零信任安全解决方案

场景需求

——

近年来，随着各行业的IT业务系统日益复杂且功能强大，面向业务和用户数据的攻击行为也在迅猛增加，网络安全领域发生了快速发展变化。传统网络安全技术由于存在如下缺陷，已无法满足当前网络安全的需求。

1. 网络防护层次较低：传统网络安全设备一般采用IP加端口方式的防护手段，对应用层数据或者访问主体身份无法识别、验证与控制；

2. 安全防护对外不对内：传统网络安全设备一般对安全域外部访问内部拥有一定的安全访问控制，而对于从安全域内部访问外部或者安全域内部之间的访问，则没有有效的安全访问控制手段；

3. 传统网络安全设备无法满足等保2.0标准的要求；

4. 将访问控制策略从单系统拓展到云计算体系的时候，缺乏有效的机制去承载可信状态以及形成可信的安全链。

 

在2019年10月23日深圳举行的“云计算与新兴技术安全大会”上，中国工程院院士邬江兴提出，网络安全正在从传统的物理边界防护向零信任安全转变。

 

伴随着云计算、移动互联网、物联网、5G等新技术的崛起，万物互联的数字经济时代已经到来，各行各业开始向数字化智能化转型。业务上云、数据互联互通，给企业带来深刻变革的同时，也让企业IT架构发生了翻天覆地的变化，一场关于网络安全架构的技术革命正在发生并被越来越多的专家和企业所关注和认可。

 

国内外企业基于对零信任安全框架的理解，开展了积极的技术探索和布局，目前多用于解决身份管理和访问控制的问题，聚焦于软件定义边界（SDP）、微隔离等方向。软件定义边界凭借更细粒度的控制、更灵活的扩展、更高的可靠性，正在改变传统的远程连接方式。

 

 

解决方案

——

针对传统安全解决方案存在的问题、隐患以及痛点需求等，卓讯提供了一种全新的基于标记强制访问控制策略的零信任安全解决方案。安全标记（Label）包含应用标记、系统标记和网络标记三个维度，先对主客体定义安全标记值（包含安全属性和控制属性），再通过配置安全标记策略对所有的会话进行强制访问控制，强访策略遵循BLP和BIBA模型。

 

卓讯零信任安全方案包含如下组件：数字认证中心，安全管理平台，安全客户端，安全网关设备或安全数据交换系统，以及态势感知系统等。各组件协同工作，可达到如下效果：

1. 东西向微隔离：卓讯的安全客户端提供了基于标记技术的东西向微隔离功能。安全客户端以微服务形式部署于应用系统操作系统环境，对应用而言无感透明；安全客户端标记强制访问控制功能，使得虚拟机之间的访问必须在满足标记策略的前提下进行；而安全标记的定义、标记策略的部署，都是和IP解耦的，从而使虚拟机之间的安全隔离和业务交互都不会因其在云上漂移而受到影响。

2. 南北向安全防护：通过部署在各安全域边界处的安全网关设备或安全数据交换系统，实现南北向流量的安全防护功能。卓讯安全网关设备或安全数据交换系统提供了覆盖L1~L7层多种强度的安全隔离能力，包括物理隔离和逻辑隔离。通过基于安全标记技术的强制访问控制功能，可实现不同安全等级网络间的业务交互和数据交换。

3. 细粒度的权限和访问控制：安全标记技术的三个维度，可实现各种粒度的权限控制：网络标记可实现主机/安全域级，系统标记可实现进程/文件级，应用标记可实现API级。主客体的标记定义是动态且全网唯一的，通过统一的安全策略中心，可配置任意两个主客体之间的访问控制策略。

4. 智能集中管理：安全管理平台可对用户、设备、系统进行统一管理，实现身份认证、安全策略管理、安全运维管理、安全监控报警、安全基础设施管理、统计报表生成和全日志审计等功能。