零信任并不是要顛覆等保2.0、縱深防御體系，而是互補(bǔ)關(guān)系。零信任以身份為新邊界，意味著首先要改變的是僅依賴安全設(shè)備在網(wǎng)絡(luò)邊緣保護(hù)所有系統(tǒng)和資源的情況，需要在用戶現(xiàn)網(wǎng)的架構(gòu)中，重新定義防護(hù)對(duì)象、新業(yè)務(wù)安全場(chǎng)景、并交付新的安全能力。我們要根據(jù)系統(tǒng)本身的安全策略、業(yè)務(wù)敏感度、安全等級(jí)特征等因素，建立新的身份邊界。這里的“身份”不僅是用戶的身份，還要考慮訪問(wèn)主體和客體的身份（如設(shè)備、應(yīng)用等）、原有的網(wǎng)絡(luò)的身份等。可以看到，我們并沒(méi)有摒棄傳統(tǒng)的以網(wǎng)絡(luò)為安全邊界的理念，而是又疊加了多維度的身份信息，以軟件定義的方式構(gòu)建以身份為邊界的新安全模式。

當(dāng)下國(guó)家處在數(shù)字化改革的元年，重大轉(zhuǎn)型就會(huì)驅(qū)動(dòng)新技術(shù)和新風(fēng)險(xiǎn)的催生，這里我們總結(jié)了當(dāng)下網(wǎng)絡(luò)世界中的十大網(wǎng)絡(luò)安全威脅，互聯(lián)網(wǎng)暴露面過(guò)大、VPN接入權(quán)限過(guò)大、API調(diào)用未建議授權(quán)機(jī)制、應(yīng)用漏洞過(guò)大被利用、賬號(hào)社工或密碼暴力破解等等，我們的廣大政企用戶都飽受挑戰(zhàn)和攻擊。

安恒信息依靠多年的技術(shù)沉淀和秉持創(chuàng)新精神，推出AiTrust零信任解決方案，該方案取代了以邊界為中心的安全架構(gòu)，它可確保根據(jù)身份、設(shè)備和用戶環(huán)境動(dòng)態(tài)實(shí)施安全和訪問(wèn)決策。只有經(jīng)過(guò)身份驗(yàn)證和授權(quán)的用戶和設(shè)備才能訪問(wèn)應(yīng)用程序和數(shù)據(jù)。精準(zhǔn)交付網(wǎng)絡(luò)隱身、最小權(quán)限、動(dòng)態(tài)信任評(píng)估及數(shù)據(jù)安全保障等多項(xiàng)安全能力。

安恒信息一直致力于數(shù)據(jù)安全治理領(lǐng)域的產(chǎn)品研發(fā)和創(chuàng)新，我們自己也定義了自己的零信任能力框架。主要緯度是四個(gè)核心安全目標(biāo)，數(shù)據(jù)可信身份、訪問(wèn)最小權(quán)限、數(shù)據(jù)資產(chǎn)保障、數(shù)據(jù)風(fēng)險(xiǎn)回溯。打造一套業(yè)務(wù)應(yīng)用/數(shù)據(jù)開(kāi)放共享通道的安全體系平臺(tái)，交付給用戶更可信的用戶身份（基于多因子和多種屬性，實(shí)現(xiàn)全面用戶身份認(rèn)證）、更安全的業(yè)務(wù)訪問(wèn)（采用細(xì)粒度、動(dòng)態(tài)化的授權(quán)模式，安全策略策略更實(shí)時(shí)有效）、更全面的安全考量（集合環(huán)境、訪問(wèn)行為、風(fēng)險(xiǎn)事件等多元素構(gòu)建訪問(wèn)策略）。

?回收網(wǎng)絡(luò)訪問(wèn)權(quán)限，僅提供應(yīng)用訪問(wèn)權(quán)限

虛擬專用網(wǎng)絡(luò) (VPN) 等傳統(tǒng)遠(yuǎn)程訪問(wèn)技術(shù)無(wú)法滿足當(dāng)今無(wú)邊界數(shù)字化用戶日益增長(zhǎng)的需求。傳統(tǒng) VPN 對(duì)用戶安全構(gòu)成威脅，因?yàn)樗旧砭蜁?huì)在防火墻上形成漏洞，從而提供不受限制的網(wǎng)絡(luò)訪問(wèn)。一旦攻擊者位于內(nèi)部，其就可以自由地橫向移動(dòng)以訪問(wèn)和利用網(wǎng)絡(luò)中的任何系統(tǒng)或應(yīng)用程序。傳統(tǒng) VPN 不僅會(huì)使用戶面臨安全風(fēng)險(xiǎn)，而且它們還是復(fù)雜的解決方案，需要大量 IT 資源來(lái)進(jìn)行硬件和軟件管理，同時(shí)維護(hù)和擴(kuò)展的成本高昂。

