“众说网安”线上课堂公益活动第五讲“基于‘零信任+’的访问控制策略管理和流量威胁管控实践”于7月3日下午在钉钉直播,讲师来自于北京安博通科技股份有限公司湖北区域技术负责人张铅老师。张铅老师从事网络安全行业7年,参与了众多重点行业和企业的整体安全规划和项目建设。
网络安全以结果为导向的情况下,形成了合规为先,防御为重的思想。但由于缺乏标准化的IT能力及网络的可见性,所以成熟度并不是很高,过去我们一直认为整个网络安全的态势是比较良好的,也就是说我们处在“不知道自己不知道”的状态。我们总是希望网络安全建设是可以一蹴而就,一劳永逸甚至不劳而获,要求购买什么就购买什么,也就是所谓的以合规为先,在出现问题时,我们更在意的是攻击行为,而不是自己的网络架构是否有缺陷。没有完整安全防护体系时,一味的防御在新型的攻击面前,不仅仅是徒劳的,也使安全运维人员感到疲劳。
传染病防控方法论
目前比较有效的防控传染病的方法主要有控制传染源、切断传播途径、保护易感人群等。通过此次新冠疫情来看,这些方法是比较有效可控的,而有了信息技术,特别是大数据AI的支撑时,在面对这种大规模流行性传染病时实时监测和分析响应发挥了重要作用。在这个阶段中,我们整个网络安全观也是在改进,不可否认,当前和未来很长一段时间内合规力量是我们做安全预算的主要推动力,但网络安全建设应该不仅仅是解决合规这种有或无的问题,而是应该有能力去驱动解决客户所发生的问题,这才是衡量标准,网络安全必将从以结果为导向转换成以过程为导向。
安全架构的认知
任何架构的起点都是业务需求,我们都知道冰山在水面上只是很小的一角,更多的是隐藏在水下,而这正对应了我们目前网络安全的建设,有很多安全架构部件被经常使用,只看到了一些表面基础的部件,而没有考虑其对应隐藏的重要部件。
安全架构的演进安全自适应架构定义了网络安全是一个连续的过程,并且无论国内国外,通过安全自适应架构已经有了大量的落地实践,它是以合规为基础,以策略为驱动主体针对整个网络系统从保护检测,响应预防,进行可视化、可见式评估。在复杂网络攻击环境下,传统网络防御手段已经无法抵御,因此等保2.0提出了“三化六防”的思想,指的是网络安全防护要做的:体系化、常态化、实战化,做纵深防御体系,覆盖所有防护对象;主动防护,做到防患于未然;精准防护强调了精细化管理和进展化施策;动态化防护强调持续监测和动态化处置。
零信任架构(ZTA)
零信任架构提供的是一个概念与思路,零信任的目的是为了消除信息系统和服务中存在的一些不确定性,以便进行精准施策, 而零信任体系架构则是一种端到端的网络和数据安全方法,包括身份、凭证、访问管理、操作、终端、宿主环境和互联基础设施。
零信任架构会从身份界别和访问控制进行“零信任”,会对每一次用户登录都进行验证;对登录的用户设定其所需最小权限;所有业务将默认隐藏,根据授权结果进行最小限度开放,保证安全策略动态化;基于角色、属性、安全标签等组合授权实现灵活的访问控制基线,并基于信任等级实现分级业务访问。
基于“零信任+”的访问控制策略管理和流量威胁管控
“零信任”并不是完全的不信任,它是需要基于信任的一个载体,去确保可以逐级评估逐级信任。
整个网络搭建是由路由器、交换机、防火墙、终端等基础模块组成,这些模块为了减少“零信任”风险,需要做到硬件可信、逐级安全可视化、网络流量可视化和安全架构可视化。
威胁感知组件威胁感知组件包括主机资产漏洞探针、网络行为流量探针、访问控制关系、威胁情报(TI,内外部)。
威胁响应中心(TRC)威胁响应中心相比传统响应系统来说,应用控制更精准、数据来源更丰富、管控手段更充分、从重在防外到内外兼具、从面向事件到面向运营。
从流程化事件管理到自动化安全运营攻击面分析与收敛过程
威胁监测与自动响应过程
网络访问控制策略自动化响应流程
思考
当前国内还是以战术级别讨论“零信任”的架构,包括一些技术和实现的方式。美国在战略级别上已经推行这种“零信任”架构愿景了。
从军事化方面来看,我们得到几点启示:缩减攻击面是安全防护的永恒主题;纵深防御永不过时;安全配置管理是安全能力的基础。
从中医思想出发来考虑,中医提出理论为“上医治未病,中医治预病,下医治已病”。对应网络安全当中,做单纯的防御就是下医,只会在事情发生后对症下药;如果做持续检测,就可以达到预防的效果,也就是中医;我们整个网络安全管理中在扎扎实实做好基础前提下,实时安全监测和响应,经常对人员进行安全意识培养,这就是持续性做好预防,这也就对应了中医中的上医。相信网络安全领域很快也会提倡中医这种思维。
该文章仅对此次课程进行简洁性的重点复盘,完整观看本次课程请关注公众号并回复“张铅”,即可获取视频回放下载链接。
第一时间给你最全资讯扫码关注我们吧!
本会副会长单位奇安信科创板IPO顺利过会,力争成为全球的网络安全公司的领军者
省人民政府关于印发湖北省数字政府建设总体规划(2020-2022年)的通知