AI+安全
數據安全
數據基礎設施
態勢感知
云安全
基礎安全
終端安全
商用密碼
軟件供應鏈安全
網絡空間靶場
工業互聯網安全
物聯網安全
安全托管服務
運營管理服務
媒體報道
安恒信息AiTrust零信任解決方案入選CSA《2021零信任落地案例集》
近日,第二屆國際零信任峰會在青島圓滿落幕,會上頒布了云安全聯盟(CSA)《2021零信任落地案例集》,安恒信息為溫州大數據發展管理局提供的AiTrust零信任解決方案成功入選。
云安全聯盟(CSA)是國際云計算業界權威組織,致力于網絡空間安全各領域的研究與成果轉化,包括但不限于云安全、IoT安全、物聯網安全、大數據安全、AI安全、隱私保護、零信任、云應用安全、5G安全。
《2021零信任落地案例集》收錄2020年以來不同行業的零信任典型案例,基于“講技術不講概念”、“強調落地不空談方案”的原則,共篩選24個案例,涉及9個行業,涵蓋政企、能源、金融、互聯網,醫療等多個行業。供廣大用戶了解這一領域的最新實踐,為安全從業者研究零信任相關技術,為各行業用戶實施零信任提供指引和有力參考。安恒信息從多角度發現行業面臨的機遇與挑戰,探索網絡安全產品戰略,打造AiTrust零信任解決方案。
項目背景
溫州市大數據發展管理局一直在以大數據賦能智慧城市、智慧國企、智慧健康等方面走在前列,已建成的一體化智能化公共數據平臺為該市下屬的委辦單位、企業、公眾提供了良好的大數據業務支撐服務,以數據智能賦能數字經濟和民生。十四五規劃中,數據相關產業將成為未來中國發展建設的重點部署領域,相關的數據安全也變得更加重要。隨著數據開放面逐漸擴大、數據訪問量不斷增加,溫州市大數據發展管理局預見到了開放共享過程中潛在的數據安全防護及溯源問題,例如數據訪問無法追溯到最終用戶、API 自身脆弱性帶來的安全配置錯誤及注入風險、API 異常高頻訪問帶來的數據暴露風險等,為此溫州市大數據局啟動了一體化智能化公共數據平臺零 信任安全防護體系的建設任務,并引入安恒信息作為零信任安全供應商。
AiTrust零信任解決方案
技術方案
安恒信息基于零信任思想,結合多年在企業安全運營、安全大數據分析、數據安全等領域的實踐與技術積累,推出了基于“以身份為基礎、以資源為核心、持續信任評估、動態訪問控制”的AiTrust零信任解決方案,在原有物理邊界之上構建動態身份邊界,從終端、用戶、系統等資源訪問主體的可信身份出發,向政企提供全新的業務安全視角,有效支撐應用開放、業務互通、數據共享等場景的安全、高效運轉,助力政企網絡安全體系逐步向自適應安全演進。
溫州市一體化智能化公共數據平臺零信任安全防護體系由以下幾個關鍵組件構成:
? 統一控制臺:作為零信任架構中的 PDP,維護用戶清單、應用清單及資源清單,集成 SSO 系統,并負責零信任體系內訪問控制策略的制定和 API 安全代理的控制。其中用戶清單來源于浙江省數字政府 IDaaS、浙政釘等多源用戶身份目錄的合并,追蹤和更新溫州全市12萬余用戶信息的變化,所有用戶具有唯一標識,用戶清單為零信任體系中的 UEBA 行為分析引擎提供信息;應用清單維護所有接入零信任體系的應用系統的身份信息,通過與溫州市建設的目錄系統聯動,實現全網應用身份統一,并為應用生成零信任安全接入工具;資源清單維護所有要保護的客體對象信息(在溫州場景下即 API 接口資源),通過手動配置或從流量中分析的方式建立。
? API 安全代理:作為零信任架構中的 PEP,以“默認拒絕”的模式接管所有面向公共數據平臺的訪問請求,針對每條請求進行身份鑒別和權限鑒別,僅放通通過統一控制臺驗證的合法請求,同時輸出其他 API 安全防護能力。
? UEBA 行為分析引擎:負責采集零信任體系中的用戶行為數據,并對用戶行為、應用行為進行大數據建模匹配分析,為統一控制臺的訪問控制策略指定提供輸入依據。
AiTrust零信任解決方案
項目經驗
在項目實施準備階段,交付團隊首先在統一控制臺上拉通多方身份及認證體系、注冊一體化智能化公共數據平臺服務,準備好零信任安全防護體系的上線和基礎。在該階段,需要注意對多方身份目錄的梳理,涉及到多方用戶信息整合的,需要提前獲取各方所提供的數據同步文檔、接口文檔,確認同步方案,以確保用戶信息能夠及時同步、保持一致。搭建好基礎架構后,統一控制臺即對應用系統開放單點登錄及訪問工具集成能力,優先選擇了開發中的和新上線的業務系統進行單點登錄對接,并將 SSO 能力形成標準文檔,作為后續政務外網應用開發、接入一體化智能化公共數據平臺服務前的必選項之一。需要尤其注意的是在現有的訪問體系下,如何向新的安全訪問控制體系遷移。因此項目組在一體化智能化公共數據平臺側,對接口的訪問遷移也采用分步驟的方式。
在項目實施前期階段,公共數據平臺上已有接口并沒有做強制的訪問策略切換,只針對新上線的接口,在公共數據平臺上啟用源 IP 白名單,只接收 API 安全代理轉發來的請求;同時,由 API 安全代理兼容公共數據平臺的認證能力,不再向新上線的應用提供公共數據平臺自身的認證憑證,使其必須通過 API 安全管控系統訪問,完成遺留的通道切換后,再處理網絡策略的連通性。另外,在運維流程上實現資源目錄的統一管理運維,對后期維護來說也非常重要,一次項目組通過將溫州市用戶統一登錄中心(統一控制臺)對接溫州市資源目錄系統,打通新應用接入的標準化流程,實現業務資源的統一運維。在訪問過程中,統一控制臺收集 API 安全代理上報的日志,對 API 的訪問頻度、調用方分布、異常行為、API 敏感數據進行分析和展示,根據分析結果、API 重要程度逐漸進行白名單策略的切換。
AiTrust零信任解決方案
以科技為核心競爭力,以方案獲得認可,是安恒信息作為網絡安全領域領先者對自身的要求。未來,安恒信息將依托技術創新資源,打造更多真正為用戶、為網絡安全世界而生的優質方案。