啟用AiTrust零信任解決方案，將僅允許用戶訪問(wèn)權(quán)限內(nèi)的應(yīng)用程序，訪問(wèn)策略基于用戶身份、設(shè)備狀態(tài)、用戶行為和授權(quán)。這種做法將減少橫向攻擊，進(jìn)而減少網(wǎng)絡(luò)風(fēng)險(xiǎn)敞口。將用戶逐漸從 VPN 向AiTrust零信任訪問(wèn)遷移，將改善用戶體驗(yàn)、提高員工工作效率并減少IT運(yùn)維故障單，并擺脫對(duì)防火墻、硬件和軟件的依賴、降低 IT 維護(hù)成本。

? 隱藏真實(shí)的應(yīng)用和服務(wù)端口

傳統(tǒng)做法中，內(nèi)部應(yīng)用程序和訪問(wèn)基礎(chǔ)設(shè)施暴露于互聯(lián)網(wǎng)，使得它們?nèi)菀自馐?DDoS、SQL 注入和其他應(yīng)用程序?qū)庸簦瑫r(shí)黑客正在利用不斷發(fā)展的技術(shù)來(lái)掃描用戶網(wǎng)絡(luò)配置，以發(fā)現(xiàn)易受攻擊的應(yīng)用程序和重要數(shù)據(jù)。啟用AiTrust零信任解決方案，幫助用戶必須將應(yīng)用程序和訪問(wèn)架構(gòu)與公共互聯(lián)網(wǎng)隔離開(kāi)來(lái)，這樣惡意攻擊者就無(wú)法利用開(kāi)放的偵聽(tīng)端口將其作為攻擊目標(biāo)。如果網(wǎng)絡(luò)罪犯無(wú)法找到網(wǎng)絡(luò)或確定目標(biāo)設(shè)備正在運(yùn)行的應(yīng)用程序和服務(wù)，即將無(wú)法實(shí)施攻擊。

??持續(xù)動(dòng)態(tài)地驗(yàn)證用戶身份和應(yīng)用權(quán)限

大部分客戶場(chǎng)景中，應(yīng)用訪問(wèn)權(quán)限的授予往往只需要訪問(wèn)者正確輸入用戶名和密碼，而不會(huì)驗(yàn)證訪問(wèn)者的身份。重復(fù)使用安全性較弱的憑據(jù)和密碼顯著增加了用戶的攻擊面和風(fēng)險(xiǎn)。在當(dāng)今的威脅形勢(shì)下，單單依賴用戶名和密碼等單因素身份驗(yàn)證顯然不夠。啟用AiTrust零信任解決方案，通過(guò)多重身份驗(yàn)證 (MFA) 提供了額外的驗(yàn)證和安全級(jí)別，它可確保僅經(jīng)過(guò)MFA驗(yàn)證、安全基線達(dá)標(biāo)的用戶才能訪問(wèn)業(yè)務(wù)關(guān)鍵的應(yīng)用程序，并可以相同的用戶在訪問(wèn)不同的目標(biāo)資源時(shí)，采取不同的驗(yàn)證方式。

??啟用API安全能力對(duì)數(shù)據(jù)進(jìn)行保護(hù)

API負(fù)擔(dān)著承上啟下的作用，其后承載著海量的價(jià)值業(yè)務(wù)數(shù)據(jù)，隨著數(shù)據(jù)上云、集中化、共享趨勢(shì)，大量的數(shù)據(jù)需要通過(guò)API對(duì)應(yīng)用程序提供服務(wù)，API的安全穩(wěn)定是支撐應(yīng)用正常運(yùn)轉(zhuǎn)的基石。啟用AiTrust零信任解決方案，落地API安全能力，能夠提供基于身份的接入控制管理，根據(jù)接入終端的環(huán)境、用戶的身份及行為、應(yīng)用系統(tǒng)來(lái)賦予不同的API操作和訪問(wèn)權(quán)限；能夠?qū)τ脩艉凸芾韱T的操作、訪問(wèn)、內(nèi)容、文件等進(jìn)行監(jiān)控和回溯，并且在重要事件發(fā)生時(shí)自動(dòng)告警；并根據(jù)API參數(shù)中設(shè)定的數(shù)據(jù)格式和函數(shù)，通過(guò)正則或自定義規(guī)則來(lái)定義敏感字段，實(shí)時(shí)地對(duì)敏感數(shù)據(jù)進(jìn)行監(jiān)測(cè)、預(yù)警、動(dòng)態(tài)脫敏，以實(shí)現(xiàn)對(duì)數(shù)據(jù)傳輸?shù)募用鼙Ｗo(hù)。

