从零信任的实践方面，结合国内的实际情况，一要保证零信任理念的落地的便利性，二要注重整个方案的安全、合规特性。

　　零信任安全解决方案不是交钥匙工程，除了有完善的方案和成熟的产品做支撑外，还需要对客户的使用场景进行全面而细致的调研，紧密结合用户业务场景不断的迭代安全基线，才能最大程度上兼顾安全性与易用性。针对上述背景，本期发布牛品推荐：吉大正元——基于密码技术的零信任解决方案，其通过将密码技术赋能零信任架构，为零信任解决方案建立坚实的安全底座，为广大用户在提升网络安全能力的同时，也为符合等保、密评的相关要求做好技术准备。

　　#牛品推荐第二十五期 #

　　01

　　标签

　　零信任，密码技术，动态访问控制，多实体身份管理，多数据源持续评估，国密SSL安全通道，国密算法证书认证，SDP，资源隐藏，先认证后链接

　　02

　　用户痛点

　　1、传统安全边界瓦解

　　传统安全模型仅关注边界的网络安全防护，认为外部网络不可信，内部网络是可以信任的。各种设备可随时随地进行企业数据访问提高了企业运行效率，同时也带来更多安全风险。

　　2、外部风险暴露面不断增加

　　企业数据不再仅限于内部自有使用或存储，随着云大物移智的发展，数据信息云化存储、数据遍地走的场景愈加普遍。

　　3、企业人员和设备多样性增加

　　企业员工、外包人员、合作伙伴等多种人员类型，在使用企业内部管理设备、家用PC、个人移动终端等，从任何时间、任何地点远程访问业务。各种访问人员的身份和权限管理混乱；接入设备的安全性参差不齐，接入程序漏洞无法避免等，带来极大风险。

　　4、数据泄露和滥用风险增加

　　企业的业务数据在不同的人员、设备、系统之间频繁流动，原本只能存放于企业数据中心的数据也不得不面临在员工个人终端留存的问题。数据在未经身份验证的设备间流动，增加了数据泄露的危险。

　　5、内部员工对数据的恶意窃取

　　在非授权访问、员工无意犯错等情况下，“合法用户”非法访问特定的业务和数据资源后，造成数据中心内部数据泄露，甚至可能发生内部员工获取管理员权限，导致更大范围、更高级别的数据中心灾难性事故。

　　03

　　解决方案

　　吉大正元通过以下几个层面的安全策略解决上述挑战和用户痛点：

　　将身份作为访问控制的基础：IAM结合数字证书体系为所有参与访问的实体赋予数字身份，为以身份作为基石的零信任安全解决方案打下坚实的基础；

　　最小权限原则：强调资源的使用按需分配，仅授予其所需的最小权限。同时限制了资源的可见性。默认情况下，资源对未经认证的访问发起方不可见；

　　资源安全访问：通过SDP实现先信任后链接，要求所有访问链必须加密。可信访问网关提供建立国密SSL安全通道能力；

　　基于多源数据进行信任等级持续评估：访问发起方信任等级是动态访问控制的重要决策依据。通过不同维度（终端环境监测，实体行为分析等）的关联分析，让信任等级评估更加准确和可信；

　　实时计算访问策略：一旦访问发起方的信任等级发生变化，安全策略引擎会实时匹配与信任等级所对应的访问策略。有效减少资源受到威胁的时间；

　　动态访问控制机制：当安全控制中心发现访问发起方的信任等级发生变化后，安全控制中心作为策略决策点，向各个策略执行点下发安全访问控制策略。结合各策略执行点能力，可实现自适应多因子认证，动态权限访问控制，会话熔断，身份失效，终端隔离等动态访问控制能力。

　　以密码技术为基础：保障实体身份的真实性。保障数据传输及存储过程中的完整性和机密性及不可否认性。

　　方案总体架构

　　1、动态访问控制体系

　　动态访问控制体系主要负责实体身份管理认证及授权，定义动态访问控制策略，通过不同维度的感知能力评估访问主体是否可信，并根据评估结果和资源敏感等级，向各个策略执行点进行策略下发，动态访问控制的主要产品组件如下：

