零信任目標(biāo)

可知可信

“可知”指“知資產(chǎn)、知威脅、知風(fēng)險(xiǎn)”；“可信”指基于PKI系統(tǒng)為信任根逐層建立身份可信、設(shè)備可信、應(yīng)用可信、數(shù)據(jù)可信、網(wǎng)絡(luò)可信、平臺(tái)可信的信任鏈，確保大數(shù)據(jù)中心形成可信的計(jì)算體系

可管可控

“可管”指“可全視、管整體”，在基礎(chǔ)設(shè)施的各個(gè)層面，大數(shù)據(jù)生命周期的各個(gè)階段，建立安全措施和策略；“可控”是“可透視、控細(xì)節(jié)”。自主可控，構(gòu)建各部分的內(nèi)生安全能力，與安全運(yùn)行管理平臺(tái)相互支持、配合。共同構(gòu)筑大數(shù)據(jù)中心安全管理新格局

智能防護(hù)

“防護(hù)”是指持續(xù)防護(hù)，“智能”是自動(dòng)學(xué)習(xí)、自主進(jìn)化、自我提升，通過構(gòu)建自適應(yīng)安全防護(hù)體系，建立安全威脅“持續(xù)發(fā)現(xiàn)—持續(xù)檢測—持續(xù)防御—持續(xù)響應(yīng)”的智能聯(lián)動(dòng)閉環(huán)。自我進(jìn)化，衍生安全智慧，提高安全防護(hù)能力

以密碼為基石

以身份為中心

身份可信

零信任模型的核心思想是默認(rèn)情況下不應(yīng)該信任網(wǎng)絡(luò)內(nèi)部和外部的任何人/設(shè)備/系統(tǒng)。應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿外部、內(nèi)部威脅，不可信任，僅當(dāng)設(shè)備、用戶、應(yīng)用證明自己是可信時(shí)，才能建立訪問。
零信任對身份認(rèn)證與訪問控制進(jìn)行了范式上的顛覆，引導(dǎo)安全體系架構(gòu)從“網(wǎng)絡(luò)中心化”走向“身份中心化”，其本質(zhì)訴求是以身份為中心進(jìn)行訪問控制。
每個(gè)設(shè)備、用戶、應(yīng)用的訪問流都應(yīng)該被認(rèn)證和授權(quán)，訪問控制策略會(huì)結(jié)合持續(xù)評估結(jié)果進(jìn)行動(dòng)態(tài)調(diào)整。

以權(quán)限為邊界

權(quán)限最小化

在零信任模型下，所有未認(rèn)證的資源都是不可訪問的，最小權(quán)限原則是零信任的基礎(chǔ)原則，它將極大程度地減小攻擊面。在默認(rèn)情況下不允許用戶連接任何資源，而對授權(quán)用戶也僅提供本次認(rèn)證評估后能訪問的最小資源集合，其他的一切資源都是不可訪問的。不同的權(quán)限代表不同的邊界，這條邊界隨著用戶、時(shí)間、空間、行為的持續(xù)安全評估變化而變化。

成功案例

構(gòu)建數(shù)據(jù)安全縱深防御體系

零信任體系

以數(shù)據(jù)安全防護(hù)為核心，建立數(shù)據(jù)安全的縱深防御體系。確保數(shù)據(jù)環(huán)境安全、數(shù)據(jù)流轉(zhuǎn)安全以及數(shù)據(jù)使用安全。

構(gòu)建“身份安全”零信任體系

零信任體系

實(shí)現(xiàn)統(tǒng)一的身份認(rèn)證管理的精細(xì)化、動(dòng)態(tài)化的授權(quán)能力，解決人或者接入設(shè)備的身份安全，以身份作為新的安全邊界，身份安全可信。

構(gòu)建大數(shù)據(jù)“安全運(yùn)行”保障體系

零信任體系

構(gòu)建大數(shù)據(jù)安全運(yùn)行保障體系，實(shí)現(xiàn)安全數(shù)據(jù)的統(tǒng)一采集、集中存儲(chǔ)、風(fēng)險(xiǎn)管理、威脅分析、感知呈現(xiàn)、響應(yīng)處置、策略管理、取證溯源，實(shí)現(xiàn)安全運(yùn)營自動(dòng)化、智能化、流程化。