零信任并不是要顛覆等保2.0、縱深防御體系，而是互補關(guān)系。零信任以身份為新邊界，意味著首先要改變的是僅依賴安全設(shè)備在網(wǎng)絡(luò)邊緣保護所有系統(tǒng)和資源的情況，需要在用戶現(xiàn)網(wǎng)的架構(gòu)中，重新定義防護對象、新業(yè)務(wù)安全場景、并交付新的安全能力。我們要根據(jù)系統(tǒng)本身的安全策略、業(yè)務(wù)敏感度、安全等級特征等因素，建立新的身份邊界。這里的“身份”不僅是用戶的身份，還要考慮訪問主體和客體的身份（如設(shè)備、應(yīng)用等）、原有的網(wǎng)絡(luò)的身份等?？梢钥吹剑覀儾]有摒棄傳統(tǒng)的以網(wǎng)絡(luò)為安全邊界的理念，而是又疊加了多維度的身份信息，以軟件定義的方式構(gòu)建以身份為邊界的新安全模式。

當下國家處在數(shù)字化改革的元年，重大轉(zhuǎn)型就會驅(qū)動新技術(shù)和新風險的催生，這里我們總結(jié)了當下網(wǎng)絡(luò)世界中的十大網(wǎng)絡(luò)安全威脅，互聯(lián)網(wǎng)暴露面過大、VPN接入權(quán)限過大、API調(diào)用未建議授權(quán)機制、應(yīng)用漏洞過大被利用、賬號社工或密碼暴力破解等等，我們的廣大政企用戶都飽受挑戰(zhàn)和攻擊。

安恒信息依靠多年的技術(shù)沉淀和秉持創(chuàng)新精神，推出AiTrust零信任解決方案，該方案取代了以邊界為中心的安全架構(gòu)，它可確保根據(jù)身份、設(shè)備和用戶環(huán)境動態(tài)實施安全和訪問決策。只有經(jīng)過身份驗證和授權(quán)的用戶和設(shè)備才能訪問應(yīng)用程序和數(shù)據(jù)。精準交付網(wǎng)絡(luò)隱身、最小權(quán)限、動態(tài)信任評估及數(shù)據(jù)安全保障等多項安全能力。

安恒信息一直致力于數(shù)據(jù)安全治理領(lǐng)域的產(chǎn)品研發(fā)和創(chuàng)新，我們自己也定義了自己的零信任能力框架。主要緯度是四個核心安全目標，數(shù)據(jù)可信身份、訪問最小權(quán)限、數(shù)據(jù)資產(chǎn)保障、數(shù)據(jù)風險回溯。打造一套業(yè)務(wù)應(yīng)用/數(shù)據(jù)開放共享通道的安全體系平臺，交付給用戶更可信的用戶身份（基于多因子和多種屬性，實現(xiàn)全面用戶身份認證）、更安全的業(yè)務(wù)訪問（采用細粒度、動態(tài)化的授權(quán)模式，安全策略策略更實時有效）、更全面的安全考量（集合環(huán)境、訪問行為、風險事件等多元素構(gòu)建訪問策略）。

?回收網(wǎng)絡(luò)訪問權(quán)限，僅提供應(yīng)用訪問權(quán)限

虛擬專用網(wǎng)絡(luò) (VPN) 等傳統(tǒng)遠程訪問技術(shù)無法滿足當今無邊界數(shù)字化用戶日益增長的需求。傳統(tǒng) VPN 對用戶安全構(gòu)成威脅，因為它本身就會在防火墻上形成漏洞，從而提供不受限制的網(wǎng)絡(luò)訪問。一旦攻擊者位于內(nèi)部，其就可以自由地橫向移動以訪問和利用網(wǎng)絡(luò)中的任何系統(tǒng)或應(yīng)用程序。傳統(tǒng) VPN 不僅會使用戶面臨安全風險，而且它們還是復(fù)雜的解決方案，需要大量 IT 資源來進行硬件和軟件管理，同時維護和擴展的成本高昂。

