零信任安全框架是啥？

随着云计算、大来自数据、物联网、5G、边缘计算等IT技术的快速发展，支撑了工业互联网的应用快速落地。作为“新基建”的重点方向之一，工业互联网发展已经进入快轨道，将加速“中国制造”向“中国智造”转型，并推动实体经济高质量发展。 新型 IT 技术与传统工业 OT 技术深度融合，使得工交内歌组乡即任完吗业系统逐步走向互联、开放，也加剧了工业制造面临的安汽沉晚完全风险，带来更加艰巨的安全挑战。CNCERT 发布的《2019 年我国互联网网络腔孙安全态势综述》指出，我国大型工业互联网平台平均攻击次数达 90 次/日。 工业互联网连接了大量工业控制系统360问答和设备，汇聚海量工业数据，构建了工业互联网应用生态、加未末形次调职与工业生产和企业经营密切相关。一旦遭入侵或攻击，将可能造成工业生产停滞，波及范围不仅是单个企业，更可延伸至整个产业讨课单宽生态，对国民经济造成重创，影响 社会 稳定，甚至对国家安全构成威胁。 近期便有重息次大工业安全事件发生，造成恶劣影响，5 月 7 日，美国最大燃油运输管道商 Co最lonial Pipeline 公司遭受勒索软件攻击，5500 英里输油管被迫停运，美国东海岸燃油供应因此受到严重影响，美国首次因网络攻击而宣布进入国家紧急状态。 以下根据防护对象不同，分别从网络接入、工业控制伍汪链、工业数据、应用访问四个层面来分析 5G 与工业互联网融合面临的安全威胁。 01 网络接入安广钱死全 5G 开启了万物互联时代，5G 与工业互联网的融合使得海量工业终端接入成为可能，如数控机床、工业机器人、AGV 等这些高价值关键生产设备倒培定省据项规，这些关键终端设备如律斗缺钢贵钢固果本身存在漏洞、缺陷、后垂又算收门等安全问题，一旦清笔车菜财暴露在相对开放的 5G 网络中，会带来攻击风险点的增加。 02 工业控制安全 传统工业网络较为封闭，缺乏整体安全理念及全局安全管理防护体系，如各类工业控制协议、控制平台及软件本章投身设计架构缺乏完整的安全验证手段，如数据完整性、身份陵谨校验等安全设计，授权与访问控制不严格，身犯杆落按着夫度报己向份验证不充分，而各信或谓混类创新型工业应用软风结件所面临的病毒、木马、漏洞等安全问题使原来相对封闭的工业网络暴露在互联网上，增大了动受校京动自尼直工控协议和工业 IT 系统被攻击利用的风险。 03 数据传输及调用安全 云计算、虚拟化技术等新兴IT技术在工业互联网的大规模应用，在促副旧存革犯谓印进关键工业设备使用效率、提升整体制造流程智能化、透明化的同时，打破原有封闭自治的工业网络环境，使得安全边界更加模糊甚至弱化，各种外来应用数据流量及对工厂内部数据资源的访问调用缺乏足够透明性及相应监管措施，同时各种开放的 API 接口、多应用的的接入,使得县但要灯些妒存传统封闭的制造业内部生产管理数据、生产操作数据等，变得开放流动，与及工厂外部各类应用及数据源产生大师交互、流动和共享，使得行业数据安全传输与存储的风险大大增加。 04 访问安全 工业互联网核心的各类创新型场景化应用，带来了更多的参与对象基础网络、OT 网络、生产设备、应用、系统等，通过与 5G 网络的深度融合，带来了更加高效的网络服务能力，收益于愈发灵活的接入方式，但也带来的新的风险和挑战，应用访问安全问题日益突出。 针对上面工业互联网遇到的安全问题，青云 科技 旗下的 Evervite Networks 光格网络面向工业互联网行业，提出了工业互联网 SD-NaaS（software definition network & security as a service 软件定义网络与安全即服务）解决方案，依托统一身份安全认证与访问控制、东西向流量、南北向流量统一零信任网络安全模型架构设计。工业互联网平台可以借助 SD-NaaS 构建动态虚拟边界，不再对外直接暴露应用，为工业互联网提供接入终端/网络的实时认证及访问动态授权，有效管控内外部用户、终端设备、工厂工业主机、边缘计算网关、应用系统等访问主体对工业互联网平台的访问行为，从而全面提高工业互联网的安全防护能力。帮助企业利用零信任网络安全防护架构建设工业互联网安全体系，让 5G、边缘计算、物联网等能力更好的服务于工业互联网的发展。 