零信任安全防护体系落地实践.docxVIP

零信任安全防护体系落地实践 新时代背景下，网络安全面临诸多新挑战。渤海银行参 考国内外零信任相关标准及最佳实践，通过系统性研究和思 考，以“打造基于零信任架构的生态银行体系”为目标，构建 起具有渤海银行特色的零信任安全防护体系。该体系针对新 时代金融行业网络安全防护的各种难点和痛点问题，既能够 满足网络安全防护要求，保护企业与用户数据安全，又能平 衡网络安全与业务发展之间的关系，助力银行实现业务增长 与创新。 一、新时代网络安全面临的挑战 随着金融科技的发展，越来越多的商业银行将资源倾注 到金融科技以及智能化转型升级上，新冠肺炎疫情下，转型 升级提速。通过提供随处可用、无感泛在的金融服务，银行 不再是一个“地点”，而是一种“行为在远程办公、移动展 业等业务场景，随时随地接入、自带设备使用带来网络安全 风险，大量金融机构的业务数据留存在设备之上，一旦发生 数据泄露会给金融机构带来重大影响。 行根据新一代的网络架构真正进行零信任的落地。渤海银行 在充分验证和实践零信任安全架构体系的基础上，将零信任 和云原生安全进行充分结合，在新核心系统建设过程中进行 规划，构建基于身份的微隔离零信任安全架构，使用身份进 行微服务网络微隔离，缩小网络攻击面，以提高生产网的安 全防御水平。具体设计思路如下：首先，渤海银行新核心系 统采用微服务架构，在新核心系统建设过程中会将外部客户、 内部用户、应用账户的身份信息与权限进行集中梳理与管控, 并通过统一身份管理平台IAM系统进行统一用户身份认证与 访问管理，为微服务的认证授权与访问控制打下基础。其次， 借鉴云原生Service Mesh的思想，将微服务的认证、授权与 访问控制任务下沉至每个微服务的SideCar代理中，并通过 微服务管理平台的策略配置对各微服务的认证、授权与访问 控制策略进行管理。最后，通过云原生微服务管理平台、API 网关与IAM系统的对接，实现微服务应用之间基于身份的认 证授权与精细化访问控制。基于身份的微隔离零信任架构如 图5所示。 PodPodPod应用代码微服务A微服务B Pod Pod Pod 应用代码 微服务A 微服务B Sidecar代理SidecarftS13层携带应用身吩 云原生基础设施* *控制中心 *控制中心策略中心身份管理IAM *控制中心 策略中心 图5基于身份的微隔离零信任架构 基于身份的微隔离零信任方案将从架构层面给渤海银 行带来如下好处。一是微服务的管理者能够精确地控制哪些 服务可以和哪些API进行通信。机器、服务、员工都有自己 的身份和明确的访问权限，能够有效避免核心网络中越权访 同时，随着金融行业数字化转型的深入，IT基础架构大 量引入云计算、移动计算、大数据、人工智能等新兴技术， 内外网络物理边界日趋模糊。传统的基于边界的防控理念已 不能满足金融行业的IT安全需求。传统防控思维默认内网 比外网安全，通过边界部署安全设备以达到安全保障的目标。 在新技术冲击下，防御面指数级扩大，内外部网络边界交错， 边界防护节点难以有效定位与防御。同时，攻击者的技术手 段也在日益提升，比较典型的是高级持续性威胁（APT）组织， 他们通常不会正面进攻，而是以钓鱼邮件或从防御薄弱的分 支机构迂回攻击等多种方式，绕过边界防护进入企业内部。 在传统安全思维指导下，内网安全防御能力普遍不足，一旦 边界被突破，攻击者往往能在整个企业内部自由移动，最终 达到攻击目的。 二、零信任安全防护体系规划 为解决上述网络安全问题，零信任安全架构（Zero Trust Architecture, ZTA）应运而生。渤海银行经过系统性研究， 制定了具有自身特色的零信任安全防护体系建设规划（如图 1所示），以用户持续验证、应用主动安全为主线，以零信任 网络架构为抓手，从用户安全风险和应用数据安全风险两个 方面开展零信任安全防护体系建设工作。 终端安全可信零信任客户端安全客户端安全浏览器安全沙箱零信任网络架构零信任策略管理中心身份信任分析安全智能分析户求问用用请访应智能动态授权 终端安全可信 零信任客户端 安全客户端 安全浏览器 安全沙箱 零信任网络架构 零信任策略管理中心 身份信任分析安全智能分析 户求问用用请访应 智能动态授权安全决策联动 用访安转■ 终端安全防护 杀毒软件 终端EDR 移动安全 单包认证T单点登录 ▼ 统一身份管理平台 统一账号管理 统一认证管理 统一审计服务 统一授权服务 图1渤海银行零信任安全防护体系 在用户安全风险方面，用户终端通过零信任客户端和终 端安全防护套件实现终端设备/应用/数据安全可信；通过零 信任网络的身份认证和智能用户行为分析，实现终端用户身 份和行为安全可信；通过应用安全开发与应用安全验证确保 用户访问的资源安全可信无漏洞，最终实现用户安全