【2022年零信任优秀应用案例】基于零信任框架的下一代IAM平台(中国移动网络事业部、中国移动设计院)

2022-11-25

基本信息

案例名称:基于零信任框架的下一代IAM平台

申报单位:中国移动通信集团有限公司、 中国移动通信集团设计院有限公司

应用领域:电信


案例介绍

总体情况

中国移动网络事业部4A系统(4A分别指帐号管理、授权管理、认证管理、综合审计)是网络运维安全的枢纽平台,于2022年引入零信任技术,改造现有平台能力,基于零信任框架建设下一代IAM平台,实现对原有平台VPN的替代,并且隐藏平台互联网暴露面资产,增强系统对于用户终端环境的感知,能够防止攻击者突破外网防线后,在内网的横向移动渗透,强化边界防护和精细化自动化访问控制能力,提升5G网络自身安全防护能力。

技术方案

基于零信任框架的下一代IAM平台对于原有4A平台的改造主要包括四个核心部分,分别是零信任客户端、SDP控制器、SDP风控中心和SDP隐身网关。是一个逻辑关系紧密的技术架构,将被保护的服务器隐藏在网络之中,只有获取并携带合法身份的终端才能被授信去发现并访问被保护的服务器,从而保护服务器免遭来自基于传统TCP/IP协议的网络攻击。

零信任客户端是网络安全访问的入口,用于与SDP控制器及隐身网关通信建立零信任连接,实时验证访问主体身份,以确保用户和终端设备可信。

SDP隐身网关通过SPA单包授权技术,隐藏被保护的业务资源及系统资源,保障每一次连接的高安全。

SDP控制器为隐身网关与原有4A平台的访问连接提供身份和权限验证转发,执行零信任风控中心下发的动态决策。

零信任风控中心是网络安全访问行为的决策者,动态下发的控制决策作用于隐身网关,控制用户访问行为的网络放行与否。

应用效果

基于零信任框架的下一代IAM平台实现了对原有平台VPN的替代,并且隐藏平台互联网暴露面资产,增强系统对于用户终端环境的感知,能够防止攻击者突破外网防线后,在内网的横向移动渗透。具体体现如下:

用户授权最小化,精细化的资源访问控制;

内网应用更安全,不需要向互联网暴露任何应用;

实现基于访问主/客体的增强认证方式。


图片展示

图片

图1 基于零信任框架的下一代IAM平台技术架构


图片

图2 实现零信任的技术路径
联系我们
办公地点:中国电子技术标准化研究院
地址:北京安定门东大街1号
邮编:100007
电话:010-64102639
邮箱:cciahyz@china-cia.org.cn

微信公众号