推进零信任《规范》建设SDP应用先行
伴随着全球数字化和万物互联的加速发展,传统网络的物理边界被彻底打破,零信任最近几年来,概念重构网络安全防御系统得到了广泛的认可。
最近几天,中国移动应急4A项目中的零信任安全体系正式上线平台采用最新的软件定义边界技术,不要相信,除非它被证明是可信的,以为基本原则,不要把边界作为信任条件前提是构建满足当前异构网络和服务发展需求的安全防护体系,能够重点保护关键业务系统和网络资源
推进零信任《规范》建设,SDP应用先行
2020年以来,新冠肺炎疫情的突然爆发,让远程办公成为新常态另一方面,数字化正在加速,云成为工业互联网发展的重要趋势两股力量的结合,加速了全球企业对新型网络安全技术和产品的探索和实践,就是其中之一,零信任
传统的网络边界再强,墙也在,攻防双方都陷入了一个技术比较,一拆一补的循环直到零信任技术的出现,这种情况才得以改变墙还在,但它是看不见的,摸不着的
零信任提倡不断验证,永远不要相信也就是说,我们不应该自动信任网络中的任何人,设备和位置零信任在该架构下,它意味着每个用户,设备,服务或应用程序都是不可信的,基于此怀疑指导方针,我们必须通过连续身份验证来获得最低级别的信任和相关的访问权限,并在不遗漏任何可疑因素的情况下实现更安全的资源访问这个想法为我们提供了一个全新的方法论和安全工具
依靠需求和技术的多重推动,全球化发展,零信任市场向施压,加速键在此背景下,中国移动率先积极参与国内零信任技术规范,同时启动行业零信任平台建设,并与安全厂商一起积极研究实践相关技术在运营商行业的应用
从物理边界到软件定义边界的过渡
在项目规划阶段,中国移动网络事业部设定了以4A身份为基石,以综合身份认证模式为基础,为用户,设备,应用,业务系统等实体建立统一的数字身份和治理流程的目标,确保只有合法用户和合法设备才能接入网络。
在建设过程中,中国移动与亚信安全合作,充分利用其SDP解决方案的网络隐身属性,网络控制属性,可信应用,终端接入,事件控制等特点,有效解决了网络边界模糊带来的安全问题。
middot网络隐身能力的构建,
基于UDP的单包认证,连接前认证可以很好的起到保护内网的作用,同时解决了TCP握手带来的SYN泛滥问题,有效解决了互联网暴露问题。
middot网络控制放大器。网址控制:
基于用户访问资源的动态网络控制可以为不同角色的人授权不同的访问网络和URL,有效解决防火墙无法对用户和角色进行动态细粒度网络隔离的问题。
middot可信应用程序和。终端访问:
基于应用的白名单控制策略,确保访问内网的流量是通过可信应用产生的,基于恶意进程和端口的黑名单控制策略有效地解决了患病终端访问内网的危害。
middot事件中的行为控制:
基于连续认证策略,对用户行为进行支持和评估,对高风险操作进行实时连续认证和拦截。
由网络集中化转到身份中心化。
在已建成平台能力的基础上,中国移动将继续探索并充分发挥SDP解决方案的许多点多面全联动,快速杰参观一个