零信任目標
可知可信
“可知”指“知資產、知威脅、知風險”;“可信”指基于PKI系統為信任根逐層建立身份可信、設備可信、應用可信、數據可信、網絡可信、平臺可信的信任鏈,確保大數據中心形成可信的計算體系
可管可控
“可管”指“可全視、管整體”,在基礎設施的各個層面,大數據生命周期的各個階段,建立安全措施和策略;“可控”是“可透視、控細節”。自主可控,構建各部分的內生安全能力,與安全運行管理平臺相互支持、配合。共同構筑大數據中心安全管理新格局
智能防護
“防護”是指持續防護,“智能”是自動學習、自主進化、自我提升,通過構建自適應安全防護體系,建立安全威脅“持續發現—持續檢測—持續防御—持續響應”的智能聯動閉環。自我進化,衍生安全智慧,提高安全防護能力
以密碼為基石
以身份為中心
身份可信
零信任模型的核心思想是默認情況下不應該信任網絡內部和外部的任何人/設備/系統。應該始終假設網絡充滿外部、內部威脅,不可信任,僅當設備、用戶、應用證明自己是可信時,才能建立訪問。 零信任對身份認證與訪問控制進行了范式上的顛覆,引導安全體系架構從“網絡中心化”走向“身份中心化”,其本質訴求是以身份為中心進行訪問控制。 每個設備、用戶、應用的訪問流都應該被認證和授權,訪問控制策略會結合持續評估結果進行動態調整。
以權限為邊界
權限最小化
在零信任模型下,所有未認證的資源都是不可訪問的,最小權限原則是零信任的基礎原則,它將極大程度地減小攻擊面。在默認情況下不允許用戶連接任何資源,而對授權用戶也僅提供本次認證評估后能訪問的最小資源集合,其他的一切資源都是不可訪問的。不同的權限代表不同的邊界,這條邊界隨著用戶、時間、空間、行為的持續安全評估變化而變化。
成功案例
構建數據安全縱深防御體系
零信任體系以數據安全防護為核心,建立數據安全的縱深防御體系。確保數據環境安全、數據流轉安全以及數據使用安全。
構建“身份安全”零信任體系
零信任體系實現統一的身份認證管理的精細化、動態化的授權能力,解決人或者接入設備的身份安全,以身份作為新的安全邊界,身份安全可信。
構建大數據“安全運行”保障體系
零信任體系構建大數據安全運行保障體系,實現安全數據的統一采集、集中存儲、風險管理、威脅分析、感知呈現、響應處置、策略管理、取證溯源,實現安全運營自動化、智能化、流程化。