啟用AiTrust零信任解決方案，將僅允許用戶訪問權(quán)限內(nèi)的應(yīng)用程序，訪問策略基于用戶身份、設(shè)備狀態(tài)、用戶行為和授權(quán)。這種做法將減少橫向攻擊，進而減少網(wǎng)絡(luò)風險敞口。將用戶逐漸從 VPN 向AiTrust零信任訪問遷移，將改善用戶體驗、提高員工工作效率并減少IT運維故障單，并擺脫對防火墻、硬件和軟件的依賴、降低 IT 維護成本。

? 隱藏真實的應(yīng)用和服務(wù)端口

傳統(tǒng)做法中，內(nèi)部應(yīng)用程序和訪問基礎(chǔ)設(shè)施暴露于互聯(lián)網(wǎng)，使得它們?nèi)菀自馐?DDoS、SQL 注入和其他應(yīng)用程序?qū)庸?，同時黑客正在利用不斷發(fā)展的技術(shù)來掃描用戶網(wǎng)絡(luò)配置，以發(fā)現(xiàn)易受攻擊的應(yīng)用程序和重要數(shù)據(jù)。啟用AiTrust零信任解決方案，幫助用戶必須將應(yīng)用程序和訪問架構(gòu)與公共互聯(lián)網(wǎng)隔離開來，這樣惡意攻擊者就無法利用開放的偵聽端口將其作為攻擊目標。如果網(wǎng)絡(luò)罪犯無法找到網(wǎng)絡(luò)或確定目標設(shè)備正在運行的應(yīng)用程序和服務(wù)，即將無法實施攻擊。

??持續(xù)動態(tài)地驗證用戶身份和應(yīng)用權(quán)限

大部分客戶場景中，應(yīng)用訪問權(quán)限的授予往往只需要訪問者正確輸入用戶名和密碼，而不會驗證訪問者的身份。重復(fù)使用安全性較弱的憑據(jù)和密碼顯著增加了用戶的攻擊面和風險。在當今的威脅形勢下，單單依賴用戶名和密碼等單因素身份驗證顯然不夠。啟用AiTrust零信任解決方案，通過多重身份驗證 (MFA) 提供了額外的驗證和安全級別，它可確保僅經(jīng)過MFA驗證、安全基線達標的用戶才能訪問業(yè)務(wù)關(guān)鍵的應(yīng)用程序，并可以相同的用戶在訪問不同的目標資源時，采取不同的驗證方式。

??啟用API安全能力對數(shù)據(jù)進行保護

API負擔著承上啟下的作用，其后承載著海量的價值業(yè)務(wù)數(shù)據(jù)，隨著數(shù)據(jù)上云、集中化、共享趨勢，大量的數(shù)據(jù)需要通過API對應(yīng)用程序提供服務(wù)，API的安全穩(wěn)定是支撐應(yīng)用正常運轉(zhuǎn)的基石。啟用AiTrust零信任解決方案，落地API安全能力，能夠提供基于身份的接入控制管理，根據(jù)接入終端的環(huán)境、用戶的身份及行為、應(yīng)用系統(tǒng)來賦予不同的API操作和訪問權(quán)限；能夠?qū)τ脩艉凸芾韱T的操作、訪問、內(nèi)容、文件等進行監(jiān)控和回溯，并且在重要事件發(fā)生時自動告警；并根據(jù)API參數(shù)中設(shè)定的數(shù)據(jù)格式和函數(shù)，通過正則或自定義規(guī)則來定義敏感字段，實時地對敏感數(shù)據(jù)進行監(jiān)測、預(yù)警、動態(tài)脫敏，以實現(xiàn)對數(shù)據(jù)傳輸?shù)募用鼙Ｗo。

