【2021年9月2日】随着加速全球数字化和万物互联近年来,传统网络的物理边界已被彻底打破,基于“零信任”理念重构网络安全防御体系近年来得到广泛认可。近日,中国移动应急4A项目零信任安全体系正式上线。平台采用最新的软件定义边界(SDP)技术,以“除非证明可信,否则不信任”为基本原则,“不以边界作为信任条件”,构建异构网络和所需的安全防护体系按业务发展可重点保护关键业务系统和网络资源。推进零信任建设《规范》,SDP应用率先落地2020年以来,突如其来的新冠疫情让远程办公成为新常态。另一方面,数字化进程加快,企业业务上云成为工业互联网发展的重要趋势。两种力量的结合加速了全球企业对网络安全新技术和新产品的探索和实践,其中之一就是“零信任”。传统网络边界再坚固,墙就在那里,攻击者和防御者陷入技术比拼的循环,一个拆,一个修。直到零信任技术的出现改变了这种情况,墙还在,只是看不见摸不着。零信任提倡“持续验证,永不信任”,即我们不应该自动信任网络中的任何人、设备和位置。在“零信任”架构下,意味着每一个用户、设备、服务或应用都是Untrustworthy,基于这样一个“可疑”的准则,必须通过不断的认证获得最低级别的信任和关联的访问权限,以实现更安全在不遗漏任何可疑因素的情况下访问资源。这个想法为我们提供了一种新的方法论和安全工具。依托需求和技术的多重推动,全球“零信任”市场按下了“加速键”。与安全厂商一起积极研究和实践相关技术在运营商行业的应用。从物理边界到软件定义边界(SDP)的转变在项目规划阶段,中国移动网络事业部针对用户、设备、应用、业务系统等实体制定了基于4A身份的综合身份认证模型。统一数字身份和治理流程的目标是确保只有合法用户才能从合法设备访问网络。在建设过程中,中国移动携手亚信安全,充分利用其SDP解决方案的网络隐身、网络控制、可信应用、终端接入、事中控制等特点,有效解决网络边界模糊带来的问题.安全问题。网络隐身能力建设:基于UDP的单包认证和先认证后连接的特点,可以很好的起到内网防护的作用,同时解决TCP握手带来的SYN泛洪问题,有效解决问题互联网曝光问题。网络控制&URL控制:基于用户(账号)访问资源的动态网络控制,可以为不同的角色授权不同的访问网络和URL,有效解决防火墙无法对用户和角色进行动态细粒度网络隔离的问题。可信应用&终端接入:基于应用的白名单控制策略,保证访问内网的流量都是通过可信应用产生的;基于恶意进程和端口的黑名单控制策略,有效解决了终端接入带病内网对内网造成的危害。事中行为管控:基于持续认证策略,支持对用户行为进行评估,持续认证,对高危操作进行实时阻断。从“网络中心化”到“身份中心化”中国移动将在已有的平台能力基础上,继续探索和发挥SDP解决方案的“多点、多面、全联动”,““快”一站式接入以“全”业务场景覆盖、“精细”溯源安全审计等特点,开展零信任安全保障体系建设,重塑网络安全边界。项目正式实施后,中国移动的安全体系架构规划将从“网络中心化”转向“身份中心化”,建立以“人”为中心的访问控制,解决网络环境开放、复杂带来的各种身份安全问题用户角色风险、设备安全风险、行为安全风险,防止非法用户进入,合法用户胡来,切断黑客攻击,保障网络和业务安全。