基于光格网络 SD-NaaS 架构的工业互联网安全体系大体可以分四个层面： 基于统一身份认证的网络安全接入 首先 SD-NaaS 平台引入零信任安全理念，对接入工业互联网的各类用户及工控终端，启用全新的身份验证管理模式，提供全面的认证服务、动态业务授权和集中的策略管理能力，SD-NaaS 持续收集接入终端日志信息，结合身份库、权限数据库、大数据分析，身份画像等对终端进行持续信任评估，并基于身份、权限、信任等级、安全策略等进行网络访问动态授权，有力的保障了 5G+ 工业互联网场景下的终端接入的安全。 最小权限，动态授权的工业安全控制 其次针对工业互联网时代下的工控网络面临的安全隐患，SD-NaaS 零信任网络平台提出全新的控制权限分配机制， 基于“最小化权限，动态授权”原则，控制权限判定不再基于简单的静态规则（IP 黑白名单，静态权限策略等），而是基于工控管理员、工程师和操作员等不同身份及信任等级，控制服务器、现场控制设备和测量仪表等不同终端的安全策略，不同工控指令权限，结合大数据安全分析进行动态评估及授权，实现工业边界最小授权，精细化的访问控制。以此避免工业控制网络受到未知漏洞威胁，同时还可以有效的阻止操作人员异常操作带来的危害。 端到端加密，精细化授权的数据防护 工业生产中会产生海量的工业数据包括研发设计、开发测试、系统设备资产信息、控制信息、工况状态、工艺参数等，平台各应用间有大量的数据共享与协同处理需求，SD-NaaS 平台提供更强壮的端到端数据安全保护方法，通过实时信任检测、动态评估访问行为安全等级，建立安全加密隧道以保障数据在应用间流动过程的安全可靠。同时生产质量控制系统、成本自动核算系统、生产进度可视系统等各类工业系统之间的 API 交互，数据库调用等行为，SD-NaaS 平台可实现细颗粒度的操作权限控制，对所有的增删改查等动作进行行为审计。 采用应用隐藏和代理访问的应用防护 最后 SD-NaaS 平台采用 SDP 安全网关和 MSG 微分段技术实现工业互联网平台的应用隐身和安全访问代理，有效管理工业互联网平台的网络边界及暴露面，并基于工程师、操作员、采购、销售、供应链等不同身份进行最细颗粒度的动态授权（如生产数据，库存信息，进销存管理等），对所有的访问行为进行审计，构建全方位全天候的应用安全防护屏障。 基于光格网络 SD-NaaS 解决方案，我们在工业视觉、智能巡检、远程驾驶、AI 视频监控等场景实现安全可靠落地；帮助企业在确保安全的基础上，打造支撑制造资源泛在连接、弹性供给、高效配置的工业云平台，利用工业互联网平台 探索 工业制造业数字化、智能化转型发展新模式和新业态。 SD-NaaS 最佳实践： 申请使用光格网络产品解决方案 点击申请使用光格网络产品解决方案

超过 30 万 VMWare 客户将受益于 NVIDIA AI 软件对所有应用程序的统一管理功能，并能够运用 NVIDIA BlueField-2 DPU 的安全和加速功能。NVIDIA 创始人兼首席执行官黄仁勋表示："NVIDIA 和 VMWare 将一起帮助客户把每家企业的数据中心改造成加速的 AI 超级计算机。企业将借助 NVIDIA DPU 构建安全、可编程、软件定义的数据中心，大幅加速所有企业应用程序。"一、适用于企业的AI平台，简化工作负载部署管理这是 NVIDIA 与 VMware 的首次合作，NVIDIA NGC 中心上的丰富 AI 软件将被集成到 VMware vSphere、VMware Cloud Foundation 和 VMware Tanzu 中，帮助企业扩展现有 AI 基础设施，统一管理所有应用程序，在数据中心、云和边缘部署 AI 基础设施。这一整合将简化针对最苛刻工作负载的 AI 部署和管理。各行业均可在与其企业相同的平台上，借助容器和虚拟机，轻松地在混合云中大规模开发和部署 AI 工作负载。VMware 客户可使用现有的基础设施、资源和工具集为数据科学和 AI 工作负载提速，从而帮助扩大 AI 和机器学习技术的普及范围。目前，来自戴尔、惠普和联想等领先系统制造商的部分经过预测试且内置 NVIDIA A100 的服务器已经支持 NGC 软件。数据科学家、开发人员和研究人员将可访问 NGC 的各类云原生 GPU 优化容器、模型和行业特定软件开发套件。二、全新混合云架构，引入新安全模型为了帮助企业应对愈发复杂的混合应用需求，VMware 推出 "Project Monterey" 项目，扩展 VMware Cloud Foundation 对 SmartNIC 技术的支持，从而减轻服务器 CPU 在网络、存储和安全方面的负担。