云安全
大数据安全态势感知
物联网安全
工业互联网安全
安全管理
数据安全
网络安全
应用安全
商用密码
端点安全
新型智慧城市
开发安全
云原生安全
网络空间靶场
运营管理服务
媒体报道
安恒信息AiTrust零信任解决方案入选CSA《2021零信任落地案例集》
近日,第二届国际零信任峰会在青岛圆满落幕,会上颁布了云安全联盟(CSA)《2021零信任落地案例集》,安恒信息为温州大数据发展管理局提供的AiTrust零信任解决方案成功入选。
云安全联盟(CSA)是国际云计算业界权威组织,致力于网络空间安全各领域的研究与成果转化,包括但不限于云安全、IoT安全、物联网安全、大数据安全、AI安全、隐私保护、零信任、云应用安全、5G安全。
《2021零信任落地案例集》收录2020年以来不同行业的零信任典型案例,基于“讲技术不讲概念”、“强调落地不空谈方案”的原则,共筛选24个案例,涉及9个行业,涵盖政企、能源、金融、互联网,医疗等多个行业。供广大用户了解这一领域的最新实践,为安全从业者研究零信任相关技术,为各行业用户实施零信任提供指引和有力参考。安恒信息从多角度发现行业面临的机遇与挑战,探索网络安全产品战略,打造AiTrust零信任解决方案。
项目背景
温州市大数据发展管理局一直在以大数据赋能智慧城市、智慧国企、智慧健康等方面走在前列,已建成的一体化智能化公共数据平台为该市下属的委办单位、企业、公众提供了良好的大数据业务支撑服务,以数据智能赋能数字经济和民生。十四五规划中,数据相关产业将成为未来中国发展建设的重点部署领域,相关的数据安全也变得更加重要。随着数据开放面逐渐扩大、数据访问量不断增加,温州市大数据发展管理局预见到了开放共享过程中潜在的数据安全防护及溯源问题,例如数据访问无法追溯到最终用户、API 自身脆弱性带来的安全配置错误及注入风险、API 异常高频访问带来的数据暴露风险等,为此温州市大数据局启动了一体化智能化公共数据平台零 信任安全防护体系的建设任务,并引入安恒信息作为零信任安全供应商。
AiTrust零信任解决方案
技术方案
安恒信息基于零信任思想,结合多年在企业安全运营、安全大数据分析、数据安全等领域的实践与技术积累,推出了基于“以身份为基础、以资源为核心、持续信任评估、动态访问控制”的AiTrust零信任解决方案,在原有物理边界之上构建动态身份边界,从终端、用户、系统等资源访问主体的可信身份出发,向政企提供全新的业务安全视角,有效支撑应用开放、业务互通、数据共享等场景的安全、高效运转,助力政企网络安全体系逐步向自适应安全演进。
温州市一体化智能化公共数据平台零信任安全防护体系由以下几个关键组件构成:
▶ 统一控制台:作为零信任架构中的 PDP,维护用户清单、应用清单及资源清单,集成 SSO 系统,并负责零信任体系内访问控制策略的制定和 API 安全代理的控制。其中用户清单来源于浙江省数字政府 IDaaS、浙政钉等多源用户身份目录的合并,追踪和更新温州全市12万余用户信息的变化,所有用户具有唯一标识,用户清单为零信任体系中的 UEBA 行为分析引擎提供信息;应用清单维护所有接入零信任体系的应用系统的身份信息,通过与温州市建设的目录系统联动,实现全网应用身份统一,并为应用生成零信任安全接入工具;资源清单维护所有要保护的客体对象信息(在温州场景下即 API 接口资源),通过手动配置或从流量中分析的方式建立。
▶ API 安全代理:作为零信任架构中的 PEP,以“默认拒绝”的模式接管所有面向公共数据平台的访问请求,针对每条请求进行身份鉴别和权限鉴别,仅放通通过统一控制台验证的合法请求,同时输出其他 API 安全防护能力。
▶ UEBA 行为分析引擎:负责采集零信任体系中的用户行为数据,并对用户行为、应用行为进行大数据建模匹配分析,为统一控制台的访问控制策略指定提供输入依据。
AiTrust零信任解决方案
项目经验
在项目实施准备阶段,交付团队首先在统一控制台上拉通多方身份及认证体系、注册一体化智能化公共数据平台服务,准备好零信任安全防护体系的上线和基础。在该阶段,需要注意对多方身份目录的梳理,涉及到多方用户信息整合的,需要提前获取各方所提供的数据同步文档、接口文档,确认同步方案,以确保用户信息能够及时同步、保持一致。搭建好基础架构后,统一控制台即对应用系统开放单点登录及访问工具集成能力,优先选择了开发中的和新上线的业务系统进行单点登录对接,并将 SSO 能力形成标准文档,作为后续政务外网应用开发、接入一体化智能化公共数据平台服务前的必选项之一。需要尤其注意的是在现有的访问体系下,如何向新的安全访问控制体系迁移。因此项目组在一体化智能化公共数据平台侧,对接口的访问迁移也采用分步骤的方式。
在项目实施前期阶段,公共数据平台上已有接口并没有做强制的访问策略切换,只针对新上线的接口,在公共数据平台上启用源 IP 白名单,只接收 API 安全代理转发来的请求;同时,由 API 安全代理兼容公共数据平台的认证能力,不再向新上线的应用提供公共数据平台自身的认证凭证,使其必须通过 API 安全管控系统访问,完成遗留的通道切换后,再处理网络策略的连通性。另外,在运维流程上实现资源目录的统一管理运维,对后期维护来说也非常重要,一次项目组通过将温州市用户统一登录中心(统一控制台)对接温州市资源目录系统,打通新应用接入的标准化流程,实现业务资源的统一运维。在访问过程中,统一控制台收集 API 安全代理上报的日志,对 API 的访问频度、调用方分布、异常行为、API 敏感数据进行分析和展示,根据分析结果、API 重要程度逐渐进行白名单策略的切换。
AiTrust零信任解决方案
以科技为核心竞争力,以方案获得认可,是安恒信息作为网络安全领域领先者对自身的要求。未来,安恒信息将依托技术创新资源,打造更多真正为用户、为网络安全世界而生的优质方案。