?支持與SIEM平臺(tái)集成及安全能力編排

用戶可能擁有數(shù)百甚至數(shù)千個(gè)應(yīng)用程序及安全設(shè)備，它們通過(guò)集成到SIEM進(jìn)行統(tǒng)一的安全監(jiān)視。通過(guò)啟用AiTrust零信任解決方案，同樣可以將威脅和事件數(shù)據(jù)集成到SIEM，并通過(guò)RESTful API對(duì)接SIEM、終端安全環(huán)境感知等安全系統(tǒng)，對(duì)安全事件進(jìn)行響應(yīng)編排，以幫助用戶快速關(guān)聯(lián)、調(diào)查安全事件，并對(duì)安全事件進(jìn)行快速響應(yīng)。

隨著數(shù)據(jù)開(kāi)放面逐漸擴(kuò)大、數(shù)據(jù)訪問(wèn)量不斷增加，我們預(yù)見(jiàn)到了開(kāi)放共享過(guò)程中潛在的數(shù)據(jù)安全防護(hù)及溯源問(wèn)題，例如數(shù)據(jù)訪問(wèn)無(wú)法追溯到最終用戶、API 自身脆弱性帶來(lái)的安全配置錯(cuò)誤及注入風(fēng)險(xiǎn)、API 異常高頻訪問(wèn)帶來(lái)的數(shù)據(jù)暴露風(fēng)險(xiǎn)等。

安恒信息基于零信任的理念，本次方案強(qiáng)調(diào)“永不信任、始終確認(rèn)”，在業(yè)務(wù)訪問(wèn)的全流程中引入身份認(rèn)證的能力，對(duì)管控的客體對(duì)象“用戶”、“應(yīng)用”的身份進(jìn)行持續(xù)校驗(yàn)，并針對(duì)防護(hù)對(duì)象 API 資源，實(shí)現(xiàn)“先認(rèn)證、再授權(quán)、再訪問(wèn)”的管控邏輯，通過(guò)為數(shù)據(jù)安全中臺(tái)構(gòu)建虛擬身份安全邊界，最大程度上收窄公共數(shù)據(jù)平臺(tái)的暴露面，保障業(yè)務(wù)安全開(kāi)展。一舉解決政企用戶多項(xiàng)安全頑疾：例如數(shù)據(jù)訪問(wèn)無(wú)法追溯到最終用戶、API 自身脆弱性帶來(lái)的安全配置錯(cuò)誤及注入風(fēng)險(xiǎn)、API 異常高頻訪問(wèn)帶來(lái)的數(shù)據(jù)暴露風(fēng)險(xiǎn)等。

身份管理是大多數(shù)組織實(shí)現(xiàn)安全和IT運(yùn)營(yíng)策略的核心。疫情導(dǎo)致員工的正常工作更依賴遠(yuǎn)程自動(dòng)訪問(wèn)企業(yè)內(nèi)部應(yīng)用和數(shù)據(jù)資產(chǎn)，同時(shí)潛在的安全和合規(guī)風(fēng)險(xiǎn)正在加大和蔓延。

安恒信息AiTrust零信任解決方案基于“零信任”身份權(quán)限控制，在應(yīng)用服務(wù)器之前的零信任網(wǎng)關(guān)已將對(duì)用戶的訪問(wèn)權(quán)限控制細(xì)化到設(shè)備和應(yīng)用、服務(wù)層級(jí)，將權(quán)限控制進(jìn)一步細(xì)化到數(shù)據(jù)內(nèi)容層級(jí)，實(shí)現(xiàn)對(duì)敏感數(shù)據(jù)的精準(zhǔn)靶向監(jiān)控。數(shù)據(jù)鑒權(quán)機(jī)制架構(gòu)在設(shè)置于各應(yīng)用服務(wù)器之間的數(shù)據(jù)安全網(wǎng)關(guān)上，控制各應(yīng)用間的相互訪問(wèn)，實(shí)現(xiàn)對(duì)信息系統(tǒng)各使用人員、設(shè)備、應(yīng)用訪問(wèn)在數(shù)據(jù)內(nèi)容粒度上的精確權(quán)限控制。

AiLPHA大數(shù)據(jù)智能安全事業(yè)群

AiLPHA大數(shù)據(jù)智能安全事業(yè)群深耕包括大數(shù)據(jù)、人工智能、態(tài)勢(shì)感知、數(shù)據(jù)安全、零信任等前沿網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，提出以“CAPE”數(shù)據(jù)安全能力框架為核心的數(shù)據(jù)安全管控體系，包含數(shù)據(jù)安全管控、安全可控?cái)?shù)據(jù)流通、安全可信融合計(jì)算三大核心能力，為全球超過(guò)2000家客戶提供高質(zhì)量的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，致力于實(shí)現(xiàn)數(shù)據(jù)“可用不可見(jiàn)”的安全目標(biāo)，未來(lái)將會(huì)持續(xù)為數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)的培育發(fā)展貢獻(xiàn)力量。