企业新型安全模式

一：“零信任”模式的由来

从IT基础设施早期，企业一向使用边界防御措施来保护对内部资源的访问，边界模型专注于传统的基于边界的网络安全架构，通过防火墙，WAF,IPS等边界安全产品/方案对企业网络边界进行重重防界防御，若没有外部攻击且假设内部安全便可保证网络安全性。

大量的网络安全事故调查显示：一方面黑客等外部网络攻击导致网不安全性；另一方面，也存在内部问题，内部人员的误操作和恶意破坏一直是企业安全的巨大挑战；除了内外部威胁导致基于边界的安全体系失效之外，随着移动办公和云服务增长，使得企业的网络边界无法安全建立。同时随着企业数据的分散化和数据访问方式的多样化而不在有效。

零信任安全模型就是这样的背景下诞生的，其目的是基于身份验证和访问控制从0构建企业新的逻辑边界。

从客户需求方面来看：传统的产品已经失效，需要新一代产品来替代；从市场的角度分析：传统基于边界的产品，已经不能够满足市场需求和条件，销售市场将会慢慢被“领信任”模式下的产品所占据；从企业发展的角度来看：需要不断的革新，创新。通过了解企业发展的大趋势，学习或者创造先进技术，才能不断进步。

基于以上分析，“领信任”模式的产品将会是下一代企业安全产品的趋势，因此新产品的研发势在破竹。

二：“零信任”模式的领头羊--BeyondCrop

1.BeyondCrop

2011-2017年谷歌成功完成BeyondCrop项目。谷歌公司提出的”零信任“网络安全架构是指整合现有成熟技术，不断兼容新技术，根据行业用户业务需求以及安全需求，用户所处的地理位置等等，对用户进行分类分级管理，并根据相关规范，对每个组的用户策略进行设置。

谷歌公司基于“零信任”完成的BeyondCrop，其主要目的是摒弃企业特权网络并开创一种新访问模式。在这种新的无特权网络访问模式下，访问只依赖于设备和用户凭证，而与用户所处的网络位置无关。（基于身份验证）所有对企业资源的访问都要基于设备状态和用户凭证进行认证，授权和加密。这种新模式可以针对不同的企业资源进行细粒度的访问控制。

1. BeyondCrop组件

BeyondCrop有许多相互协作的组件组成，以确保只有通过严格认证的设备和用户才能被授权访问需要的企业应用，各组件如下图

如图所示，BeyondCorp 系统的关键组件包括信任引擎（Trust Inferer）、设备清单服务(Device Inventory Service)、访问控制引擎(Access ControlEngine)、访问策略(Access Policy)、网关（Gateways）和资源(Resources)。

2.BeyondCrop框架

根据框架分析具体的BeyondCrop数据流向：

1.例如：工作人员从公司配发的笔记本电脑上访问 google.com，参考上图的流程。

1、(内外部)请求指向访问代理，笔记本电脑提供设备证书。

2、访问代理无法识别用户(如可能不是受控设备)，重定向到单点登录系统。

3、工程师提供双因素认证凭据，由单点登录系统进行身份认证，颁发令牌，并重定向回访问代理。

4、访问代理现在持有标识设备的设备证书，标识用户的单点登录令牌。

5、在一系列访问控制检查完成之后，通过管道传输给访问控制引擎，实现基于清单的访问控制

5、访问控制引擎为 codereview.corp.google.com 执行指定的授权检查。

2.授权检查基于每个请求进行：

a) 确认用户是工程组成员。

b) 确认用户拥有足够的信任等级。

c) 确认设备是一个良好的受控设备。

d) 确认设备拥有足够的信任等级。

将这些信息组合通过管道输送到访问控制引擎，访问控制引擎经过综合计算，做出授权判断。

如果符合条件控制，客户端可以通过访问代理进而访问企业的相关应用；否则拒绝客户端的访问。

3.访问问题解决

1.访问代理Access Proxy AP为正确处理一个授权请求，AP要识别发出请求的设备和用户，那么如何进行设备认证和身份认证呢？？？

2.如何进行授权呢?授权机制是怎么实现的呢？

3.代理和后端之间的双向认证有哪些好处？

......

