企业零信任体系与统一身份管理建设之路

本文我们将从以下几个方面来为您介绍零信任体系与我们的解决方案。

1. 零信任体系背景
2. 零信任体系架构
3. 零信任体系落地步骤
4. 案例分享
5. 下期讲坛预告

一、背景介绍

在当前这个信息技术快速发展的背景下，不断涌现出新技术与新的应用场景，企业对于内部的IT服务要求也随之越来越高。

随之而来的变化就是管理维度不断扩张。例如原先系统对于身份的认证只需要认证内部员工，但现在就可能还需要去认证经销商、供应商、消费者等。又或者现在很多公司需要出差，或者因为疫情需要居家办公，多种场景的变化。

这些场景的变化给我们带来了许多的挑战：

如何保障身份与应用的高效连接与安全访问？

如何保障应用间数据的高效与安全交互？

如何保障身份与设备间的高效连接与安全使用？

如何保障设备与应用间数据的高效与安全交互？

对于Web来说，新的技术的发展，对于信息安全的威胁也在不停的扩大，一些程序漏洞、勒索病毒都在不断的增多，暴露在外网的借口可能会遭受攻击；暴露在外网的应用系统可能就会面临着一些撞库或是暴力破解等威胁。

那在这个背景之下我们会发现，传统的信息安全架构已经无法支撑新的互联网安全，在传统的架构下，会暴露出许多问题，例如员工在出差的时候，想要访问内网，这时候一般我们会使用VPN，但现在VPN会面临一些安全上的漏洞。再比如数据上的交换，我们要给供应商开放一些系统或者我们内网的应用与新采购的SaaS上的应用需要进行数据交换时，都会暴露出一些端口。因此在传统的架构上做防护是 非常困难的，而且一个不慎就会导致严重的后果。

二、零信任体系架构

那零信任的架构就打破了传统的架构模式，它以身份为中心，互不信任，保障端到端的安全访问。

它的核心理念是两点，分别是：

永不信任、持续认证。

对接入的人员、设备、流量等都进行安全认证，确认认证通过后才会对其暴露端口和服务。

零信任体系里面的核心组件分为三块：

增强型身份管理IAM＋：核心大脑，统一身份＋管控策略＋情报分析，动态授权，持续评估。

软件定义边界SDP：防御执行，SPA技术+安全隧道技术+终端安全， 南北向流量安 全。

微隔离MSG：防御执行，网格技术＋网络安全策略编排，东西向流量安全。

三、落地步骤

那零信任体系这么大一块儿，我们怎么去落地实现呢？

第一步是先从IAM做起，先建立起整个零信任的基础组件，就是去将用户的身份进行标识，将各系统的入口给统一，集中审核。

第二步是去做SDP，通过SDP来打通内外网的边界，取代传统的VPN。

第三步我们还是做IAM，我们称之为 IAM+，这是在原先的基础上，做更加细密的权限的管控。

第四步，就是去做微隔离。

那具体的体系架构，大家可以关注 众里数码 的公众号，获取讲坛录屏资料，或是直接咨询。

帮助德国某大型半导体厂英xx统一了12个应用系统登陆入口，统一管理1000+应用账号，保障了登陆的便捷与安全。

帮助国内某大型汽车厂商归拢了客户数据、统一了账号管理、统一了技术标准。他们的特点是他们有多个端口：厂端、店端、客端，同时在客端有着大量的用户，在店端有着 大量的系统。

下一期的众里线上安全讲坛将由众里的白帽黑客给各位 实机演示——《黑客最不愿意见到的企业网络安全加固手法》。

讲坛议程：

• 黑客攻击演示回顾
• 实际加固实操演示
• 加固后的攻击复测

讲坛地点：

#腾讯会议：367-185-165

讲坛时间：

12月1日（周四） 14：00