FAQ:嘉宾回答CSA零信任十周年峰会留言区的提问
- 2020.06.11
- 2468
CSA零信任十周年峰会于6月5日召开。峰会上,对于观众在留言区提出的一些问题,嘉宾给予了个人的回答,以供大家参考。如果读者有其他的想法,请在文章留言区分享您的观点。
陈君:我们讲零信任是“以身份为中心,以访问控制为手段,通过动态调整权限,来达到业务和数据安全的目的”。所以,我们在数据安全防护中去落地零信任,也是要从“身份”、“认证”、“权限”、“动态”、“访问控制”这几个方面去讲。
我经常在咨询过程中都会推荐给企业的四个步骤“我是谁?我在哪?我能做什么?我是否能继承之前的权限?”。
第一步,解决“我是谁”的问题,也就是实现数据的身份管理,借助敏感数据发现能力和数据分级分类的能力对数据进行标识,做到数据身份化;
第二步,解决“我在哪”的问题,按照最小权限原则,构建身份和数据权限的映射关系;
第三步,解决“我能去哪”的问题,借助认证和权限的能力,采用数据授权与鉴权、数据操作审计、运维和测试数据脱敏、高敏感数据加密、数据水印等技术,防止在数据使用过程中出现数据泄露和篡改。通过基于数据标签、用户属性、数据属性等的访问控制,实现数据细粒度访问控制;
第四步,解决“我是否能继承之前的权限”的问题,根据主体的环境属性及安全状态动态调整访问权限。
目前我所在的企业有本地的应用和一些云端SaaS应用,IAM主要基于微软的AD。现在考虑做MFA和移动设备管理,同时再考虑DPL用于解决海外机构的GDPR合规要求。资源有限,在身份管理/终端管控/信息保护/威胁防护ATP之中,请问专家是否优先级的建议?
老鹰:身份管理+终端管控优先,信息保护主要从合规出发,建议结合云厂商的安全服务关联考虑。
最优先:身份管理,身份安全是最基础的,最基础的影响最大,也应最优先做,确保身份安全后,可以再考虑下面的。
终端管控:通过终端管控落地终端防护系统,把终端全部控制起来后,就可以基于终端管控系统,去加载信息保护的模块或系统,结合身份管理,来实现数据泄漏的定位。
威胁防护APT:要做APT防护,前面的身份管理、终端都是基础,理应放到最后比较好。
在国家一些物理隔离的涉密网中,零信任的必要性和可靠性怎么样?
严雷:零信任的基本原则就是不依据物理位置做默认的信任,物理隔离网络同样面临着社会工程学攻击,恶意员工,商业间谍,非法外联,供应链攻击等很多威胁。因此即使是在隔离网内也有必要做基于零信任的安全访问控制策略。至于可靠性这个问题,属于实现水平范畴,不同公司,不同产品当然都不一样。
严雷:微隔离目前主要应用于数据中心,原则上是面向工作负载的零信任技术而不是面向用户的。当然我们也在做工作负载身份的研究,这个时候,设备身份信息源于统一的资产管理平台。
山石网科的微隔离产品可以适配各种云平台吗?如,我们公司新华三云平台,可以做吗?
任亮:山石网科的微隔离产品目前还不支持新华三的云平台,需要新华三的云平台支持引流能力,然后山石网科的微隔离产品再去适配。
尚红林:理论上算,终端上封装了一层协议,有标识的才能使用。
戴立伟:目前零信任体系中,包括IAM、SDP、MSG其实都有实际成果在行业内部使用了。相较于SDP和MSG,IAM作为基本组件,使用的范围更为广泛。而SDP和MSG也有成熟的市场产品,并且在一些大型企业进行了落地使用。而在一些大型企业落地时,因为已经存在较多存量常规安全产品,往往需要有专业团队完成零信任的咨询,建立适应于当前企业的零信任落地方式和建设规划。
陈本峰:NIST白皮书里面提到和合规要求的关系,零信任只是实现合规监管要求的一种技术理念。
目前微隔离目前有个产品安全技术要求,sdp现在有什么相关标准么?
陈本峰:云安全联盟CSA于2013年最早发布SDP的标准,《SDP Spec 1.0》(SDP标准规范文档)以及SDP相关标准的白皮书在www.c-csa.cn官网上可以看到及下载。
SDP在物联网的落地架构跟其他场景有什么区别?有没有具体落地方案?
杨正权:SDP在物联网落地架构跟其他架构最大的区别是终端设备的可信问题和对各种接入终端设备的支持的问题,这个问题目前在零信任的落地方案中大家都还在探索中,各个问题解法都有不完美的地方,还需要继续迭代,升级。
看了大家针对零信任落地都有自己的侧重点, 那么有没一种统一的标准,对这些实践进行评价,这样也有利于找出差距,为后续实践提供量化的参考!
张泽洲:零信任是安全理念和架构方法,在不同业务场景,解决方案是有差异的,很难对不同的落地方案本身进行横向评价。一种可探讨的方式是,企业在落地零信任建设时,可以基于零信任的一些通用参考能力模型,结合企业现状和业务、安全需求,对这些通用能力进行筛选,形成本地化的零信任能力模型,并据此去评估各候选方案的能力满足度,基于一定的记分方法对候选方案进行比较。
何艺:我个人看法是,现阶段谈最佳实践比较困难,行业目前真正去实践和落地的太少了,没有实操很多问题无法真正暴露出来,我们虽然起步稍早,有实践和落地但也还在探索中,行业还需要有更多的实践,有更多的经验交流,最后形成共识,这个时候可能才是能说最佳实践的时候。
关注CSA公众号,回复“PPT”,即可下载。