VMware 和 NVIDIA 为混合云提供了一种帮助企业发展基础设施、提高运营水平的新架构，并引入了一种新的安全模型，将管理程序、网络、安全和存储任务从 CPU 转移到 DPU。该架构将把 VMware Cloud Foundation 运营模型扩展到裸机服务器。这一新架构是 Vmware 今天推出的 "Project Monterey" 技术预览的基石。Project Monterey 项目为基于 Mellanox SmartNIC 技术（包括可编程的 NVIDIA BlueField-2）的混合云提供架构，以支持 AI 和以数据为中心的应用。通过结合使用 NVIDIA BlueField-2 DPU 与 VMware Cloud Foundation，客户将能够加速多种新一代和通用应用、提供可编程智能，并在各类数据中心、边缘和电信云中运行分布式零信任安全模型。除了 NVIDIA 外，Project Monterey 项目也得到了英特尔、惠普、联想、戴尔等公司的支持。三、有望加速医疗AI发展VMware 和 NVIDIA 生态系统的整合已经为医疗等行业的 AI 部署应用带来便利。以医学成像 AI 和分析工具分析领域的领导者加利福尼亚大学旧金山分校（UCSF）智能影像中心为例，该中心采用 NVIDIA Clara 医疗应用框架支持 AI 成像，并为加利福尼亚大学旧金山分校社区以及学术和行业合作伙伴提供了探索、创新以及采用 AI 所需的重要资源，以此改善患者护理。加利福尼亚大学旧金山分校放射与生物医学影像学系主任 Christopher Hess 认为，NVIDIA Clara AI 应用框架和 VMware Cloud Foundation 的整合，将有助于他们借助通用数据中心基础设施扩展其 AI 工作，开展培训和研究等活动，并帮助支持时间紧迫的急救诊断。结语：将为企业提供抢先体验计划随着 AI 逐渐渗透到更多行业，许多企业技术公司试图将 AI 技术引入 IT 管理软件，来帮助客户更高效的工作。对于 VMWare 而言，此次与 NVIDIA 的合作，为用户使用多种包含 AI 的软件及服务带来便利，也将有助于增加 VMware 用户的采用率。目前，NVIDIA 和 VMware 正在企业 AI 和加速计算平台领域开展的广泛软件工程合作，希望使用 AI 并安全加速混合云端应用的企业可以注册参加抢先体验计划。

零信任代表了一个新的网络安全理念，关键在于“永不信任，持续验证”。零信任安全框架假定企业始终面临着内部与外部风险，因此每一次业务访问都需要进行安全校验，确认在当下时刻，访问业务的人、设备、访问环境是安全的。（比如疫情期间每次进入公共场所都要检查的健康码，而且健康码是实时刷新的，就是为了最大程度规避风险。）但随着业务需求和环境的变化，传统的网络边界被打破，业务暴露面越来越大，威胁非常严峻，传统的防御体系已经不能适应发展的需要，正是在这样的背景下，零信任安全诞生了，作为一种新的安全框架，它和传统安全思路是有着很大区别的。传统网络建设主要是边界思维，也就是内外都是安全的，而零信任的关键点在于从“以IP为中心”转换为“以身份为中心”，由“单次信任”转换为“持续评估”。飞连作为一站式IT管理与办公安全平台，可以帮助企业轻量化落地零信任安全接入体系。1.收敛业务暴露面：梳理企业重点办公业务，将核心业务逐步从原本的公网访问环境收敛至安全的内网访问环境，并建设安全分级标准，按照指标设计严格的主客体访问关系，为所有的访问流程提供安全加密的可信访问通道。2.最小化控制访问权限：响应零信任“最小化权限收敛”的核心目标，通过相关技术手段补齐“人”与“设备”的可信认证环节，提供“身份化”的流量鉴权手段，并提供精细的访问控制能力。同时，通过可信行为判定、可信环境判定等方式，做到持续的综合信任评估，并最终在此基础上实现动态的权限调整，能根据实际的访问环境做到实时的智能权限调整。3.建设高效的自动化策略运营体系：满足监管合规，并借助开放性安全运营平台做到可视化风险识别、集中策略编排、自动化风险处置等关键能力，真正落实零信任“动态权限”这一关键要素。总的来说，飞连零信任解决方案具有易于落地、迁移成本低、用户无感等优势，想要享受高效、安全的数字化办公体验，推荐了解一下。