产业互联网时代,企业面对数字化转型,新型IT形态伴随着新型威胁和入侵攻击,传统安全防护体系也面临转型和重构,此时零信任体系无疑是企业当前最好的选择之一。
零信任并不是一个陌生的概念,早在2010年就由著名研究机构Forrester的首席分析师John Kindervag提出,并在Google的BeyondCorp项目中得到了应用,腾讯公司也早在2017年就在内部启动了零信任项目。
新冠疫情的突如其来,远程办公带来的安全问题,更加速了企业对于零信任体系的思考,探索和实践。然而,市场上众多基于不同技术能力支撑的零信任产品方案,从多维度多视角提出了零信任体系建设的不同思路,这些思路在不同程度上影响着企业和市场的技术方向,给企业安全管理者带来一些困扰和挑战。
腾讯安全专家咨询中心,从客户视角出发,结合相关零信任标准,以及国内外零信任最佳实践,针对企业用户如何构建零信任体系,给出具体的能力清单和指导框架,汇聚成通用性的零信任安全能力谱图,旨在帮助企业进行安全能力转型和升级。
关注腾讯安全(公众号:TXAQ2019)
回复【零信任能力图谱】获取原图
腾讯安全零信任能力图谱包含五大能力:身份可信识别能力是零信任的基础能力,包括用户可信识别、受控设备可信识别和受控应用可信识别,通过可信的用户在可信的受控设备上使用可信的应用,对受保护资源进行可信的访问。在此能力基础上,依托持续信任评估能力,对访问主体的整个访问过程进行监控分析,对用户、受控设备和应用的可信度进行持续的信任评估,根据评估结果通过无边界应用访问控制能力和无边界网络访问控制能力进行动态的权限控制,并通过安全可视化能力将访问流量、路径和效果等直观呈现,为企业安全运营提供有力的决策支撑。
身份可信识别能力
零信任架构体系下的身份不只拘泥于人的身份,还包括设备身份和应用身份。基于数字身份,实现用户的可信识别,完成身份认证和单点登录。实现受控设备可信识别,完成受控设备的合规和安全管理。实现应用的可信识别,实现应用和进程的黑白名单管理。最终形成一整套零信任可信识别能力,保证合法的用户基于合法的受控制终端通过合法的应用和进程,发起对访问客体合法的访问。
无边界的访问控制能力
零信任架构下基于身份而非网络位置来构建访问控制体系,即无边界的访问控制,控制平面和数据平面解耦,通过控制平面接收来自动态信任评估的用户信任评估和设备风险评估结果,设置访问控制策略并下发到数据平面策略执行点执行访问控制策略。
通过零信任架构中的无边界访问控制能力构建业务资产保护屏障,将业务资产暴露面隐藏,保证资产对未经认证的访问主体不可见,只有访问权限和访问信任等级符合要求的访问主体才被允许对业务资产进行访问,通过对访问主体的逐层访问控制,不仅满足动态授权最小化原则,同时可以抵御杀伤链各阶段攻击威胁。
持续信任评估能力
在零信任架构下,持续信任评估能力是可信识别能力和访问控制能力的重要输入,通过对访问主体的持续信任评估,实现对访问主体的访问权限动态调整和访问身份认证动态调整。
访问主体信任评估包括对用户访问上下文行为分析的信任评估,对受控设备和访问网关基于环境因素的风险评估,通过信任评估模型和算法,实现基于身份的持续信任评估能力,识别异常访问行为和风险访问环境,并对信任评估结果进行调整。
安全可视化能力
通过可视化技术将访问路径、访问流量、用户异常访问行为直观展示,也可以将在线设备状态、统计情况、策略执行情况、执行路径等可视化呈现,帮助安全运营人员更为直观、更为全面的了解访问主体的安全状态和行为,从而更快速、更精准的找到风险点,触发安全响应,支撑安全决策。
腾讯在安全运营中践行零信任安全理念,充分印证零信任能力图谱的关键技术点,输出零信任安全能力,助力企业重构信息安全防护体系,协助企业完成数字化转型。
欢迎业内技术专家加入腾讯零信任技术讨论群,共同探讨零信任能力和技术实践。
扫描下方二维码加群👇