2023零信任技术和产业发展白皮书.pdf
《2023零信任技术和产业发展白皮书.pdf》由会员分享,可在线阅读,更多相关《2023零信任技术和产业发展白皮书.pdf(86页珍藏版)》请在咨信网上搜索。
1、1 零信任技术和产业发展(2022 年)4 前 言 零信任作为新型网络安全架构,以其“从不信任、始终验证”的理念为产业数字化升级转型提供了全新的安全方案。零信任网络安全架构的研究已经进入快车道。强化零信任网络安全体系建设,推动零信任网络安全部署实施,优化数字信息基础设施安全模型,培育零信任产业生态闭环已成为当前国内国际安全领域关注的重点。本白皮书以零信任总体架构与关键技术为基础,聚焦典型应用的场景需求,提炼针对性的参考方案,整合当前的实践情况,分析实施应用案例的价值与可推广性。以微观视角探讨供需双方的需求,以宏观视角分析相关政策的指导性意义,最后总结与分析零信任在重点领域的发展机遇和挑战,形成
2、对零信任发展全流程的探索。1 目 录 一、零信任发展背景与产业生态.1(一)零信任的诞生及发展.1(二)零信任战略价值.2(三)零信任产业生态分析.4(四)零信任产业中的关键角色.5 二、零信任总体架构及关键技术.8(一)零信任总体架构.8(二)零信任关键技术.9 三、零信任典型应用场景.23(一)远程办公.25(二)多云环境.27(三)多分支机构.32(四)物联网.34(五)数据中心.37 四、零信任工程实施重点与案例.40(一)零信任工程实施方法与要点.40(二)金融行业应用案例.42(三)电信运营商行业应用案例.45(四)政府行业应用案例.49(五)国企央企行业应用案例.52(六)医疗行
3、业应用案例.56 五、零信任相关政策分析.61(一)美国高度重视零信任产业建设.61(二)我国逐步推进零信任产业发展.67 六、零信任发展机遇与挑战.68 2(一)5G 场景.69(二)车联网场景.70(三)物联网场景.72(四)工业互联网场景.73(五)算力网络场景.75(六)元宇宙场景.77 1 图 目 录 图 1 中国零信任产品视图.7 图 2 零信任总体架构.8 图 3 零信任综合安全管理要求框架.22 图 4 远程办公的总体零信任安全解决方案.26 图 5 基于 CSP 网络基础设施的零信任解决方案.29 图 6 基于 SDP 架构的零信任解决方案.30 图 7 基于身份的微隔离零信
4、任解决方案.31 图 8 多分支机构的总体零信任安全解决方案.33 图 9 基于行为验证的评估体系.36 图 10 物联网终端安全接入方案.37 图 11 数据中心零信任实践技术架构 .39 图 12 零信任实施重点架构图.40 图 13 金融行业零信任解决方案.44 图 14 电信运营商行业零信任解决方案.47 图 15 政府行业零信任解决方案 .50 图 16 国企央企行业零信任解决方案 .55 图 17 医疗行业零信任解决方案.58 图 18 车联网系统架构示意图.71 零信任技术和产业发展白皮书 1 一、零信任发展背景与产业生态(一)零信任的诞生及发展 传统的安全模型依赖于基于边界的安
5、防方式,即建立一个安全的网络边界,在边界部署包括防火墙、入侵检测、WAF等安全设备,形成的安全防护自然切分出企业内外网,同时默认内网的一切都是可信的。然而随着新一代信息技术的快速演进,云计算、大数据、物联网、移动办公等新技术与业务的深度融合,网络的复杂性不断增加,其安全威胁和风险更是不断涌现,边界意识逐渐淡化,默认以物理边界内外网来判断安全威胁的应用模式无法抵御多重安全挑战,在此背景下,“从不信任、始终验证”的零信任(Zero Trust)理念应运而生。2010年,Forrester分析师约翰.金德维格(John Kindervag)首次提出了零信任安全的概念,即“所有的网络流量都是不可信的,
6、需要对访问任何资源的任何请求进行安全控制”。该理念颠覆了传统边界安全架构思想,是应对新IT时代网络安全挑战的全新战略,因此其理念一经提出便引起了网络安全产业界的关注。谷歌率先孵化出了以零信任为基础的“BeyondCorp”项目,旨在让员工在不受信任的网络中无需接入VPN就能顺利工作。BeyondCorp项目构建了中心化的认证、授权和访问控制系统,真正且彻底地改变了企业的安全体系,是全球第一个零信任理念的落地实践,至此零信任概念得到了网络安全产业界更为广泛的认可。零信任技术和产业发展白皮书 2 作为规划和实施企业体系结构时使用的网络安全原则,零信任可在整个架构中嵌入安全性,将防御重点从状态、基于
