媒體報道

首頁 > 關(guān)于我們 > 安恒動態(tài) > 2021 > 正文

安恒信息AiTrust零信任解決方案入選CSA《2021零信任落地案例集》

閱讀量：次

近日，第二屆國際零信任峰會在青島圓滿落幕，會上頒布了云安全聯(lián)盟（CSA）《2021零信任落地案例集》，安恒信息為溫州大數(shù)據(jù)發(fā)展管理局提供的AiTrust零信任解決方案成功入選。

云安全聯(lián)盟（CSA）是國際云計算業(yè)界權(quán)威組織，致力于網(wǎng)絡(luò)空間安全各領(lǐng)域的研究與成果轉(zhuǎn)化，包括但不限于云安全、IoT安全、物聯(lián)網(wǎng)安全、大數(shù)據(jù)安全、AI安全、隱私保護、零信任、云應(yīng)用安全、5G安全。

《2021零信任落地案例集》收錄2020年以來不同行業(yè)的零信任典型案例，基于“講技術(shù)不講概念”、“強調(diào)落地不空談方案”的原則，共篩選24個案例，涉及9個行業(yè)，涵蓋政企、能源、金融、互聯(lián)網(wǎng)，醫(yī)療等多個行業(yè)。供廣大用戶了解這一領(lǐng)域的最新實踐，為安全從業(yè)者研究零信任相關(guān)技術(shù)，為各行業(yè)用戶實施零信任提供指引和有力參考。安恒信息從多角度發(fā)現(xiàn)行業(yè)面臨的機遇與挑戰(zhàn)，探索網(wǎng)絡(luò)安全產(chǎn)品戰(zhàn)略，打造AiTrust零信任解決方案。

項目背景

溫州市大數(shù)據(jù)發(fā)展管理局一直在以大數(shù)據(jù)賦能智慧城市、智慧國企、智慧健康等方面走在前列，已建成的一體化智能化公共數(shù)據(jù)平臺為該市下屬的委辦單位、企業(yè)、公眾提供了良好的大數(shù)據(jù)業(yè)務(wù)支撐服務(wù)，以數(shù)據(jù)智能賦能數(shù)字經(jīng)濟和民生。十四五規(guī)劃中，數(shù)據(jù)相關(guān)產(chǎn)業(yè)將成為未來中國發(fā)展建設(shè)的重點部署領(lǐng)域，相關(guān)的數(shù)據(jù)安全也變得更加重要。隨著數(shù)據(jù)開放面逐漸擴大、數(shù)據(jù)訪問量不斷增加，溫州市大數(shù)據(jù)發(fā)展管理局預(yù)見到了開放共享過程中潛在的數(shù)據(jù)安全防護及溯源問題，例如數(shù)據(jù)訪問無法追溯到最終用戶、API 自身脆弱性帶來的安全配置錯誤及注入風(fēng)險、API 異常高頻訪問帶來的數(shù)據(jù)暴露風(fēng)險等，為此溫州市大數(shù)據(jù)局啟動了一體化智能化公共數(shù)據(jù)平臺零信任安全防護體系的建設(shè)任務(wù)，并引入安恒信息作為零信任安全供應(yīng)商。

AiTrust零信任解決方案

技術(shù)方案

安恒信息基于零信任思想，結(jié)合多年在企業(yè)安全運營、安全大數(shù)據(jù)分析、數(shù)據(jù)安全等領(lǐng)域的實踐與技術(shù)積累，推出了基于“以身份為基礎(chǔ)、以資源為核心、持續(xù)信任評估、動態(tài)訪問控制”的AiTrust零信任解決方案，在原有物理邊界之上構(gòu)建動態(tài)身份邊界，從終端、用戶、系統(tǒng)等資源訪問主體的可信身份出發(fā)，向政企提供全新的業(yè)務(wù)安全視角，有效支撐應(yīng)用開放、業(yè)務(wù)互通、數(shù)據(jù)共享等場景的安全、高效運轉(zhuǎn)，助力政企網(wǎng)絡(luò)安全體系逐步向自適應(yīng)安全演進。

溫州市一體化智能化公共數(shù)據(jù)平臺零信任安全防護體系由以下幾個關(guān)鍵組件構(gòu)成：

? 統(tǒng)一控制臺：作為零信任架構(gòu)中的 PDP，維護用戶清單、應(yīng)用清單及資源清單，集成 SSO 系統(tǒng)，并負責(zé)零信任體系內(nèi)訪問控制策略的制定和 API 安全代理的控制。其中用戶清單來源于浙江省數(shù)字政府 IDaaS、浙政釘?shù)榷嘣从脩羯矸菽夸浀暮喜?，追蹤和更新溫州全?2萬余用戶信息的變化，所有用戶具有唯一標(biāo)識，用戶清單為零信任體系中的 UEBA 行為分析引擎提供信息；應(yīng)用清單維護所有接入零信任體系的應(yīng)用系統(tǒng)的身份信息，通過與溫州市建設(shè)的目錄系統(tǒng)聯(lián)動，實現(xiàn)全網(wǎng)應(yīng)用身份統(tǒng)一，并為應(yīng)用生成零信任安全接入工具；資源清單維護所有要保護的客體對象信息（在溫州場景下即 API 接口資源），通過手動配置或從流量中分析的方式建立。

