CSA GCR 2021零信任落地案例集

1 ©2021云安全联盟大中华区-版权所有 目录 一、前言6 二、落地案例清单8 三、落地案例10 1、安恒信息温州市大数据发展管理局零信任实践案例10 2、任子行零信任安全防护解决方案护航海事局移动/远程办公安全14 3、奇安信零信任安全解决方案在部委大数据中心的实践案例18 4、吉大正元某大型集团公司零信任实践案例20 5、格尔软件航空工业商网零信任安全最佳实践28 6、厦门服云招商局零信任落地案例37 7、深信服山东港口集团零信任多数据中心安全接入41 8、杭州漠坦尼物联网零信任安全解决方案42 9、易安联中国核工业华兴建设有限公司EnSDP零信任安界防护平台45 10、虎符网络国家电网某二级单位基于零信任架构的远程安全访问解决方案49 11、奇安信某大型商业银行零信任远程访问解决方案55 12、蔷薇灵动中国交通建设股份有限公司零信任落地解决方案60 13、缔盟云中国建设银行零信任落地案例68 14、联软科技光大银行零信任远程办公实践71 15、云深互联阳光保险集团养老与不动产中心零信任落地案例75 16、上海云盾贵州白山云科技股份有限公司应用可信访问79 17、天谷信息e签宝零信任实践案例85 18、北京芯盾时代电信运营商零信任业务安全解决方案落地项目89 19、云深互联零信任/SDP安全在电信运营商行业的实践案例94 20、启明星辰中国移动某公司远程办公安全接入方案99 21、指掌易某集团灵犀·SDP零信任解决方案105 22、美云智数美的集团零信任实践案例112 23、360零信任架构的业务访问安全案例118 24、数字认证零信任安全架构在陆军军医大学第一附属医院的应用120 25、山石网科南京市中医院云数据中心“零信任”建设项目成功案例125 26、九州云腾科技有限公司某知名在线教育企业远程办公零信任解决方案133 四、关于云安全联盟大中华区136 @2021云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看、打印及，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下:（a）本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改;(c)本文不得转发;(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 一、前言 零信任这一概念提出到现在已有十一年了。作为新一代的网络安全防护理念，零信任（ZeroTrust）坚持“持续验证，永不信任”，基于身份认证和授权重新构建了访问控制的基础。 当前，零信任已经从一种安全理念逐步发展成为网络安全关键技术，受到了各国政府的认可。 由于传统网络安全模型逐渐失效，零信任安全日益成为新时代下的网络安全的新理念、新架构，甚至已经上升为国家的网络安全战略。2019年，在工信部发布的《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见中，“零信任安全”被列入“着力突破网络安全关键技术”之一。同年，中国信通院发布了《中国网络安全产业白皮书》，报告中指出：“零信任已经从概念走向落地”。国家也首次将零信任安全技术和5G、云安全等并列列为我国网络安全重点细分领域技术。 我们欣喜地看到，从2020年云安全联盟大中华区召开了“十年磨一剑，零信任出鞘”为主题的零信任十周年暨首届零信任峰会，越来越多的IT安全厂商投入到了零信任产品的开发和实施中来。从2021年5月底云安全联盟大中华区征集零信任案例以来， 在短短十多天的时间内，我们就收到了29家厂商的落地案例，这个速度大大出乎我们的意料，而收集到的案例数量也比去年丰富了不少，可见零信任实践的火爆程度。与2020年的9个方案相比，今年的方案有了300%的增长。