En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>零信任安全> 《零信任接口應(yīng)用白皮書》深度解讀

《零信任接口應(yīng)用白皮書》深度解讀

文章

2021-08-30瀏覽次數(shù):333

隨著現(xiàn)代企業(yè)網(wǎng)絡(luò)安全技術(shù)和架構(gòu)的不斷發(fā)展與完善,企業(yè)對于員工互聯(lián)網(wǎng)訪問行為的安全性和管理性要求不斷提升,因此,企業(yè)需要一個上下文感知的解決方案,可以在數(shù)據(jù)流向的任何地方執(zhí)行策略,從而對網(wǎng)絡(luò)訪問進行有效的管理。所以,越來越多企業(yè)將零信任架構(gòu)融入企業(yè)的發(fā)展中,從而加強安全防御、簡化安全管理和改善用戶最終體驗。

 

但在零信任落地實施過程中,也逐漸出現(xiàn)了一些問題:

  • 客戶從原有網(wǎng)絡(luò)架構(gòu)升級到零信任架構(gòu),完全重構(gòu)成本極高,已有的安全能力如何集成?

  • 不同廠商的安全產(chǎn)品/服務(wù)如何對接?

......

在這種背景下,零信任接口標(biāo)準(zhǔn)化和零信任SaaS服務(wù)再度被關(guān)注到,相比于零信任接口標(biāo)準(zhǔn)化,零信任SaaS服務(wù)在集成過程中,需要破除不同機構(gòu)的安全能力來對接,且適用場景十分有限,而零信任接口標(biāo)準(zhǔn)化通過定義標(biāo)準(zhǔn)的零信任接口,來實現(xiàn)不同安全產(chǎn)品/服務(wù)/模塊之間的互聯(lián)互通成為目前發(fā)展的主要趨勢。

 

在8月27日舉行的《零信任協(xié)同發(fā)展研討會暨接口白皮書發(fā)布&標(biāo)準(zhǔn)宣貫會》中上,騰訊安全發(fā)布《零信任接口應(yīng)用白皮書》,為零信任安全廠商、需求方及所有從業(yè)者,提供全面的零信任系統(tǒng)服務(wù)接口需求、層次劃分、接口標(biāo)準(zhǔn)描述和接口應(yīng)用場景的介紹,為國內(nèi)零信任產(chǎn)業(yè)協(xié)同、開放生態(tài)的發(fā)展貢獻力量。

《零信任接口應(yīng)用白皮書》中對以下6類接口進行了詳細的描述:

身份安全接口

身份安全接口-身份數(shù)據(jù)同步接口:在主體訪問系統(tǒng)資源過程中,零信任架構(gòu)需要對主體用戶身份進行持續(xù)的鑒別,因此,通過身份安全接口,用戶的身份數(shù)據(jù)將實時從身份管理組件同步至零信任系統(tǒng)中。

身份安全接口-身份認(rèn)證接口:身份認(rèn)證接口在主體訪問系統(tǒng)資源過程中對主體身份進行動態(tài)的鑒別,并給主體頒發(fā)身份票據(jù),在不同業(yè)務(wù)接口對接時通過身份票據(jù)來確定主體身份。

身份安全接口-單點登錄/登出接口

  • 單點登錄:在主體未完成認(rèn)證的情況下,強制用戶在身份管理系統(tǒng)中完成認(rèn)證過程;

 

  • 單點登出:在主體僅在某一系統(tǒng)/組件中執(zhí)行注銷操作時,單點登出接口對所有已處于登錄狀態(tài)的組件/系統(tǒng)均執(zhí)行注銷操作。

 

威脅情報接口

通過威脅情報接口,對所有訪問來源及外聯(lián)目標(biāo)進行辨別,并結(jié)合訪問控制機制,建立一道風(fēng)險保護屏障。

配置管理接口

在工作負(fù)載數(shù)量規(guī)模龐大的情況下,工作負(fù)載數(shù)據(jù)同步接口可大幅提升零信任方案的部署效率,有效保障云內(nèi)工作負(fù)載資產(chǎn)屬性和零信任防控體系的業(yè)務(wù)一致性。

密碼服務(wù)接口

  • 密碼服務(wù)接口-證書接口:在證書生命周期管理方面,對訪問零信任體系的主體頒發(fā)數(shù)字證書;在證書應(yīng)用方面,對證書進行密碼應(yīng)用的服務(wù);

  • 密碼服務(wù)接口-密碼服務(wù)接口:密碼服務(wù)接口主要為零信任架構(gòu)中提供基礎(chǔ)密碼服務(wù)。

訪問控制接口

在主體訪問系統(tǒng)資源過程中,對主體的訪問請求放行或阻止需要進行判斷。

風(fēng)險聯(lián)動接口

對安全軟件的信息及運行環(huán)境等進行安全評估,保障零信任安全。

在本次《零信任協(xié)同發(fā)展研討會暨接口白皮書發(fā)布&標(biāo)準(zhǔn)宣貫會》上,派拉軟件研發(fā)總監(jiān)茆正華參與了零信任產(chǎn)業(yè)協(xié)同發(fā)展圓桌論壇討論,并表示零信任接口標(biāo)準(zhǔn)化不但能降低企業(yè)技術(shù)驗證的成本,也能催生更多有競爭力的產(chǎn)品,零信任接口標(biāo)準(zhǔn)的制定,能使技術(shù)本身得到規(guī)范、進化和創(chuàng)新,有助于擴大市場的產(chǎn)品藍圖,起到行業(yè)規(guī)范和成本控制的作用。此次,派拉軟件作為零信任接口應(yīng)用白皮書編寫組的 一員,希望能夠與大家共同努力,推動整個零信任大生態(tài)的共建、發(fā)展和落地。

 

派拉一體化零信任安全架構(gòu)通過融合企業(yè)內(nèi)外所有身份體系,為所有身份訪問之間的校驗提供基礎(chǔ)。在訪問過程中,派拉零信任安全網(wǎng)關(guān)會根據(jù)身份管理所定義的權(quán)限,對訪問主體進行動態(tài)授權(quán),并針對不同的業(yè)務(wù)場景,提供不同的訪問控制網(wǎng)關(guān)(web網(wǎng)關(guān)、api網(wǎng)關(guān)及osc網(wǎng)關(guān)),從而實現(xiàn)非常細粒度的安全訪問控制,有效緩解端到端的業(yè)務(wù)訪問風(fēng)險,保障信息化系統(tǒng)和網(wǎng)絡(luò)的整體安全性,形成從環(huán)境、角色、權(quán)限、網(wǎng)絡(luò)到數(shù)據(jù)等全面的縱深安全防御體系。

 

2021年7月12日,在工信部發(fā)布的《網(wǎng)絡(luò)安全產(chǎn)業(yè)高質(zhì)量發(fā)展三年行動計劃》中也明確提出要更快發(fā)展零信任相關(guān)技術(shù)的產(chǎn)業(yè),在政策和市場趨勢的雙輪驅(qū)動下,零信任的價值將不斷擴大,助力企業(yè)實現(xiàn)更穩(wěn)健、更有彈性的安全態(tài)勢。