? API 安全代理：作為零信任架構(gòu)中的 PEP，以“默認拒絕”的模式接管所有面向公共數(shù)據(jù)平臺的訪問請求，針對每條請求進行身份鑒別和權(quán)限鑒別，僅放通通過統(tǒng)一控制臺驗證的合法請求，同時輸出其他 API 安全防護能力。

? UEBA 行為分析引擎：負責(zé)采集零信任體系中的用戶行為數(shù)據(jù)，并對用戶行為、應(yīng)用行為進行大數(shù)據(jù)建模匹配分析，為統(tǒng)一控制臺的訪問控制策略指定提供輸入依據(jù)。

AiTrust零信任解決方案

項目經(jīng)驗

在項目實施準(zhǔn)備階段，交付團隊首先在統(tǒng)一控制臺上拉通多方身份及認證體系、注冊一體化智能化公共數(shù)據(jù)平臺服務(wù)，準(zhǔn)備好零信任安全防護體系的上線和基礎(chǔ)。在該階段，需要注意對多方身份目錄的梳理，涉及到多方用戶信息整合的，需要提前獲取各方所提供的數(shù)據(jù)同步文檔、接口文檔，確認同步方案，以確保用戶信息能夠及時同步、保持一致。搭建好基礎(chǔ)架構(gòu)后，統(tǒng)一控制臺即對應(yīng)用系統(tǒng)開放單點登錄及訪問工具集成能力，優(yōu)先選擇了開發(fā)中的和新上線的業(yè)務(wù)系統(tǒng)進行單點登錄對接，并將 SSO 能力形成標(biāo)準(zhǔn)文檔，作為后續(xù)政務(wù)外網(wǎng)應(yīng)用開發(fā)、接入一體化智能化公共數(shù)據(jù)平臺服務(wù)前的必選項之一。需要尤其注意的是在現(xiàn)有的訪問體系下，如何向新的安全訪問控制體系遷移。因此項目組在一體化智能化公共數(shù)據(jù)平臺側(cè)，對接口的訪問遷移也采用分步驟的方式。

在項目實施前期階段，公共數(shù)據(jù)平臺上已有接口并沒有做強制的訪問策略切換，只針對新上線的接口，在公共數(shù)據(jù)平臺上啟用源 IP 白名單，只接收 API 安全代理轉(zhuǎn)發(fā)來的請求；同時，由 API 安全代理兼容公共數(shù)據(jù)平臺的認證能力，不再向新上線的應(yīng)用提供公共數(shù)據(jù)平臺自身的認證憑證，使其必須通過 API 安全管控系統(tǒng)訪問，完成遺留的通道切換后，再處理網(wǎng)絡(luò)策略的連通性。另外，在運維流程上實現(xiàn)資源目錄的統(tǒng)一管理運維，對后期維護來說也非常重要，一次項目組通過將溫州市用戶統(tǒng)一登錄中心（統(tǒng)一控制臺）對接溫州市資源目錄系統(tǒng)，打通新應(yīng)用接入的標(biāo)準(zhǔn)化流程，實現(xiàn)業(yè)務(wù)資源的統(tǒng)一運維。在訪問過程中，統(tǒng)一控制臺收集 API 安全代理上報的日志，對 API 的訪問頻度、調(diào)用方分布、異常行為、API 敏感數(shù)據(jù)進行分析和展示，根據(jù)分析結(jié)果、API 重要程度逐漸進行白名單策略的切換。

AiTrust零信任解決方案

以科技為核心競爭力，以方案獲得認可，是安恒信息作為網(wǎng)絡(luò)安全領(lǐng)域領(lǐng)先者對自身的要求。未來，安恒信息將依托技術(shù)創(chuàng)新資源，打造更多真正為用戶、為網(wǎng)絡(luò)安全世界而生的優(yōu)質(zhì)方案。

關(guān)閉

AI+安全>

數(shù)據(jù)安全>

數(shù)據(jù)基礎(chǔ)設(shè)施>

態(tài)勢感知>

云安全>

基礎(chǔ)安全>

終端安全>

商用密碼>

軟件供應(yīng)鏈安全>

網(wǎng)絡(luò)空間靶場>

工業(yè)互聯(lián)網(wǎng)安全>