最后基于“讲技术不讲概念， 强调落地不空谈方案”的原则，最终筛选了24个案例，涉及9个行业，涵盖了政企、能源、金融、互联网、医疗等多个行业，充分说明了零信任技术的广泛适用性。在征集案例的过程中，有的客户尽管提供了授权，但不希望自己的公司名出现在案例中。因此，对于这部分客户，我们在案例中进行了匿名处理。 NIST在《零信任架构标准》白皮书中列举了3个技术方案：1)SDP，软件定义边界;2)IAM，身份权限管理;3)MSG，微隔离。从我们收到的案例来看，绝大部分案例都是SDP的案例，聚焦于远程办公的场景。这可能与新冠疫情带来的办公模式的变化有关，与云安全联盟最早推广SDP有关，也与SDP的技术复杂度较低有关。MSG和身份权限管理案例的匮乏一方面说明调整传统网络架构以适应零信任架构充满挑战，仍然有很多工 作要做，另一方面，很多企业虽然接受零信任的理念，但对于系统转换可能的风险持审慎态度，更愿意从边缘系统开始试水。 因此，云安全联盟大中华区汇编这本《2021零信任落地案例集》，收集各厂商的成功案例及实施过程中的经验教训，一方面是希望给众多厂商和客户以参考，让大家知道零信任离我们并不遥远；另一方面是鼓励更多的企业投入零信任的探索中来，进入零信任的深水区，打造更先进的零信任平台。 随着企业数字化转型的深入，传统边界逐渐消失，企业以传统安全防护理念应对安全风险暴露出越来越多问题，而零信任理念为我们提供了新的安全思路。我们希望今后会看到越来越多更具代表性的零信任应用场景和探索涌现出来。 《2021零信任落地案例集》包含了去年和今年入围的案例。云安全联盟大中华区在今后仍密切关注零信任应用实践并更新这一案例集，我们计划每年都发布一份《零信任落地案例集》，收录从2020年以来不同行业的零信任实践典型案例，供广大从业用户了解这一领域的最新实践，并协助推动零信任技术的发展。 感谢案例提供的全体单位，经过多次修改及调整，力争为行业呈现单位最优的解决方案。 感谢CSA大中华区零信任工作组组长陈本峰、专家姚凯以及研究助理夏营对本次 《2021零信任落地案例集》汇编的大力支持。 如文有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：info@c-csa.cn;云安全联盟CSA公众号 二、案例名单 序号 案例所属行业 零信任技术 案例用户名称 案例提供单位 1 政企 SDP 温州市大数据发展管理 局 安恒信息 2 政企 SDP 某市海事局 任子行 3 政企 SDP 部委大数据中心（2020年 案例） 奇安信 4 政企 IAM 某大型集团公司 吉大正元 5 政企 SDP 中国航空工业集团有限公司 格尔软件 6 政企 微隔离 招商局集团 厦门服云 7 交通 SDP 山东港口集团 深信服 8 能源 SDP 某省电力公司直属单位 漠坦尼 9 能源 SDP 中国核工业华兴建设有限公司 易安联 10 能源 SDP 国家电网有限公司某二级直属单位 虎符网络 11 金融 SDP 某大型商业银行 奇安信 12 金融 微隔离 中国交通建设股份有限公司 蔷薇灵动 13 金融 SDP 中国建设银行 缔盟云 14 金融 SDP 光大银行 联软 15 金融 SDP 阳光保险集团养老与不动产中心 云深互联 16 互联网 SDP 贵州白山云科技股份有限公司 上海云盾 17 互联网 IAM e签宝 天谷信息 18 运营商 SDP,IAM 电信运营商 芯盾时代 19 运营商 SDP 电信运营商（2020年案 云深互联 例） 20 运营商 IAM 中国移动某公司 启明星辰 21 制造业 SDP 某集团 指掌易 22 制造业 SDP 美的集团 美云智数 23 制造业 SDP 某国家高新技术企业 360 24 医疗 SDP 陆军军医大学第一附属医院 数字认证 25 医疗 微隔离 南京市中医院 山石网科 26 教育 IAM 某知名在线教育企业 九州云腾 三、具体案例 1、安恒信息温州市大数据发展管理局零信任实践案例 1.1方案背景 温州市大数据发展管理局一直来在以大数据赋能智慧城市、智慧国企、智慧健康等方面走在前列，已建成的一体化智能化公共数据平台为该市下属的委办单位、企业、公众提供良好的大数据业务支撑服务，以数据智能赋能数字经济和民生。 