7、网络的边界转移到用户、资产和资源。零信任的基本原则是任何参与者、系统、网络或服务在安全范围之外或之内都不会受到信任,对于任何尝试建立访问的行为需要持续的进行安全验证,验证范围涵盖每个用户、设备、应用和交互。为规范化零信任安全架构与技术要求,各方机构先后开展了零信任标准规范、白皮书等相关内容的研究工作。2014年,云安全联盟(Cloud Security Alliance,CSA)发布SDP标准规范V1.0,形成了针对零信任三大技术路线之一软件定义边界的初步探索,后续于2019年到2022年期间,陆续发布了SDP架构指南v2白皮书、软件定义边界(SDP)和零信任、软件定义边界(SDP)标准规范V
8、2.0,形成了针对软件定义边界领域全面且深入的系列成果,进一步推动零信任技术发展。2019年,美国国家标准与技术研究院(NIST)发布了零信任架构草案稿,标志着零信任架构已正式开始了标准化进程。(二)零信任战略价值 全球数字化转型的逐渐深入让“云大物移智”等新技术演进速度加快,越来越多的网络服务需要兼容移动互联网、物联网、5G等新兴技术,同时支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络应用场景,保障终端和用户可以从任何IP地址接入服务网络。然而企业机构的传统网络安全模式专注于边界防御,授权主体(资源请求的终端用户、应用以及其他非人类实体)可广泛地访问内网资源,零信任技术和产业发展白
9、皮书 3 因此,环境内未经授权的横向移动一直是企业机构面临的最大挑战之一。零信任的理念和技术精准对应了市场的需求,根据 Evan Gilman在Zero Trust Networks书中所述,零信任网络建立在五个假设前提之下:l 应该始终假设网络充满威胁;l 外部和内部威胁每时每刻都充斥着网络;l 不能仅仅依靠网络位置来确认信任关系;l 所有设备、用户、网络流量都应该被认证和授权;l 访问控制策略应该动态地基于尽量多的数据源进行计算和评估。在零信任安全模型中,假设环境中存在攻击者,企业环境和任何非企业环境毫无差异,并没有更值得信赖。在这种新范式下,企业必须拒绝隐性信任,不断地分析和评估其内部资
10、产和业务功能的风险,然后制定防护措施来缓解这些风险。在零信任中,这些防护措施通常尽可能减少对资源(如数据、计算资源和应用/服务)的广泛授权访问,将资源仅限于“需要访问和仅授予执行任务所需的最小权限”的主体,并对每个访问请求的身份和安全态势进行持续认证和授权。作为一种以资源保护为核心的网络安全范式,零信任拒绝隐式授予信任,持续进行安全评估,其体系架构是一种端到端的企业资源和数据安全方法,包括身份(人类和非人类的实体)、凭证、访问管理、操作、端点、宿主环境和基础设施。基于“从不信任,始终验证”的原则,零信任通过网络分段、防止横向移动、提供威胁预防和简化精细用户访问控制来保护现代数字环境。作为一种可
11、支撑未来发展的综零信任技术和产业发展白皮书 4 合业务安全防护方式,零信任技术持续创新,融合云原生、软件定义安全、身份管理、数据安全、微隔离等技术体系不断丰富促进安全应用融合发展,从传统“打补丁”被动安全防御向原生转变,实现了持续的安全保障。面对日益复杂的网络环境,风险持续预测、动态授权、最小化原则的“零信任”创新性安全思维契合数字基建新技术特点,借助云、网络、安全、AI、大数据的技术发展,着力提升信息化系统和网络的整体安全性,成为网络安全保障体系升级的中流砥柱。(三)零信任产业生态分析 零信任几乎可以应用到所有涉及身份认证、行为分析、区域隔离、数据访问等各方面的安全产品和架构体系。目前业内普
12、遍认为软件定义边界(Software Defined Perimeter,SDP)、身份识别与访问管理(Identity and Access Management,IAM)、微隔离(Micro Segmentation,MSG)是实现零信任的三大技术路径,其相关的产品及解决方案也都基于此设计研发。软件定义边界(SDP)分离控制面与数据面,实现资产隐身,零信任理念投射到SDP架构中实现对基于网络的攻击行为的阻断;身份识别与访问管理(IAM)是零信任模型的应用基础,零信任借助IAM实现持续的动态认证与动态授权;微隔离(MSG)超越传统网络分段实现东西向防御,零信任理念借助MSG实现数据中心内工作
13、负载间流量可视及访问控制。然而,零信任市场中各方的技术标准、安全理念和实现方案存在较大差异,零信任产业整体呈现出市场碎片化、生态分散化的特点。根据2020年Gartner 发布的零信任访问指南显示,到 2022 年,在向生态合作伙伴开放的新数字业务应用程序中,80%将通过零信零信任技术和产业发展白皮书 5 任进行网络访问,到 2023年,60%的企业将采用零信任替代大部分远程访问虚拟专用网(VPN)。截至目前,零信任产业在国际上已经开始规模化落地部署,市场认知度较高,商业模式较为成熟,其中SECaaS为主流交付模式,已快速步入向零信任架构转型阶段。市场参与者众多,实现路径各有差异,营收超过1.