?支持與SIEM平臺集成及安全能力編排

用戶可能擁有數(shù)百甚至數(shù)千個應(yīng)用程序及安全設(shè)備，它們通過集成到SIEM進行統(tǒng)一的安全監(jiān)視。通過啟用AiTrust零信任解決方案，同樣可以將威脅和事件數(shù)據(jù)集成到SIEM，并通過RESTful API對接SIEM、終端安全環(huán)境感知等安全系統(tǒng)，對安全事件進行響應(yīng)編排，以幫助用戶快速關(guān)聯(lián)、調(diào)查安全事件，并對安全事件進行快速響應(yīng)。

隨著數(shù)據(jù)開放面逐漸擴大、數(shù)據(jù)訪問量不斷增加，我們預(yù)見到了開放共享過程中潛在的數(shù)據(jù)安全防護及溯源問題，例如數(shù)據(jù)訪問無法追溯到最終用戶、API 自身脆弱性帶來的安全配置錯誤及注入風險、API 異常高頻訪問帶來的數(shù)據(jù)暴露風險等。

安恒信息基于零信任的理念，本次方案強調(diào)“永不信任、始終確認”，在業(yè)務(wù)訪問的全流程中引入身份認證的能力，對管控的客體對象“用戶”、“應(yīng)用”的身份進行持續(xù)校驗，并針對防護對象 API 資源，實現(xiàn)“先認證、再授權(quán)、再訪問”的管控邏輯，通過為數(shù)據(jù)安全中臺構(gòu)建虛擬身份安全邊界，最大程度上收窄公共數(shù)據(jù)平臺的暴露面，保障業(yè)務(wù)安全開展。一舉解決政企用戶多項安全頑疾：例如數(shù)據(jù)訪問無法追溯到最終用戶、API 自身脆弱性帶來的安全配置錯誤及注入風險、API 異常高頻訪問帶來的數(shù)據(jù)暴露風險等。

身份管理是大多數(shù)組織實現(xiàn)安全和IT運營策略的核心。疫情導(dǎo)致員工的正常工作更依賴遠程自動訪問企業(yè)內(nèi)部應(yīng)用和數(shù)據(jù)資產(chǎn)，同時潛在的安全和合規(guī)風險正在加大和蔓延。

安恒信息AiTrust零信任解決方案基于“零信任”身份權(quán)限控制，在應(yīng)用服務(wù)器之前的零信任網(wǎng)關(guān)已將對用戶的訪問權(quán)限控制細化到設(shè)備和應(yīng)用、服務(wù)層級，將權(quán)限控制進一步細化到數(shù)據(jù)內(nèi)容層級，實現(xiàn)對敏感數(shù)據(jù)的精準靶向監(jiān)控。數(shù)據(jù)鑒權(quán)機制架構(gòu)在設(shè)置于各應(yīng)用服務(wù)器之間的數(shù)據(jù)安全網(wǎng)關(guān)上，控制各應(yīng)用間的相互訪問，實現(xiàn)對信息系統(tǒng)各使用人員、設(shè)備、應(yīng)用訪問在數(shù)據(jù)內(nèi)容粒度上的精確權(quán)限控制。

AiLPHA大數(shù)據(jù)智能安全事業(yè)群

AiLPHA大數(shù)據(jù)智能安全事業(yè)群深耕包括大數(shù)據(jù)、人工智能、態(tài)勢感知、數(shù)據(jù)安全、零信任等前沿網(wǎng)絡(luò)安全技術(shù)領(lǐng)域，提出以“CAPE”數(shù)據(jù)安全能力框架為核心的數(shù)據(jù)安全管控體系，包含數(shù)據(jù)安全管控、安全可控數(shù)據(jù)流通、安全可信融合計算三大核心能力，為全球超過2000家客戶提供高質(zhì)量的網(wǎng)絡(luò)安全產(chǎn)品和服務(wù)，致力于實現(xiàn)數(shù)據(jù)“可用不可見”的安全目標，未來將會持續(xù)為數(shù)字經(jīng)濟產(chǎn)業(yè)的培育發(fā)展貢獻力量。