4.对BeyondCrop的评价

在Kindervag提出领信任模式之后，谷歌成功研发出了BeyondCrop项目，并历时7年成功部署，算是“零信任”模式的先驱，先行者。

它主要目的是摒弃企业特权网络并开创一种新访问模式--零信任模式，即内外网统一对待。该模式的重点在于身份验证和访问控制。即在身份验证方面和网络安全方面都有统筹到，在“零信任”模式的发展中，属于标准案例。

三：360安防公司

1. 方案：推出了天鉴零信任身份安全解决方案。

2. 方向：基于身份验证的领信任安全架构。

3. 框架：

本质上可以概括为以身份为中心的动态访问控制，是在不可信的现代网络环境下，以身份为中心，通过动态访问控制技术，以细粒度的应用、接口、数据为核心保护对象，遵循最小权限原则，构筑端到端的逻辑身份边界。

交互过程分析：

1.企业和外部人员的应用访问和外部平台和应用的API调用请求 与安全访问控制区的业务访问集中代理进行交互。

2.业务集中代理进行相应的访问控制检查，通过和业务访问安全防护模块进行相应的动态访问控制。

3.动态访问控制主要由两部分组成：基于风险的动态授权（用户身份认证和访问会话管理） 和 基于身份的动态授权（设备认证和安全策略执行）。

4.于此同时可信模块（风险感知和信任评估）一直在动态分析执行，设备环境感知，网络威胁感知和可信身份感知，以及安全策略控制，日志数据服务。通过相应的可信感知系统和可信API代理，以及令牌操作。

5.但进行完所有的上述操作，系统认为你是可信的（具有相应的等级）可以通过相应地访问一些应用或者通过API调用后台程序。

4.该方案的主要研究内容：

360奇安信所推出的天鉴零信任身份安全解决方案，正是基于零信任安全架构所实现的访问控制安全整体实践。其核心技术要点包括：以身份为中心、业务安全访问、持续信任评估和动态访问控制。其空间架构图：

5.问题产生和解决

  1.以身份为中心，那需要动态采集网络中的人，设备，应用的哪些身份信息？

  2.动态访问控制怎么实现呢？

    需要采取MAC强制访问策略，并且访问权限不是静态的是动态控制的！怎么做到动态控制呢？根据主体属性，客体属性，环境属性实现的动态风险感知的可信访问控制。、

  3.持续信任机制有哪些技术实现？

    风险系数；信任度；身份信息及访问流量风险控制；对外部风险输入进行关联性分析。

  4.关于业务访问安全的控制，我们需要给每项业务及其调用的API都加上相应的保密措施，采用相应的加密措施。

6.方案优势

该方案是基于“零信任”模式的身份验证为中心的动态访问控制，与BeyondCrop相比其最大的优势是实现了全面化身份验证，同时基于全面身份化，为用户、设备、应用程序、业务系统等物理实体建立统一的数字身份标识和治理流程。同时加入了持续性的身份动态评估。

通过手机即令牌的方式，提供目前先进的终端识别技术：人脸识别，动态口令，单点登录的技术，同时对用户智能手机终端进行病毒查杀、root/越狱检测，通过注册建立用户与设备的唯一绑定关系。确保只有同时满足合法的用户与可信的终端两个条件才能接入到业务系统。为了提高用户的使用便捷性，用户认证支持动态口令、二维码扫描、推送验证的多种身份认证方式。

上述的这些工作可以看出该产品对于身份验证的重视，同时看出了奇安信对于“零信任”模式下的产品的研发方向----身份验证。

而该产品对于网络部分的措施，主要是通过他们公司的一些现有技术，加上目前流行的安全技术的叠加，类似有黑盒控制，所有的业务访问只要能够通过黑盒中的安全控制便可以实施业务流程，例如通过TLS传输加密，访问代理，单点登录，全量日志，流量可视化。仅仅是借鉴了BeyondCrop对于网络方面的部分安全实施。

对于数据方面，奇安信依靠自己强大的大数据安全建模和分析能力，结合终端风险感知与用户行为大数据，实现具备自适应与自学习能力的智能化身份安全解决方案。

7.适用的客户市场

奇安信零信任身份安全解决方案覆盖了政企行业用户访问控制的完整生命流程以及组织内多种被访问的应用类型，适用于政府、部委、金融、能源、运营商、央企、其他大型企业等单位

四：Duo公司

1. “零信任”方案：Duo’s Trusted Access，对于需要大规模保护敏感数据的各种规模的组织，Duo的Trusted Access解决方案是面向所有用户、所有设备和所有应用程序的零信任安全平台。
2. 方案方向：基于用户验证的方向。
3. 产品面向的客户：强调身份重要的企业或公司：医院，政府，金融机构等。
4. 方案的技术和优势：