　　1） IAM：

　　作为动态访问控制的基础，为零信任提供身份管理、身份认证、细粒度授权及行为审计能力。

　　2）安全控制中心：

　　作为动态访问控制策略管理者：负责管理动态访问控制规则。作为安全策略引擎：负责通过多数据源对用户信任等级进行持续评估，并根据用户信任等级与访问资源的敏感程度进行动态访问控制策略匹配，最后将匹配到的结果下发到各个策略执行点。

　　3）威胁感知：

　　通过终端环境监测、用户实体行为分析等可信评估数据源对访问主体及设备存在的风险或威胁进行监测和分析。当出现安全事件时，及时上报给安全控制中心。

　　2、可信访问网关/API可信网关：

　　可信访问网关和API可信网关是确保业务访问安全的关口，为零信任提供支持建立国密SSL安全通道，动态会话阻断，资源隐藏等能力。

　　1）策略执行点：

　　主要负责执行由安全控制中心下发的动态访问控制策略，避免企业资源遭到更大的威胁。主要包括以下动态访问控制能力：二次认证、限制访问、会话熔断、身份失效、终端隔离等。

　　2）密码支撑服务：

　　可以为人员、设备、应用颁发高安全等级的国密数字证书，在通信链路上实现国密安全信道，在应用数据方面通过数字签名保护数据的完整性、使其具有防篡改、抗抵赖的特性，通过“数据加密”保护敏感数据的机密性，通过时间戳技术保障整个系统的时间可靠性。

　　04

　　应用场景

　　1、用户可信访问企业资源

　　通过IAM对身份及权限的统一管理，多因子认证和基于多数据源的持续评估，确保访问发起者可信。通过建立国密SSL安全通道确保访问通道可信，通过资源隐藏技术，确保企业资源安全。实现了访问的全流程安全保护。为企业提供了多类型用户、多网络位置、多种访问途径、多类型终端设备自适应无感安全访问能力。

　　2、VPN访问路径

　　VPN是面向网络连接，使用VPN连接后，资源就面临直接暴露的风险。缺乏整体的安全管控分析能力，容易受到弱口令、凭证丢失等方式的安全威胁。零信任是面向应用连接，可以有效的减少资源暴露面积，通过动态访问控制和信道加密等技术让访问更可信。

　　3、云桌面访问路径

　　云桌面与零信任对接后，能够让云桌面访问路径得到更加完善的安全保护。对接后云桌面即可获得单点登录、自适应多因子认证，实时阻断等动态访问控制能力。

　　05

　　用户反馈

　　通过零信任项目的落地，把提升认证与访问控制相关的安全性进行了大幅优化，涉及用户统一管理、API统一管理、业务应用统一管理、动态权问控制等。

　　——某央企集团

　　除了有好的方案与好的产品做支撑外，吉大对客户的访问方式方法、进行全面而细致的调研，通过紧密结合用户应用场景完善零信任动态访问控制策略，最大程度上兼顾了安全与易用性。

　　——某省厅

　　迅速有效的解决了远程办公的认证和访问控制的安全问题，保障期间，没有出现过任何安全风险，特此感谢。

　　——某央企用户

　　安全牛评

　　随着互联网越来越开放，网络访问也从边界向边缘转变。零信任是解决当前安全接入的一种解决思路，而其中基于身份的访问控制则是零信任的基石。吉大正元零信任方案分为访问控制和零信任网关，在访问控制中基于最小权限对实体行为进行管理，从而保证对用户的精准画像；在可信网关中，利用动态策略对网络访问行为进行控制。访问主体的身份信息、权限、实体类型等均是判断访问者可信与否的指标，访问目标的资源、场景均是判断访问者可否访问的要点。吉大正元的侧重点在于身份的动态管控思路，是零信任方案的重要支撑部分。