零信任安全解决方案在部委大数据中心的实践案例
  • 2020.05.25
  • 3300
  • 奇安信身份安全
奇安信零信任安全解决方案,基于以身份为基石、业务安全访问、持续信任评估和动态访问控制四大核心特性,有效解决用户访问应用,服务之间的API调用等业务场景的安全访问问题,是适用于云计算、大数据等新业务场景下的新一代动态可信访问控制体系。解决方案已经在部委级客户、能源企业、金融行业等进行正式的部署建设或POC试点。下面以某部委大数据中心安全保障体系为例进行阐述。
 
大数据中心安全挑战
(1) 数据集中导致安全风险增加
大数据中心的建设实现了数据的集中存储与融合,促进了数据统一管理和价值挖掘;但同时大数据的集中意味着风险的集中,数据更容易成为被攻击的目标。
 
(2) 基于边界的安全措施难以应对高级安全威胁
现有安全防护技术手段大多基于传统的网络边界防御方式,假定处于网络内的设备和用户都被信任,这种传统架构缺乏对访问用户的持续认证和授权控制,无法有效应对愈演愈烈的内部和外部威胁。
 
(3) 静态的访问控制规则难以应对数据动态流动场景
大数据中心在满足不同的用户访问需求时,将面临各种复杂的安全问题:访问请求可能来自于不同的部门或者组织外部人员,难以确保其身份可信;访问人员可能随时随地在不同的终端设备上发起访问,难以有效保障访问终端的设备可信;访问过程中,难以有效度量访问过程中可能发生的风险行为并进行持续信任评估,并根据信任程度动态调整访问权限。如上安全挑战难以通过现有的静态安全措施和访问控制策略来缓解。
图1:大数据中心安全场景
 
为应对上述安全挑战,基于零信任架构构建安全接入区,在用户、外部应用和大数据中心应用、服务之间构建动态可信访问控制机制,确保用户访问应用、服务之间API调用的安全可信,保障大数据中心的数据资产安全。
 

部署方案

 
奇安信零信任安全解决方案应用于某部委的整体安全规划与建设之中,在新建大数据共享业务平台的场景下,访问场景和人员复杂,数据敏感度高。基于零信任架构设计,数据子网不再暴露物理网络边界,建设跨网安全访问控制区隐藏业务应用和数据。解决方案通过构建零信任安全接入区,所有用户接入、终端接入、API调用都通过安全接入区访问内部业务系统,同时实现了内外部人员对于部委内部应用以及外部应用或数据服务平台对于部委数据中心API服务的安全接入,并且可根据访问主体实现细粒度的访问授权,在访问过程中,可基于用户环境的风险状态进行动态授权调整,以持续保障数据访问的安全性。
 
图2:奇安信零信任安全解决方案部署图
 
目前奇安信零信任安全解决方案在某部委大数据中心已经大规模稳定运行超过半年,通过零信任安全接入区,覆盖应用达到60多个,用户终端超过1万,每天的应用访问次数超过200万次,每天的数据流量超过600G,有效保证了相关大型组织对大数据中心的安全。奇安信零信任安全解决方案,能够帮助客户实现终端的环境感知、业务的访问控制与动态授权与鉴权,确保业务安全访问,最终实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构,构建组织的“内生安全”能力,极大地收缩暴露面,有效缓解外部攻击和内部威胁,为数字化转型奠定安全根基。