网络安全零信任网络案例分析PPT.pptx

网络安全

“零信任网络”案例分析

ZeroTrustSecurity

目录

CONTENTS

传统边界安全架构

零信任网络假设和基本概念

Forrester与BeyondCorp

零信任网络的未来

边界安全架构与零信任网络

零信任理念的最佳实践

以身份为基石进行动态访问控制

未来已来，完整的解决方案和产品会是什么样子？

两个故事

②疫情下，远程办公的坎坷过程

①一个看似正常的“运维操作”=-10亿市值

传统边界安全架构

内网被认为是可信区间（特权网络）

内部用户通常拥有“特权”

Vpn配置复杂

拥有明显的物理安全边界

云计算，云服务

ZERO

？

“零信任网络”到底是什么？

核心思想

五个基本假定

以身份为基石，

进行动态可信访问控制

零信任网络安全架构

向“最小权限”应用程序访问模式转型

零信任网络安全架构的特点

统一数字身份体系（ePASS）

以身份为中心

BeyondCorp项目–背景

极光攻击

一个经典的APT攻击

2009年

2010年

2011年

2014年

有力推动

重新搭建整体安全架构

转移服务

搜索服务由中国内地转至中国香港

发表论文

5篇BeyondCorp相关的论文

2017年

宣布成功

宣布BeyondCorp项目成功完成

让所有Google员工从不受信任的网络中不接入VPN就能顺利工作。

BeyondCorp项目–目标、内容

②准确识别设备

准确识别用户并移除对网络的信任

提供内部应用和工作流

访问控制

动态更新

①使用由公司提供且持续管理的设备

通过身份认证且符合访问要求

通过专门的访问代理

访问特定的公司内部资源

“零信任模型”（ZeroTrustModel）

图（来源：BuildSecurityIntoYourNetwork’sDNA:TheZeroTrustNetworkArchitecture,ForresterResearch,Inc.）

微隔离（microsegmentation）

软件定义边界（SoftwareDefinedPerimeter，SDP）

理

念

特

点

BeyondCorp与零信任模型

BeyondCorp

Forrester的零信任模型

VS

理念一致：原本假设的信任并不存在，需要贯彻“最小特权原则”

着眼于业务应用

关注网络架构

网络流量不可信，从而着眼的是对不同网络流量的隔离，并分别进行安全扫描和处理

访问代理

侧重网络不可信，因而重点在于对人和设备的管理、认证、授权和访问控制

隔离网关

零信任的未来？

零信任的未来？

思科23.5亿美元收购了身份安全厂商DUO

Microsoft推出了Azure的“零信任”产品

Centrify、Okta等强调“以身份为基石”的理念

新华三集团为网络安全大会在零信任安全领域准备了方案

奇安信身份安全实验室展现零信任网络的概念

根据Forester2019年四季度的市场报告，目前全球市场上的零信任代表性厂商如右图：

QA

参考文献书籍如下：

①GoogleBeyondCorp系列论文

②EvanGilman和DougBarth：《零信任网络：在不可信网络中构建安全系统》

左英男：《零信任架构：网络安全新范式》

叶马力：《零信任安全模型在央企安全管理中的应用研究》

深入学习推荐如下：

欢迎交流指正

THANKSFORLISTENING