www.3158sun.com / www.3158sun.com
www.3158sun.com
IT168首页 > www.3158sun.com > 网络安全资讯 > 正文

新报跑狗a:基于零信任的身份安全理念、架构及实践

2018-09-12 13:10    佚名 来源:佚名  作者: 360信息安全中心 编辑: 高博
本文来源:http://www.247338.com/yule_sohu_com/

www.3158sun.com,在开放平台方面,中国移动构建了车联网开放平台,支持各类车载智能硬件的海量接入,打造大数据分析能力,为自有业务、合作产品、行业客户提供全方位的连接及数据服务;在大数据能力方面,以各类车载智能硬件采集上传的GPS、G-sensor、速度、故障、视频、图像等数据为基础,综合天气、路况、地理信息等各类环境数据,实现精准的用户画像,为车厂、4S、保险等行业客户提供大数据服务。  与此同时,Amazon也将在2016年的某个时候在中国宁夏开放第二个数据中心集群,以此作为北京数据中心的补充。游戏中的动物的种类也非常多,玩家在玩的过程中就会发现,这种画面的构造,可能你不能一眼就认出某个物种哦。得益于索尼独有的ExmorRCMOS传感器以及XDNR动态降噪技术,新品摄像机的噪点及残影控制水平大幅提高,且可达到0.006lux(30IRE)*和0.01lux(50IRE)*的低照度水平。

未来,Concur还将云计算、大数据、移动等更多的创新科技融入企业的财务系统中,更快实现财务管理的全面数字化。风之影集成了诸多强大而且方便的功能帮助用户提高在线工作的效率和娱乐的体验。这样的成功或许可以在VR时代提供一个参考。这一点对整个大数据领域和数据领域来说是想办法努力解决的一个重要的点,这几条预测其实反映的是一个比较严重的问题。

责任编辑:黎晋简历请通过电子邮件方式,将相关信息发送至:(请用@代替#)在市场方面,则鼓励房地产开发企业顺应市场规律调整营销策略,适当降低商品住房价格,促进房地产业兼并重组,提高产业集中度,取消过时的限制性措施。整机支持,提高了对VR适配的完整性,在虚拟现实中,尽享游戏乐趣新体验。

  随着业务的增长,近两年来360公司自身在网络安全运营方面面临着一系列的转变,包括数据中心规模扩大、网络设备数量剧增、移动办公和云业务的大幅采用等等,这些转变导致了一些显而易见的安全挑战,包括边界模糊、海量数据中心和设备难以管理、设备可信难以施行、内网安全难以保障……基于这些安全挑战,作为360信息安全中心网络安全部负责人张睿意识到,“墙破了”。

  规模空前的ISC 2018互联网安全大会在上周落下帷幕。在身份安全论坛现场,360企业安全集团身份安全产品部负责人张泽洲和360信息安全中心网络安全部负责人张睿共同为大家带来了《基于零信任的身份安全理念、架构及实践》的主题演讲。

  360的零信任安全实践充分结合CSA提出的软件定义边界SDP、Google的BeyondCorp项目等业界零信任安全方面的规范和参考实践,自研零信任安全的控制器,实现了身份源的统一、严格的用户和终端管控,并结合业界厂商的标准零信任网关类产品,实现了适应不同网络访问场景的零信任安全方案。

  张睿分享了在零信任安全建设过程中的“雷”和“坑”,着重提到在零信任安全项目中,高层领导的牵头和支持至关重要,另外,张睿也对零信任安全的未来进行了展望,希望能基于更全面的数据分析技术促进零信任网络的持续运营优化。

  360企业安全集团身份安全实验室负责人张泽洲介绍了关于零信任身份安全的通用理念和架构。在企业数字化转型的今天,外部威胁、内部威胁和IT新环境下边界的瓦解都是企业面对的巨大挑战,基于边界的安全体系正在失效,业界期待新的安全架构,零信任安全就是在这种背景下诞生的,其目的是基于身份和访问控制从0构建企业新的逻辑边界。

  零信任安全的本质是访问控制范式的转变,从传统的以网络为中心转变为以身份为中心进行访问控制。这种转变的必然性是因为企业的边界正在瓦解,已经无法区分内外网,因此,索性将企业网按照互联网安全的思路进行建设,而互联网对业务的安全防护的典型解决方案就是基于身份与访问控制,因此,零信任安全自然而然的将身份和访问控制作为信任重建的基石。零信任安全架构一般由三大子系统构成:设备和用户认证代理、可信接入网关和智能身份平台。基于零信任安全的基础架构,张泽洲分享了零信任安全的一些关键实践。

  设备认证是零信任安全的关键实践,在零信任架构中,终端设备包括4类状态:非受控终端、受控终端、可信终端和不可信终端。通过3大关键举措来实现设备的状态迁移:设备初始化和注册、设备认证、设备持续评估。

