2022零信任系統應用全景圖

PAGEPAGE10中國零信任全景圖2022目錄簡要 5零任概述 6零任成度模型 7零任的動因素 9合驅動 9合驅動 10零任全圖分析 11公類型 11保對象 13業(yè)場景 16業(yè)類型 18技類型 21服模式 23部架構 25零任落案例 27深服-葛壩集零信安全公項目 28天信-某公安數據能化全建采購目 30數認—零任安架構醫(yī)療域的用 35白云-零任遠訪問踐案例 40美科-浙省腫醫(yī)院于零任理的數安全設最實踐 43簡要《2021（88351API“業(yè)務場景”分類下增設“數據交換”、“企業(yè)多云戰(zhàn)略”、“物聯網”二級分類；“業(yè)務類型”分類下增設“評估服務”和“治理服務”，取消“測評服務”二級圖1.1：《2021中國零信任全景圖》（關注“云安全聯盟CSA”公眾號，回復“零信任全景圖”，下載高清圖片）四個零信任概述1994JerichoForumForresterJohnKindervag2010trustalwaysverify）2.1，2.2。2.1：零信任發(fā)展大事記2.2：零信任標準的推進DoDDoDDoD（StdV）圖2.3：《DoD零信任參考架構》圖2.4：零信任應用行業(yè)分布圖零信任成熟度模型202197(CISA成熟度模型包括五個支柱和三個跨領域能力，以零信任為基礎。圖3.1：零信任成熟度模型五大支柱和三大能力在每個支柱中，成熟度模型都為機構提供了傳統、先進和最佳零信任架構的具體示例。圖3.2：零信任成熟度模型的示例而在國內，云安全聯盟大中華區(qū)與中國信通院正聯合編寫“零信任能力成熟度模型”，相信中國特色的零信任模型將會很快誕生。零信任的驅動因素合規(guī)驅動圖4.1：全球相關的法律法規(guī)和條例2021610202191820111合需驅動圖4.2：零信任的合需場景COVID-19零信任全景圖分析公司類型GoogleBeyondCorp（5.11212被保護對象應用和IT資產（）//API（應用程序接口在數APIAPIAPIAPI（PEP）（如）IT服務之間進行API（PDP）5.2131414151516業(yè)務場景16Gartner2022，35202025%上云還加快了SASE/合規(guī)/SASE安全即服務。根據Gartner202440％20181％。Gartner2022PAGEPAGE17業(yè)務類型ResearchDive2019185.02027667.413201920275.41919PAGEPAGE20技術類型SDPIAMIAMSDPGartner年CWPP5.523服務模式23零信任服務的部署模式取決于安全要求，和去年相比，沒有做調整，主要包括私有化、相關的IT但從調查來看，目前絕大多數的零信5.62425部署架構25零信任的經典部署架構主要包括：設備代理/網關部署、飛地部署、資源門戶、沙箱、終端和探針等，相比去年，我們增加了“終端”。/PEPPEP5.72626PAGEPAGE27零信任落地案例深信服-葛洲壩集團零信任安全辦公項目方案背景5000100225500強企業(yè)、中國建筑業(yè)競爭力200強企業(yè)等排名。過去考慮便利性，一些移動接入的業(yè)務系統直接暴露在互聯網上，且明文傳輸，存APP6方案概述和應用場景通過集群部署零信任控制中心和零信任代理網關，實現統一管理和保障辦公業(yè)務安通過策略配置，將業(yè)務系統收縮進內網，避免直接暴露在互聯網，并通過SSL技術實現數據傳輸加密；APPPC5）通過零信任的日志中心平臺將所有的用戶日志、管理員日志統一存儲、查詢，并提優(yōu)勢特點和應用價值通過辦公APP、統一認證平臺、企業(yè)微信與零信任結合，實現了門戶入口集約化和統一身份管理，提高辦公效率與安全性；管理員分級分權、日志留存等，滿足合規(guī)以及日常管理要求。經驗總結APPVPNVPNVPN其他（反饋/榮譽）天融信-某省公安大數據智能化安全建設采購項目方案背景方案概述和應用場景本案緊密結合新一代公安信息網網絡架構設計和大數據、云平臺、智能應用設計開展大總體架構圖審計中心（）審批中心安全管理中心安全管理中心基于大數據基礎架構平臺開發(fā)，使用ETL組件進行數據預處理，根據行業(yè)可信接入代理、應用層檢測、流量監(jiān)控、日志記錄、告IP地址信息，且IP可信API代理可信APIAPI務提供APIAPIAPI可信代理控制服務API等多項技術，集中解決應用訪問場景的安全問題等。數據安全交換系統優(yōu)勢特點和應用價值：可知、可控、可管、可查，為公安大數據智能化建設提供嚴密安全保障。