零信任身份安全 定义「新」安全边界 单位：北京芯盾时代科技有限公司 主讲人：陈曦 目录 CONTENTS 1 重构：零信任身份重塑信任 2 实践：零信任体系化落地 3 案例：行业场景落地解析 4 芯盾时代零信任解决方案 以零信任构建数字经济「安全新基座」 数字化重塑全域产业链，业务边界VUCA化 有界 边界持续重构 无界 稳定态 变化态 动态平衡态 安全成为产业发展的“生命线”与“天花板” 海量终端与网络虚拟化带来更多攻击面 基础设施云化 触点数字化 APT、勒索病毒等恶意攻击实时化、全面化 业务在线化 运营数据化 基础设施成为攻击重点 决策智能化 隐私保护与数据共享面临挑战 -- 腾讯研究院 以零信任重塑信任，为数字经济构建智能、自适应、异构规模化、弹性交付的安全新基座 基于多维可信身份，建立「ROI均衡」的弹性信任 兼顾安全-体验-成本，在任意环境下实现主体对客体的可信任访问，消除「隐式信任」和「静态信任」 主体 网络 Network Gartner TICM2 可信身份模型 客体 PAD-SDWAN 保护面8要素 Credential-based 人 People 安全访问控制 Service 工作负载 APP Workload Device People 行为模型分析 Device 端点环境分析 Application 可信身份认证 Network 主体意图分析 Service 信誉历史分析 服务 应用 设备 PEP：策略执行 （信任建立和维护） 应用程序接口 API API 服务 Service 零信任 多维信任评估 数据 PDP：策略决策 （信任持续评估） Data Data Analytics-based Workload 随需随身，零信任重构「新」安全边界 构建原则 软件定义的微边界网格 以身份为核心 升级安全体系基座 （Software Defined MicroPerimeter Mesh） PEP与PDP分离 • 随需定义 • 细粒度策略决策 软件定义 贴身化 随身化 微粒化 • 模块化：能力模块化、策略模块化 • 响应式：自动响应，弹性扩展 ASIC：Around - Sidecar - Inside - Cloud 可互操作：安全能力集成联动 非破坏式创新：升旧立新 安 全 边 界 || 执 行 安 全 策 略 ， 实 现 安 全 控 制 的 载 体 SD-MicroPerimeter Mesh核心组件 微边界双模部署： 端点安全Agent and 安全微网关 智能控制中心： 云端交付，实现全局可见性和集中管控 全平台覆盖、全架构应用支持、 全协议代理、全链路安全、全流量透视 分布式联合身份框架，实现全域信任持续计算 按需扩展，构建基座与能力的数据循环与联动闭环 MP和CIC构成扩展的基础 • EPP/EDR 安全防护及终端管控能力 • EMM 安全微网关：扩展丰富的安全处置能力， PKI基础设施 微隔离 MTD 实现灵活的策略执行 • 威胁情报 合规管理平台 安全Agent：扩展深度风险感知、数据 中央智能控制器：融合广泛风险信息源， 设备资产管理 SIEM/态势感知 支持全面态势感知，实现精准的风险决 策，实时触发策略执行 可信身份管理平台 VDI WAF RASP 基座与能力集成原则 • 能力增长系数 >> 性能/资源损耗系数 • 一体化降低维护成本，保证兼容性 • 数据循环优于日志单向同步 • 基于API集成，真正联动 • 集中安全策略编排，并触发MP执行 动态访问控制引擎 a 生物探针 持续信任计算引擎 SOC IPS/IDS DLP SWG 安全浏览器 CASB RBI SASE FW/NGFW 泛端点安全Agent 安全沙箱 UEBA 全域风险感知平台 零信任安全网关 安全管理及运营 中心 VPN SOAR 零信任「体系化」落地实践方法论 落地场景难选取 规：目标-路径 诊：调研-画像 零信任落地四大挑战 诊 规 路线选取与组合 切入层面 · 增强IAM · 端点安全 · SDP · 传输安全 · 微隔离 · 业务安全 · CARTA · 数据安全 · 基础设施安全 · 安全体系升级 落地场景难选取 点 线 点：选点-成效 落地场景难选取 环 · ROI原则 场景选取 落地场景难选取 线：能力-运营 环：评估-改进 · 可信实体身份识别 · 微创性原则 · 全域风险感知 · 安全能力基线设定 · 资源安全访问 · 数据驱动效果分析 · 系统性原则 · 动态自适应访问控制 · 路线调整持续改进 · 延续性原则 · 持续风险和信任评估 · 存量升级 + 体验提升 · 通用方案 + 因地制宜 · 可见性原则 · 能力互补 + 精准切入 · 体系升级 + 技术创新 5大能力 泛行业，多场景：零信任落地切入点选取清单 业务访问： 支持任何人基于“最小权限原则”访问任何数据资产 流量网络： 构建东西流量安全与可视 服务网格： 保护服务间的数据交换与能力整合 监管合规： 宏观层面的安全诉求落地与能力匹配 安全增强： 