①多因素身份验证MFA:强双因素验证所有用户身份；信任等级机制；设备证书；支持多种身份验证方式，如U2F安全令牌，硬件令牌，生物类识别等；可拓展性强，Duo的MFA保护所有内部部署和云应用程序，Duo和主要技术供应商合作，轻松安全将安全控制拓展到任何应用程序或服务。

②采用了SaaS模式，Duo轻量级软件即服务的解决方案；SSO，采用远程访问和单点登录；SSH安全远程访问控制：安全访问的主要目标：保护每个应用程序，无论是在云中还是在内部。通过Duo的远程访问和单点登录（SSO），您可以让用户从任何设备和任何位置安全访问所有业务应用程序。

③设备安全监测：端点可能性(Endpoint visibility)；管理和识别有风险设备，并及时更新设备，打补丁，降低风险；MDM移动设备管理；设置了细粒度设备访问及应对策略。

④用户身份访问控制：强制基于角色的访问控制；基于地址的访问控制；基于网络的访问控制。

⑤注重用户的体验：轻松配置注册用户；自助服务管理系统

5.分析：Duo公司在身份验证方面，使用了很多关卡进行验证和实时监测，例如MFA,EV,Adaptive Authentication&Policy Enforcement(自适应身份验证)等等，和领跑者BeyondCrop方案比较来说，其更加侧重身份验证方面，因此基于网络的领信任仍然是深信服发展的一个大方向。

五：Meta Networks公司

Meta Networks公司更好地将云技术和“零信任”模式结合了一起，并且该公司的研究方向更加注重的是网络方面的零信任，和奇安信企业有所不同，他的所有网络建设和流量控制和动态安全控制都是基于云。

    1.应用零信任的产品功能：Meta Networks正在构建一种向企业提供以用户为中心的计算结构.Meta研发的 Network-as-a-Service(NaaS)是一个全球覆盖网络，是一个全球的多终端网络，但他为每个客户组织提供一种类似于私有企业网的功能。这一切都是基于云，所有的网络建设都是在云中完成的。

云服务框架图

2.产品原理：（应用网络流量安全控制）

Meta NaaS在世界各地存在一个密集的网络集中点PoPs，像一个非常大的分布式基于身份的路由器，元网络正在云中部署。策略抽象物理拓扑并处理用户和资源。由于所有流量都通过该网络，因此企业可以采用一种全面的安全方法，包括访问公司应用程序和数据以及互联网访问。

为什么要应用零信任呢？企业可以根据需要对员工强制实施“始终在线”的安全模式，而许多其他软件定义的外围解决方案则忽略了互联网。这意味着企业需要找到另一个解决互联网流量的方法，或者让设备处于易受攻击的状态。

    meta-naas有一个零信任体系结构，每个用户都受软件定义的边界约束。无论从何处连接到此网络，每个用户都有一个唯一的固定身份。SDP安全框架允许在元网络即服务（meta network-as-a-service）之间动态创建一对一的网络连接：企业网络和网络安全用户的发展以及他需要访问的特定资源。

   该过程还确保在访问网络上以及整个会话中的任何资源之前，所有试图加入网络的端点都经过身份验证和授权。这不仅对网络应用了最小权限原则，而且通过对未经授权或未经授权的用户隐藏网络资源，减少了攻击面。

六：Pulse Secure

1. 方案名称：Pulse Secure Access。
2. 方案目的及解决的问题：

1. 该方案确保数据中心和多云应用程序的安全访问可用性、零信任保护和行业合规性。防止权限不足访问，防止IT资源暴露（loT）等等。
2. 目标是在不影响安全性的前提下，提供对企业信息、应用程序和服务的简单、无摩擦的访问同时使IT部门能够轻松、灵活地实施、管理和调整与不断变化的环境相一致的安全策略。

1. 方案侧重方向：侧重于平台功能拓展性和集成性，用户验证和用户体验（为员  

工提供类似消费者的用户体验）。

1. 方案几大组成部分：

1. 云计算和IT混合成为了标准；使用多个安全仓进行访问控制
2. 集成移动化安全，实现企业移动化管理。
3. Simple and easy-to-use UX,简单易用的用户体验：