  ●默认情况所有的终端设备都标记为非受控终端,非受控终端没有任何权限,必须完成设备注册后,非受控终端才变为受控终端。

  ●受控终端要变为可信终端,必须经过设备认证。只有可信终端可进行后续的用户认证和业务访问。设备认证的技术手段包括设备证书、设备指纹、设备硬件绑定等技术。

  ●另外,必须通过持续的终端风险监测和评估,确保可信设备的持续可信。如果评估发现设备风险过高,可信终端将退化为不可信终端,访问权限将被撤销。

  设备认证通过后需要进行用户认证。用户认证也包括3个关键举措:初始认证、持续认证和二次认证。

  在零信任安全的逻辑中,认为仅仅对用户进行一次性的初始认证并不安全,即便是采用了多种认证因子仍然无法保证用户身份在访问业务过程中的安全性,因此,需要采用持续认证手段,通过用户业务流量分析、用户操作行为分析持续的评估用户身份的合法性。在发现安全风险时,需要提示用户进行二次认证。

  零信任安全的本质是基于身份的访问控制,具体实践中需要充分考虑授权策略的自适应、可管理、可扩展几方面的平衡。建议采用基于角色的访问控制模型RBAC和基于属性的访问控制模型ABAC相结合的方式。

  ●通过RBAC实现粗粒度授权,建立满足最小权限原则的权限基线;

  ●通过ABAC模型,基于主体、客体和环境属性实现角色的动态映射,满足灵活的管理需求;

  ●通过风险评估和分析,对角色和权限进行过滤,实现场景和风险感知的动态授权。

  为了对所有业务访问进行强制认证和授权,需要可信接入网关。可信接入网关接管所有的业务访问请求并和智能身份平台平台联动进行认证和授权。另外,可信接入网关作为业务的访问代理,可以提供统一的传输加密机制和全流量日志导出能力。因此可信接入网关即是策略强制执行点也是流量加密网关。

  在零信任安全架构中,智能身份分析为自适应访问控制和身份治理提供智能支撑。

  ●通过采集各种设备、用户、环境相关的属性和业务访问的日志信息,智能身份分析引擎可实时评估当前访问请求的风险分,并将这个风险分作为访问控制的关键判定因子。

  ●智能身份分析也是身份治理的关键能力,通过对等组分析、权限合规分析等模型,持续对权限策略进行优化和风险评估,并触发工作流引擎对策略进行调整,形成身份和权限的智能闭环治理。

  零信任安全架构的核心控制平面智能身份平台需要基于现代身份管理技术进行构建,相对于传统身份管理,现代身份管理平台具备敏捷、安全、智能的优势。

  ●基于敏捷的身份生命周期管理机制,满足企业对内部、外部、客户等不同身份的管理;

  ●基于智能身份分析和动态访问控制技术,具备对未知风险的防护能力;

  ●基于现代的云计算和微服务等技术手段进行构建,满足现代企业弹性的部署需求,并且由于这些新架构的运用,也大幅提升了客户的部署效率,降低上线成本。

  介绍完零信任安全的关键实践,张泽洲总结了零信任安全的核心要点:

  ●无边界设计:信任的建立不能简单的基于网络位置。

  ●情景感知:访问权限取决于系统对用户和设备的了解。

  ●动态访问控制:基于多维属性产生动态ACL,所有访问都必须被认证、授权和加密。

  关于实践路径,张泽洲提到零信任安全架构是一项系统工程,其建设不可能一蹴而就,需要高层领导驱动,安全规划先行,切合实际分阶段。并强调了高层领导驱动的重要性。另外,技术选项方面,企业需要充分评估自研还是选择成熟方案。从Google和360的零信任实践来看,自研对研发能力要求极高,难度极大,周期极长,建议不具备极强研发能力的企业选择市场的成熟产品和方案。

  零信任安全是企业数字化转型过程中应对安全挑战的理想安全架构,它的推广和建设需要安全厂商和企业共同努力。张泽洲分享了360企业安全集团全新发布的360ID TrustAccess身份安全解决方案,360ID TrustAccess秉承“新身份、新边界”的理念,遵循“先验证用户和设备、后访问业务”的产品逻辑,为企业提供开箱即用的零信任身份安全解决方案,其核心价值包括:

  ●基于零信任,推动企业安全重构

  ●基于敏捷、智能、安全的现代身份管理平台进行构建

  ●适应现代IT环境,助力企业数字化转型

关键字: 网络安全
  • IT168企业级IT168企业级
  • IT168文库IT168文库

扫一扫关注

行车视线文章推荐
?
www.3158sun.com首页 评论 返回顶部
新版太阳城申博开户 www.55psb.com 太阳城亚洲官方网址登入 申博游戏苹果手机怎么登入 申博游戏登录直营网 申博电子游戏官网直营
太阳城亚洲游戏登入 www.44sbc.com 申博游戏直营网 申博官网娱乐开户登入 申博怎么开户登入 菲律宾太阳成娱乐管理网
菲律宾申博官网直营网 申博太阳城直营网 申博支付宝充值 申博游戏官网登入 申博游戏登录官网 菲律宾太阳城申博直营网