方案價值符合新一代公安信息網標準規(guī)范要求以安全管理中心為中樞構建全局化安全防護服務體系建立起行業(yè)建設標準、）方案優(yōu)勢高性能無瓶頸可信API代理由于可信APIAPI接口的訪問控制，承載較多的業(yè)務并發(fā)訪問APIAPIAPI20GBPS30G大小進行國產化適配IT經驗總結：APIAPI將可信API40GAPIAPI其他數字認證—零信任安全架構在醫(yī)療領域的應用方案背景方案概述和應用場景：1、方案概述陸軍軍醫(yī)大學第一附屬醫(yī)院總體架構設計圖陸軍軍醫(yī)大學第一附屬醫(yī)院零信任安全架構主要構成產品：1、終端安全引擎2、零信任安全網關DMZHIS、LIS、PACS零信任安全網關與可信終端建立SSL網絡傳輸數據加密通道，提供零信任全流程可信安代碼簽名、國密SSL3、安全策略決策服務4、統一身份信任管理5、密碼基礎設施優(yōu)勢特點和應用價值：1、應用價值3）權限管控價值隱藏醫(yī)療應用系統，無權限用戶不可視也無法連接；對有權限的業(yè)務系統可連接采用了“用戶+設備+環(huán)境”多重認證方式，即保證了認證的安全，還不影響用戶通過感知環(huán)境狀態(tài)，進行持續(xù)認證，隨時自動處理各種突發(fā)安全風險，時刻防護5）數據安全價值2、優(yōu)勢特點圍繞設備證書建立設備信任體系自動化授權體系以信任的持續(xù)評估驅動用戶認證海量的應用加密通道支撐邏輯虛擬化技術的深入推進，支持海量的應用加密通道。SSLSSLTCP/SSL經驗總結：在項目的實施階段,首先要明確醫(yī)療內部和外部的訪問者身份，實現醫(yī)院人員的統一身API最后，通過分析醫(yī)院的訪問需求，制定可信的安全策略，管控訪問內容和訪問權限。在其他（反饋/榮譽12、網絡安全方面：白山云-零信任遠程訪問實踐案例案例背景：1、八個分支分布在全球不同區(qū)域，客戶遍布全球各地，基于業(yè)務發(fā)展需求，員工隨時隨地可能通過VPN2、員工遠程訪問企業(yè)內部服務，存在一定安全隱患，一是建立遠程連接時可能導致業(yè)務受到外界非法攻擊，二是內部數據存在泄露風險；3SaaSPC案例概述：AccessSSO（）1000最后，針對用戶、訪問鏈路、應用、數據等各個環(huán)節(jié)進行全局統一管控，實現可管控、可審計。SaaSLinuxWindows服務的SSHRDPVPN安全技術應用情況：AccessAccess2、訪問可信檢測：通過對企業(yè)網絡流量的接管，持續(xù)檢查網絡應用現狀和用戶行為，更好地透視與管控企業(yè)網絡環(huán)境，限制任何不符合安全要求的訪問；/4OTPOIDCSAML5、應用可信接入：提供上千種SaaS應用接入模板；提供SSH、RDP、VNC等協議應用遠程安全接入；提供內網僅出站連接的單向隧道，實現內網應用SaaS化。案例實踐成果：Access幫助白山云建立身份認證體系、高效便捷的接入方式、標準化資源控制、降低IT復雜度，全面強化安全。案例實踐具體效果如下：1、整體工作接入效率提升3-5倍，具有更強的安全體系和更便捷的管理工作；2SSO3SaaS4、標準化資源控制、隱藏資產攻擊面，無法被外部掃描滲透，不再被動的修復漏洞，擺脫對防火墻、設備的依賴，降低IT維護成本；5、細粒度訪問控制手段，可視化的策略管理能力，云原生安全平臺防護能力，多維度sAccess美創(chuàng)科技-浙江省腫瘤醫(yī)院基于零信任理念的數據安全建設最佳實踐方案背景：中國科學院大學附屬腫瘤醫(yī)院（浙江省腫瘤醫(yī)院）是國內成立最早的四家腫瘤?？漆t(yī)院之一，是浙江省規(guī)模最大的三級甲等腫瘤?？漆t(yī)院，也是中國首批三級甲等醫(yī)院。，SDP（SoftwareDefinedPerimeter）SDP2.0方案概述和應用場景：針對中國科學院大學附屬腫瘤醫(yī)院（浙江省腫瘤醫(yī)院）的需求，美創(chuàng)科技從內部運維風險管控的角度出發(fā)，提出如下解決方案：SDPSDP部署示意圖該方案解決了如下問題：1）敏感數據管控敏感數據分類是數據和運維安全的基礎性工作，同時也是重點工作，可以通過表格、1%~10SDP這些關鍵IT準入控制SDPIPUIP敏感數據訪問控制U，SDPDDL、執(zhí)行delete、updatewhere全面運維審計HIPAAPCI-DSSSOX實時安全風險感知實時展示數據庫的安全情況，出現風險時可快速定位當前被攻擊的數據庫及發(fā)起攻擊的24遵循法