14、9亿美元的厂商已超过10家。Google、Microsoft 等巨头率先在企业内部实践零信任并推出了完整的解决方案;OKTA、Centrify、Ping Identity 等为代表的身份安全厂商推出“以身份为中心”的零信任方案;Cisco、Symantec、VMware、F5 等公司推出了偏重于网络实施方式的零信任方案;此外 Vidder、CryptZone、Zscaler、Illumio 等创业公司亦有创新产品推出。随着零信任研究的进一步深入,我国各个安全厂商也陆续推出零信任相关产品或解决方案,在零信任快速普及的背景下均有望迎来良好的发展机遇。奇安信、深信服、启明星辰、绿盟科技等厂商始终关注
15、国际网络安全技术发展趋势,均推出了相应的零信任整体解决方案;此外,山石网科、云深互联等厂商也积极推动软件定义边界、微隔离等零信任技术方案的落地应用。从交付模式来看,综合考虑国内信息化发展水平及对安全的投入程度,产业短期内仍以解决方案为主,长期有望向SECaaS模式转变。零信任的安全理念,需要基于业务需求、安全运营现状、技术发展趋势等对技术能力进行持续完善和演进,零信任的迁移并不是一蹴而就,需要结合企业现状、目标和愿景进行妥善规划和分步建设。(四)零信任产业中的关键角色 企业不仅要解决基础网络安全问题,拥抱安全自动化和编排,还要为这种转变带来的组织和文化变革做好准备。为了建立零信任信心零信任技术
16、和产业发展白皮书 6 ,企业需要将网络、IT、业务系统所有者、应用、最终用户等涉众全部考虑进来。面对碎片化的市场,产业需要有一个统一的商业架构,与业务目标一致的迭代和逐步递增来帮助证明零信任的价值,并增强企业内部对零信任的接受度和认可度。未来的零信任产业生态圈中将有多个关键角色共建发展,包括:零信任产品生产者、零信任产品消费者、零信任市场管理者等。零信任产品生产者:主要代表为市场上各零信任设备、解决方案的供应商,其根据对行业理解力,通过整合资源为行业提供针对性设备与解决方案的设计和交付,提供生态的聚合及业务的集成验证服务,促进零信任产品/方案的规模化生产。如图1所示,本白皮书共调研了25家零信
17、任产品生产公司,主要包含SDP设备提供商、SDP解决方案提供商、IAM设备提供商、IAM解决方案提供商、MSG设备提供商和MSG解决方案提供商。零信任产品消费者:作为最终用户,是行业的践行者。企业客户可以在行业市场订购行业产品/解决方案/服务,行业市场会给企业客户提供零信任产品/解决方案/服务,以便于企业自我管理,保护核心数字资产。零信任市场管理者:在市场发展的过程中,零信任市场管理者需协助产业供需双方建立良好的市场秩序并进行维护。建立健全的零信任标准体系,规范零信任产品能力,完善零信任评测方案,搭建零信任供需交流平台,为零信任供应商提供规范性指导,全面助力零信任产业健康化发展。零信任技术和产
18、业发展白皮书 7 数据来源:中国信息通信研究院整理(截至 2022年 10月)图 1 中国零信任产品视图 零信任技术和产业发展白皮书 8 二、零信任总体架构及关键技术(一)零信任总体架构 零信任架构是一种新的网络安全技术架构,其核心原则与技术框架严格遵循零信任的定义和原则,针对特定的业务场景和工作流,对构成组件、技术交互方式上提供指导和约束。零信任的能力可以理解为零信任技术架构所能提供的能力,另一方面也可以将零信任的能力认为是实践零信任技术框架所需达到的要求。数据来源:中国信息通信研究院整理(截至 2022年 10月)图 2 零信任总体架构 零信任技术和产业发展白皮书 9 如图2所示,零信任总
19、体架构包含8项零信任关键技术,即身份安全、网络安全、数据安全、基础设施、应用/负载安全、安全监测与评估、安全可视化以及综合安全管理。(二)零信任关键技术 1、身份安全 身份管理作为零信任架构的重要组成部分,严格践行以身份为基石的原则,实现与实体相关标识符的获取、处理、存储、传输,并通过标识鉴别和认证确定实体身份,为建立访问主体和访问客体之间的关系奠定基础。零信任架构的身份管理范围包括从访问主体到访问客体之间所涉及的所有实体,例如人员、设备、资源、网络、计算环境、应用/负载等,根据实体不同的分类特征,采用对应的身份管理系统进行身份管理,遵循各自的技术标准和管理规定。例如,当实体为自然人时,个人身
