[发明专利]一种采用零信任架构的微隔离防护系统及其防护方法

说明书

本发明公开了一种采用零信任架构的微隔离防护系统及方法，系统包括逻辑架构和物理架构，其中，所述逻辑架构包括执行层、采集层、持久层、逻辑功能层和展示层；物理架构包括策略控制中心、安全网关和Agent插件；本发明主要基于对云计算环境的充分了解，在零信任安全的理念下，融合网络微隔离、安全网关、系统环境感知等多项安全技术，并最终实现南北向流量安全准入、东西向流量(自适应管控、接入设备安全状态实时关联网络策略的效果。

技术领域

本发明属于网络安全维护技术领域，具体涉及一种采用零信任架构的微隔离防护系统及其防护。

背景技术

随着云计算等新的IT技术涌现，越来越模糊的网络安全边界，复杂的网络接入环境、数量庞大的网络资产也对企业安全带来了全新的挑战；东西向流量难以管控、庞大的网络策略难以维护、南北向流量缺乏完善准入、接入环境安全程度与网络策略脱钩等，传统基于固定边界的防护方案已经开始逐渐失效。

无论是对于传统内网网络环境还是当前的云主机网络环境来说，当前的网络安全防护方法，至少存在如下三个问题：一、南北向流量缺乏完善的准入机制问题，包括内外网远程连接问题、TCP/IP的先连接后验证问题、不同角色之间访问应用服务和资源权限划分问题等等，传统互联网本身也存在这些问题，只是云计算的快速发展，将这些问题凸显的更为严峻；二、东西向流量难以管控问题，传统网络边界还可以依靠防火墙、WAF、IDS、IPS等一系列产品串接进行安全防护，而一旦绕过这些边界安全产品，在网络内部反而缺乏相应的网络安全保障机制，众多的内网主机处于“裸跑”状态；三、网络用户身份认证只验证账号而不会校验接入设备的安全性，对于接入云计算网络或传统内网网络的用户来说，一般仅在接入时进行一次账号校验，一旦通过校验，则意味着除非该用户主动放弃，否则将一直具备相应的网络访问权限，且接入时和接入期间，也不会对接入设备的安全性进行校验。

发明内容

针对现有技术中的上述不足，本发明提供的采用零信任架构的微隔离防护系统及方法解决了现有的网络中难以实现南北向流量准入控制及业务应用资源准入控制；东西向流量难以管控，易引发跳板攻击；网络接入设备一次性身份校验，缺乏设备安全环境实时校验机制。

为了达到上述发明目的，本发明采用的技术方案为：一种采用零信任架构的微隔离防护系统，包括逻辑架构和物理架构，其中，所述逻辑架构包括执行层、采集层、持久层、逻辑功能层和展示层；物理架构包括策略控制中心、安全网关和Agent插件；

所述执行层用于执行策略控制中心指定的安全策略；所述采集层用于采集网络接入设备的资产；所述持久层用于格式化存储资产信息，并为策略控制中心提供数据基础；所述逻辑功能层用于网络授信准入、访问策略的制定及维护，进行设备环境风险评估和微隔离策略的制定和维护；所述展示层用于导出设备风险评估报告并展示网络流量拓扑图；

所述策略控制中心用于负责持久层、逻辑功能层以及展示层的功能执行；所述安全网关用于负责执行层的身份验证；所述Agent插件用于负责采集层和执行层中除身份验证外的其他功能。

进一步地，所述采集层采集的资产包括设备的资产信息、网络流量信息、病毒查杀信息，以及系统和应用漏洞信息。

一种采用零信任架构的微隔离防护方法，所述微隔离防护方法应用于所述微隔离防护系统中，所述采用零信任架构的微隔离防护方法具体为：

实时监控网络运行中的东西向流量、南北向流量以及网络接入设备安全状态，并在需进行东西向流量自适应管控、南北向流量安全准入以及网络接入设备安全状态实时关联网络中任意一项及一项以上时，采用对应策略实现微隔离防护。

进一步地，需进行东西向流量自适应管控的条件为：用于提供主机或业务间的东西向流量超过设定阈值；

需进行南北向流量安全准入的条件为：用户请求访问网络及网络资源；

需进行网络接入设备安全状态实时关联网络的条件为：接入网络的可信评估分数低于设定阈值。