【零信任落地案例】厦门服云招商局零信任落地案例

1方案背景

数据中心承载的业务多种多样，早期数据中心的流量，80%为南北流量，随 着云计算的兴起，业务上云成为了趋势，在云计算时代80%的流量已经转变为东 西向流量，越来越丰富的业务对数据中心的流量模型产生了巨大的冲击。云环境 中南北向的数据经过防火墙，可以通过规则做到网络隔离，但是东西向的数据无 需经过防火墙，也就是绕过了防火墙设备，另外，防火墙生命周内基本不做调整, 难以实时更新策略，无法适应现代多变的业务环境，所以无法做到业务的精细化 隔离控制，网络威胁一旦进入云平台内部，可以肆意蔓延。

传统的网络隔离有VLAN技术、VxLAN技术、VPC技术。VLAN是粗粒度的网 络隔离技术，VxLAN技术、VPC技术采用Hypervisor技术实现网络隔离，但是 远没有达到细粒度的网络隔离。

2020年发生了微盟删库重大恶意事件。在事件发生前，微盟已经有了一些 安全管控手段如个人独立的VPN、堡垒机，而当时删库的内部员工通过登陆内网 的跳板机，进而删除微盟SAAS业务服务的主备数据库。此次删库事件导致微盟 损失巨大，SaaS服务停摆导致微盟平台约300万个商家的小程序全部宕机，公 司信誉形象大打折扣。财务损失方面，除拟用于赔付客户的1.5亿元外，其股价 下跌超22%，累计市值蒸发超30亿港元。纵观微盟删库事件，其内部安全管理 与防护存在严重的问题，缺少科学、高效、安全的隔离策略，对开发环境、测试 环境和生产环境进行严格微隔离。

2017年5月12日，WannaCry勒索病毒事件全球爆发，以类似于蠕虫病毒的 方式传播，攻击主机并加密主机上存储的文件，横向覆盖整个内部网络，然后要 求以比特币的形式支付赎金。WannaCry爆发后，至少150个国家、30万名用户 中招，造成损失达80亿美元，已经影响到金融，能源，医疗等众多行业，造成 严重的危机管理问题。中国部分Window s操作系统用户遭受感染，校园网用户首 当其冲，受害严重，大量实验室数据和毕业设计被锁定加密。部分大型企业的应 用系统和数据库文件被加密后，无法正常工作，影响巨大。

根据《网络安全法》、等保2. 0的相关要求，各组织与企业在等级保护的对 象、保护的内容、保护的体系上要从被动防御加强为事前、事中、事后全流程的 安全可信、动态感知和全面审计。另外除了对传统信息系统、基础信息网络的覆 盖外还要囊括云计算、大数据、物联网、移动互联网和工业控制信息系统。

只有以攻击者的角度换位思考攻击者的目的，识别攻击者眼中的高价值目标, 进而定义防御目标，才是有效应对之策。在近几年的大型攻防演练或者实战中， 可以发现，企业对网络安全的认识只停留在应付性的表面工作，安全意识停留在 “重外敌，轻内鬼"的阶段，缺乏全局视角下发现实际环境中安全风险的能力。 招商局集团内部存在弱口令风险、老旧资产可能成为攻击跳板、网络缺乏细粒度 隔离措施、服务器普遍零防御等安全问题，这些问题在日后都会成为致命弱点。

2方案概述和应用场景

针对当前招商局集团网络防护体系突出的问题，我们引入零信任架构作为防 护的。零信任安全防御核心思想是不再区分内、外网，要求对任何试图接入信息 系统的访问进行持续验证，消灭特权帐户。将以网络为中心的访问控制改变为以 身份为中心的动态访问控制，遵循最小权限原则，构筑端到端的逻辑身份边界， 引导安全体系架构从“网络中心化"走向“身份中心化”，可以有效的避免内部 人员的恶意操作。

方案主要使用安全狗云隙微隔离系统和云眼主机安全检测与管理系统，采集 工作负载之间的网络流量，自动生成访问关系拓扑图，根据可视化的网络访问关 系拓扑图，看清各类业务所使用的端口和协议，并以精细到业务级别的访问控制 策略、进程白名单、文件访问权限等安全手段，科学、高效、安全地实现对开发 环境、测试环境和生产环境严格微隔离。各个模块进行联动，模块间数据联通， 形成闭环系统，整体方案赋予业务资产安全体系攻击防御、精细化的访问控制能 力以及行为合规能力，落实零信任安全理念。

云隙微隔离系统的组成由业务可视化、流量控制、Agent部署与管理三个功

能模块，各个模块进行联动，模块间数据联通，形成闭环系统，下图为微隔离系

统架构示意图:

​微隔离系统包括如下组件模块:

1. 业务拓扑

通过显示工作组位置、数量、工作负载信息，动态展示出工作组下工作负载的业务流量及访问关系，直观的展示东西向和南北向的访问关系。同时还可在拓 扑图上选择访问关系并设置访问规则策略。可指定工作负载查看与该工作负载相关的流量日志，查看访问者的IP、端口、访问时间、访问次数。

2. 工作组及工作负载管理

将工作负载进行分组，用位置、环境和应用来确定工作组的唯一性，显示用 户相关的工作负载及工作组信息包括基础信息、服务信息及策略信息，并提供编辑标签。

3. 策略信息管理

管理策略集基础信息，对策略集范围和规则进行操作管理，策略可分为组内 策略和组间策略，策略应用可根据工作组、标签角色或工作负载。

4.IP列表管理

可将单个或多个IP定义为IP列表，通过对IP列表添加允许操作，达到对南北向流量集中化处理。

云隙微隔离采用Agent工作负载采集服务器和主机的流量信息，并将相同特 征的工作负载，标记上相同的标签。依据实时流量和角色标签，自动生成可视化 的业务拓扑图，集中、自动、灵活地配置策略规则；通过策略和策略对象解耦， 策略范围确定策略对象，以此实现动态改变服务器上的安全规则，实现对主机全 方位业务流量访问控制。

3优势特点和应用价值

1. 流量可视化，流量可视化有利于进行业务分析，使得业务分析更加灵活和 简便，辅助运维人员“看清情况”，进而设计精准的规则策略。

2. 采用同一个轻量级agent以及云+端的架构，不占用工作负载资源的同时 能够覆盖公有云、私有云、混合云模式下的服务器工作负载。

3. 可控范围足够广泛，能够对应急事件做出合理的、迅速的处理。

4. 多维度的隔离能力，全面降低东西向的横向穿透风险。

5. 具备策略自适应能力，能根据虚拟机的迁移、拓展实现安全策略自动迁移。

6. 自适应的防护能力，实现对实时变化的网络环境，实时更新策略。

7. 把策略从每一个分散的控制点上给拿出来，放在一个统一集中的地方进行 设计，实现集中管理和维护。

4经验总结

基于深度剖析客户的安全体系，对其体系中的“隐患'‘要抓准，抓全面，要 “对症下药零信任方案落地不单单靠使用安全设备做网络隔离，持续性的安 全监测、可视化的业务访问态势、动态的策略调整等安全运营能力也需要加强。 只有兼顾提升安全防护能力和安全运营能力，才能在设备防护层面以及安全意识 层做到面全的提升，进而完善整个安全体系。

最近考CZTP的人越来越多，看到相关问题下面大家都在求加群，自己建了个交流群，顺便分享下自己考过的相关课程资料。大家可以互相督促，交流经验和进度。想进群的私信我。

文章转自CSA GCR - 2021零信任落地案例集 终稿（无水印版）