規等問題,並快速打通資料孤島,為資料供需雙方提供安全高效的資料交換解決方案。
4、在業務安全防護方面,通付盾自研的新一代動態WEB應用防火牆—機器人防火牆BotWAF,針對日益變化的WEB攻擊,致力於打造“動態防禦,決策智慧,不一樣的新一代Web應用防火牆”。
5、最後,持續的環境風險感知方面,通付盾自研的風險監測預警平臺,基於業務場景,結合使用者畫像、裝置指紋、決策引擎、智慧建模和大資料分析等技術多維度實時識別操作及環境風險。
通付盾為企業提供一站式安全管理方案,透過身份安全閘道器U-IAM、裝置指紋、機器人防火牆BotWAF、資料路由器、風險監測預警平臺等自研安全產品,構建全新的零信任安全框架及體系,為企業數字化轉型提供安全保障和發展助力。
關於我們
About us
通付盾是一家以數字身份識別為核心的新一代數字化技術服務商,為政府、軍工、 能源、金融、運營商、教育、醫療、傳媒、交通、網際網路等行業使用者,提供 “雲、端、信”一體化數字信任軟體產品與服務。