十四五规划中，数据相关产业将成为未来中国发展建设的重点部署领域，相关的数据安全也变得更加重要。随着数据开放面逐渐扩大、数据访问量不断增加，温州市大数据发展管理局预见到了开放共享过程中潜在的数据安全防护及溯源问题，例如数据访问无法追溯到最终用户、API自身脆弱性带来的安全配置错误及注入风险、API异常高频访问带来的数据暴露风险等，为此温州市大数据局启动了一体化智能化公共数据平台零信任安全防护体系的建设任务，并引入安恒信息作为零信任安全供应商。 1.2方案概述和应用场景 基于零信任的理念，本次方案强调“永不信任、始终确认”，在业务访问的全流程中引入身份认证的能力，对管控的客体对象“用户”、“应用”的身份进行持续校验，并针对防护对象API资源，实现“先认证、再授权、再访问”的管控逻辑，通过为公共数据平台构建虚拟身份安全边界，最大程度上收窄公共数据平台的暴露面，保障业务安全开展。 图1温州市一体化智能化公共数据平台零信任安全防护体系逻辑架构 温州市一体化智能化公共数据平台零信任安全防护体系由以下几个关键组件构成：1.统一控制台：作为零信任架构中的PDP，维护用户清单、应用清单及资源清 单，集成SSO系统，并负责零信任体系内访问控制策略的制定和API安全代理的控制。其中用户清单来源于浙江省数字政府IDaaS、浙政钉等多源用户身份目录的合并，追踪和更新温州全市12万余用户信息的变化，所有用户具有唯一标识，用户清单为零信任体系中的UEBA行为分析引擎提供信息；应用清单维护所有接入零信任体系的应用系统的身份信息，通过与温州市建设的目录系统联动，实现全网应用身份统一，并为应用生成零信任安全接入工具；资源清单维护所有要保护的客体对象信息（在温州场景下即API接口资源），通过手动配置或从流量中分析的方式建立。 2.API安全代理：作为零信任架构中的PEP，以“默认拒绝”的模式接管所有面向公共数据平台的访问请求，针对每条请求进行身份鉴别和权限鉴别，仅放通通过统一控制台验证的合法请求，同时输出其他API安全防护能力。 3.UEBA行为分析引擎：负责采集零信任体系中的用户行为数据，并对用户行为、应用行为进行大数据建模匹配分析，为统一控制台的访问控制策略制定提供输入依据。应商。 1.3优势特点和应用价值 1.3.1统一身份、安全认证 统一控制台通过SSO系统为政务外网所有的应用系统提供认证门户，接入应用的用 户在通过统一认证的合法性校验后将会生成包含用户、应用身份唯一信息的访问令牌，作为获得后续访问资源的授权凭证之一。 统一控制台在认证过程中，通过对接浙政钉体系、短信体系等，提供多因子认证手段，并通过门户获取登录环境信息，综合判定用户身份，并在发生异常访问事件时对用户登录进行快速处置。 1.3.2收缩资源暴露面 API安全代理逻辑串行在公共数据平台的访问通道上，默认拒绝所有请求。统一控制台为注册应用生成访问工具，实现只有集成了访问工具的应用系统服务器可以建立安全连接，同时在应用层叠加用户身份凭证的验证，实现只有授信用户、通过授信应用服务器才能够访问API资源，极大强化了公共数据平台对抗潜在的扫描攻击等威胁的能力。 1.3.3全流量加密 API安全代理为所有访问公共数据平台的请求加载TLS加密通道，保障流量在通道上的安全加密、防篡改。 1.3.4用户及API调用行为分析 API安全管控系统支持对API访问过程中产生的访问日志进行智能分析，并发现潜在的违规调用行为。统一控制台支持按场景扩展异常行为特征匹配规则，根据用户、应用、IP、入参、出参等完整的API请求日志信息，帮助安全团队发现凭证共享、疑似拖库、暴力破解等行为。 1.3.5API敏感信息监控及溯源 为调用方发起的所有访问请求形成日志记录，记录包括但不限于调用方（用户、应用）身份、IP、访问接口、时间、返回字段等信息，并向统一管控平台上报。