内生需求驱动的安全与体验升级 零信任能力成熟度参考模型 匹配企业自身状况和发展目标， 综合考量「路线-场景-能力成熟度阶段」，量身定制落地路径 案例1：收敛暴露面，多维身份信任，实现攻防演练0失分 场景需求 【场景】某股份制银行，面向B2B的业务协作 开放数据及API访问 · 多地研发协同，资源访问方众多且环境复杂 · 准生产环境访问控制宽松，安全设备不足 · 测试版本数量远大于生产环境，漏洞问题多 【挑战】 · 50+系统 100+公网IP 10000+开放端口 · 100+合作伙伴，协调配合难度极大 · 仅有2周时间完成全部对接并上线 监管合规 服务网格 解决方案 · IP及端口收敛 · 通用安全策略模型沉淀与复制 · 多维身份可信认证：连接、设备、访问环境 案例1：收敛暴露面，多维身份信任，实现攻防演练0失分 效果 & 亮点 IP收敛至 监管合规 服务网格 演练期间部分统计数据 访问拦截统计 9 个，端口收敛至 121 个 访问量 拦截量 450000 409949 400000 312320 250000 313112 309730 286288 300000 改造：合作伙伴系统及企业开放系统 361676 357857 352559 350000 0 419315 205517 215006 244340 237009 188282 200000 147547 150000 100000 快速上线：演练中后期，单个开放业务系统安全 策略配置及上线，仅需 2 小时 50000 164 27 18 198 1279 5191 4877 4491 267 109 5345 4483 6229 9337 4798 0 4月8日 4月9日 4月10日 4月11日 4月12日 4月13日 4月14日 4月15日 4月16日 4月17日 4月18日 4月19日 4月20日 4月21日 4月22日 案例2：SD-MPM，实现多数据中心架构下的远程访问 场景需求 1.某央企集团，替代VPN实现 更安全和灵活的远程访问 · 端口开放暴露 · 弱口令易攻破 · 分配内网IP，横向移动风险大 2.全国性混合云， 横跨多数据中心 需要统一管理和 灵活部署 · 缺少功能级精细访问控制 · 无法审计7层业务行为 解决方案 多数据中心支持，完全分布式架构 · 多租户模式 · 随身漂移 · 实现弹性扩容和负载均衡 · 集群部署保持端口隐藏 多重安全机制 · SPA预认证，实现双重隐身 · 按需授权，用户仅能访问授权应用 · 设备认证及准入，控制终端安全基线 · 精细管控mTLS连接时效，空闲即断 · 自安全能力，过滤DDos、扫描、攻击等恶意流量 业务访问 安全增强 案例3：安全与体验并重，用零信任身份提升办公体验 场景需求 · 某全国性集团企业，业务访问依赖密码，密码更新 不易记，易被钓鱼和撞库 · 期望免密体验，同时保证安全性 · 仅在必要时进行增强认证，不打断业务体验 解决方案 · 功能级安全策略：体验优先 | 安全优先 | 安全均衡 · 风险持续计算，实现自适应安全控制 · 移动端MFA：扫码、推送、SIM认证等，消灭密码 · 集成客户已有EPP平台，实现终端环境威胁深度感知 业务访问 安全增强 案例4：基于多维风险标签的细粒度API安全防护 服务网格 场景需求 · 采用前后端分离的微服务架构，跨域服务间API调用无权限校验 · 使用任意设备在生产环境测试，仅在应用内验证用户身份 · API数据包含敏感信息，在准生产环境仿真测试时直接暴露 · 微服务众多，API资产难盘点 · 期望实现URI级的API细粒度访问控制 解决方案 · 安全Agent 自动添加基于OTP的一次性Token 自动添加API身份标识（可混淆URL） 自动采集客户端环境数据 自动SPA预认证并建立加密隧道 · API资产发现及交互地图学习 多维风险标签 · 数据清洗 · 设备风险、身份标签 · Token风险标签（调用者身份） · API服务身份标签 · API调用行为风险标签 案例5：切面安全，0改造实现存量设施安全升级 场景需求 · 某高校VPN访问依赖密码，存在复用和借用 · 学生辞旧迎新，大量学生账号管理复杂 · 邮箱客户端静默登录，对风险场景没有安全管控 解决方案 · 升级VPN：无需安装客户端，基于微信服务号消息 推送，实现免密二次认证 · 升级邮箱：自定义风险场景，实现二次认证 安全增强 业务访问 案例6：切面安全，0改造实现国密算法升级 场景需求 · 某金融客户 B/S 业务系统，使用国际加密算法 · 监管要求：国务院办公厅 140号文，《金融数据安全-数据安 全分级指南》 · 针对业务系统中敏感报文及信道，实施改造量小、稳定可靠 的国密算法支持 · 支持XC软硬件平台 解决方案 基于SSE的客户端加密Agent · 基于白盒算法保护工作密钥及运算 · 国密安全浏览器，封装支持国密算法的HTTPS协议栈 · 透明注入，对业务前端0改造 安全加密网关 · 国密算法支持：SM1、S