随着全球数字化和万物互联的加速发展,传统网络的物理边界被彻底打破。近年来,以“零信任”理念重构网络安全防御体系已得到广泛认可。近日,中国移动应急4A项目中的零信任安全体系正式上线。该平台采用最新的软件定义边界(SDP)技术,以“除非证明可信,否则绝不信任”为基本原则,以“不依赖边界作为信任条件”为前提,构建了满足目前异构网络和服务发展需求,能够保护关键业务系统和网络资源的安全防护体系。
推进零信任码建设,SDP应用先行。
2020年以来,新冠肺炎疫情的突然爆发,让远程办公成为新常态。另一方面,数字化正在加速,企业业务中的云成为工业互联网发展的重要趋势。两股力量的结合,加速了全球企业对新型网络安全技术和产品的探索和实践,其中之一就是“零信任”。传统的网络边界再强,墙也在,攻守双方陷入技术比较的怪圈,一个拆一个修。直到零信任技术的出现,这种情况才被改变。墙还在,但它是看不见的,摸不着的。
零信任提倡“持续认证,永不信任”,即我们不应该自动信任网络中的任何人、设备或位置。在“零信任”框架下,意味着每个用户、设备、服务或应用程序都是不可信的。基于这种“怀疑”标准,我们必须通过连续身份验证来获得最低级别的信任和关联的访问权限,从而在不遗漏任何可疑因素的情况下实现更安全的资源访问。依靠需求和技术的多重推动,全球“零信任”市场按下了“加速键”。在此背景下,中国移动率先积极参与国内零信任技术规范,同时启动行业零信任平台建设,与安全厂商一起积极研究实践相关技术在运营商行业的应用。
从物理边界过渡到软件定义的边界(SDP)。
在项目规划阶段,中国移动网络事业部设定了以4A身份为基石,以综合认证模式为基础,为用户、设备、应用、业务系统等实体建立统一的数字身份和治理流程的目标,确保只有合法用户和合法设备才能接入网络。在建设过程中,中国移动与亚信安全合作,充分利用其SDP解决方案的网络隐身属性、网络控制属性、可信应用、终端接入、事件控制等特性,有效解决了网络边界模糊带来的安全问题。
网络隐身能力的构建:基于UDP的单包认证的特点,连接前认证可以对内网起到很好的保护作用,同时解决了TCP握手带来的SYN泛洪问题,有效解决了互联网暴露问题。网络控制&URL控制:基于用户(账号)访问资源的动态网络控制可以为不同角色的人授权不同的访问网络和URL,有效解决防火墙无法对用户和角色进行动态细粒度网络隔离的问题。可信应用&终端准入:基于应用的白名单控制策略,保证访问内网的流量由可信应用产生;基于恶意进程和端口的黑名单控制策略有效解决了患病终端访问内网带来的危害。
事件中的行为控制:基于持续认证策略,支持和评估用户行为,实时持续认证和拦截高风险操作。从“网络中心化”到“身份中心化”在已建成平台能力的基础上,中国移动将继续探索并充分发挥SDP解决方案“多点、多面、全联动”、“快速”快速接入一站式、“全”业务场景覆盖、“细”溯源安全审计等特点。并开展零信任安全体系建设,重塑网络安全边界。项目正式落地后,中国移动的安全架构规划将从“以网络为中心”走向“以身份为中心”,建立“以人为本”的访问控制,解决开放的网络环境和复杂的用户角色带来的各种身份安全风险、设备安全风险和行为安全风险,确保非法用户进不去、合法用户出不去,斩断黑客黑手,确保网络和业务安全。租用服务器可咨询梦飞云idc了解。