20、份信息构成人员身份,收集、获取、存储、共享自然人信息就需要遵循个人隐私保护的相关规定;当实体为应用系统时,身份管理系统需通过应用系统URL标识来唯一标识该应用系统;当实体为网络对象时,身份管理系统可通过IP地址或者网络号做为其身份信息的唯一标识;设备身份管理包括设备身份信息的获取、处理、存储、传输和使用,并支持通过设备身份认证帮助识别和验证设备身份。为建立访问主体和访问客体之间的关系,需要基于访问控制模型进行授权,例如使用基于角色的访问控制作为常用的模型,应基于工作职能,将访问权限与特定角色相关联,通过角色联系用户,赋予每个角色访问特定资源的权限。实体被划分到对应的组织分组时,常对应于社会关系
21、中的组织机构,具有对应的社会身份属性,例如,可信零信任技术和产业发展白皮书 10 身份是指国家权威机构建设管理运行的可信网络身份,不是企业级的身份。在零信任安全架构中,访问主体包括人员、设备、应用、系统等,资源作为访问客体,包括一切可被操作的实体,包括终端设备、服务器、数据库、API、功能等;人员、设备和资源也可以组合作为主体,例如用户、用户使用的终端设备和发起访问的终端软件应用组合作为主体。零信任以资源保护为核心,秉承“最小授权”原则,即按照每次完成主体访问任务所需的最小范围,精准组合被访问资源的最低权限,实施细粒度的身份认证和授权访问控制。基于身份管理系统实施的零信任架构,在云计算、大数据
22、、移动办公、远程办公、边缘计算、物联网、5G等多种应用场景下,身份管理系统需要基于不同场景特点,为零信任架构实施提供支撑。身份安全全面的建立和维护数字身份,并提供有效地、安全地IT资源访问的业务流程和管理手段,从而实现信息资产统一身份认证、授权和身份数据集中管理与审计。零信任架构下的身份安全,以身份为基石,持续监控用户活动,感知和评估实体身份、权限的变化,通过持续地实体身份鉴别、鉴权,保护所有交互过程,降低资源访问过程中的威胁。身份安全主要包括以下技术:1)身份存储(目录)管理技术 身份存储是身份安全的基础,建立身份信息的统一存储,统一管理,提供统一的跨云端、本地端的权威身份源。2)身份生命期
23、管理技术 身份治理实现通过流程自动完成身份生命周期的管理。包括对各类数字身份(用户账号)的识别、开通、变更、授权、启用、禁用、零信任技术和产业发展白皮书 11 删除由平台统一管理,全面动态编排身份生命周期管理,并与各应用系统实现实时自动同步。3)访问管理技术 访问管理可以提供基于访问控制模型,如:基于角色的访问控制、基于属性的访问控制等形式的认证、授权功能。基于不同类型凭证的使用,会有不同的认证技术。2、基础设施 基础设施以网络基础设施、计算基础设施、重要业务系统为核心支撑起零信任核心架构,是对零信任理念的落实与部署,其稳定性、包容性、可扩展性等方面的能力是零信任发展的基石,是形成访问控制、安
24、全审计等零信任核心体系的助力。1)网络基础设施 在网络基础设施方面,边界防护应综合使用防火墙、入侵防御、垃圾邮件过滤等技术;内网应精细划分安全域进行访问控制;应使用SDP等技术优化传统远程接入方案;内网接入应采用认证机制,对接入用户进行访问控制;应建设态势感知系统,对全网安全态势进行感知和响应。2)计算基础设施 在计算基础设施方面,应使用微隔离技术对主机进行全面访问控制;应使用主机基线核查和主机检测响应等技术对主机安全防护进行优化;应使用堡垒机机制对主机登录进行集中访问控制和运维审计;应使用安全审计机制对主机日志进行审计;应建设主机资源监控系统,对计算资源的使用进行全面监控。3)重要业务系统
25、零信任技术和产业发展白皮书 12 在重要业务系统方面,应使用代理网关技术对业务系统的访问控制进行优化;应综合使用Web漏洞扫描、Web应用防火墙等技术对业务系统进行安全防护;业务系统应采用密码技术对访问通信进行加密;应使用安全审计机制对业务访问日志进行审计;应建设用户行为分析系统,对访问用户的行为进行全面安全分析和响应。4)生产控制系统 在生产控制系统方面,室外设备应有透风、散热、防盗、防雨、防火、防电磁干扰等能力;生产控制系统与其它业务系统之间应有物理隔离或单向安全隔离机制;配置变更应有安全审计机制;生产控制系统内部组件之间的通信应使用密码技术保证机密性和完整性;应采用入侵检测技术对生产控制
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 2023 信任 技术 产业 发展 白皮书
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【Stan****Shan】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【Stan****Shan】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。