IT管理员需要一种直观、灵活的方式来协调访问安全的所有元素，从而使他们不需要跨多个安全系统和控制台关联数据和操作。

1. 提供端到端的混合IT安全，将SSO身份验证和基于角色和设备兼容相结合；    

SDP认证加检验。

1. 实现了可拓展的统一平台(统一的领信任安全访问平台)，支持跨企业预置                           

性和云环境中的物理和虚拟IT资源，设备的端点覆盖，代理客户端技术。

1. 用户，设备和应用程序的统一策略引擎：统一允许一次性编写规则，并自   

动在企业范围内应用。SDP体系结构提供了一个统一和集中的策略引擎，具有上下文感知能力，支持根据用户、角色、设备、位置、时间、网络和应用程序以及端点实施粒度策略。

1. 跨多个供应商的无缝集成

1. 适用市场：Enterprise access security has been redefined by “Bring Your    

Own Device” (BYOD), Mobility, and Cloud Services企业访问安全已被“自带设备”（BYOD）、移动和云服务重新定义。随着以后移动设备和云服务的普及，该方案的使用前景不可估量，例如现在的云企业，以及涉及到云技术方面的企业，都将是他们的客户或者是潜在客户。

1. 总体分析和比较：该方案的功能平台可拓展性强，管理方便，注重用户的使用

体验感，同时结合到了云服务应用，前景广阔。但是同BeyondCrop方案相比，其略显单调，在网络控制方面和设备访问控制方面还是稍有逊色。

七：芯盾--“零信任”方案

芯盾公司也推出了几款与“零信任”模式有关的产品，但是不同于BeyondCrop和天鉴方案，这两款产品都是集中解决某一项技术而推出的，功能单一性，并非是一整套方案。下面来介绍这两款产品。

产品一：持续自适应安全平台（ECP）

1.产品应用：账户的安全认证

2.市场需求：由于地下黑产的泛滥，拖库撞库事件频繁发生，企业应用在信息化的同时面临严峻的安全问题，如手机银行、移动办公等都是业务安全的重灾区，有些企业采用了诸如U盾，短信验证码，令牌等增强型认证方式作为辅助手段，但受到介质应用场景的限制，很难在企业内广泛推广。所以说我们需要一款这方面的产品来解决帐号拖库，撞库，账户共用的问题。

3.适用市场：手机银行、移动办公等一些列互联网认证登录的企业。

   指纹认证；一键认证；手势认证；动态口令。

4.产品特点：

  丰富的认证引擎：支持多种独立于业务系统的认证，可以快速增加新型认证方式；

  支持多终端系统；

  持续自适应安全平台：在用户登录系统后，ECP会根据应用的安全级别不断检测用户当前状态，如时间、地点、操作行为等，在发现与用户常在习惯产生偏差时，则自动选择适应当前场景的方式验证用户身份，如人脸识别，滑动验证码，语音验证码等，一旦验证不通过，用户则会被强制下线；

  多维度灵活可配的规则引擎：支持多领域多维度的业务规则，提供专业数据模板，支持多样化灵活配置。精准识别复杂风险，准确定义风险等级，为认证引擎提供有力的决策依据。

产品二：用户实体行为分析（UEBA）

1.产品功能：通过广泛的数据搜集，使用机器学习(ML)、人工智能(AI) 技术，检测用户行为的细微变化，配合专家知识库，发现内部人员潜在的威胁行为。

2.市场需求：一些企业的核心数据泄漏、员工违规操作、账号盗用等内部安全问题时有发生，同时企业也希望能够在安全事件发生后，也能为安全事件调查提供依据。所以这样一款产品就产生了。

3.适用市场：主要是政府，企业的核心管理层次，具有核心的信息，可以通过UEBA去分析操作员的相关操作，对用户的实体进行相应的分析，及时发现及时保护。

4.产品特点：

全面数据采集：收集多种终端、网络、应用数据源：AD/LDAP目录、数据包、流量、日志、web代理、防火墙、服务器、DNS、DHCP服务器等。实现将数据与用户、设备和应用相关联，对企业敏感数据，在网络中流动时进行全方位画像。

人工智能与机器学习：通过引入人工智能技术，实现对大样本数据的全量分析，结合机器学习引擎，能够对小样本偶发事件进行筛选和过滤，进而发现潜在的威胁操作，可作为企业安全基线，大幅提升企业内控能力。

算法领先：独有的基于GPU的加速算法优化，性能是普通服务器的数十倍。使得分析结果秒级呈现，快速发现内部威胁。

用户实体行为分析：通过收集移动终端信息，将用户操作与实体身份进行绑定，可以对员工的访问行为进行追踪，通过规则引擎与机器学习引擎的共同作用，可以有效发现隐藏的小样本威胁操作，发现诸如账号冒用、信息盗取等威胁行为。

八：比较分析表

领信任比较表.xls（右键打开超链接）

最后

以上就是执着老师为你收集整理的企业新型安全模式的全部内容，希望文章能够帮你解决企业新型安全模式所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。