×

零信任就够了吗?可能你需要精益信任
  

SANGFOR_智安全 95546人觉得有帮助

{{ttag.title}}
本帖最后由 某公司_智安全 于 2019-8-12 11:56 编辑

零信任就够了吗?可能你需要精益信任


什么是零信任
      近年来,大规模数据泄露事件层出不穷。动辄上百万甚至上亿的用户信息被批量泄露,从亿万网民到政府要员都不能幸免。日益复杂且频发的网络安全攻击,使得传统基于网络位置来划分内外网,进而判断访问合法性的安全模型不再适用。人们开始思考一种新的网络安全架构。

      2010年,IT市场研究机构Forrester的分析师John Kindervag首次提出了零信任网络架构,相比传统网络安全架构,零信任认为任何网络连接都不可信。近两年,国内外厂商纷纷推出了自己的零信任产品或架构。零信任逐渐在网络安全中流行。

从零信任到精益信任

      然而,零信任架构的研究和落地过程中,出现了一系列的疑问。
1)零信任理念中从不信任,总是验证"是否最优

信任是在两个实体之间建立的双向信赖,零信任的字面含义,意味着实体之间不存在信任,也意味着整个交互过程信任程度的不变,而这将导致交互和业务的难以开展,以及信任等级的过度或不足。

2)零信任架构如何与业务系统、已有安全手段兼容

      已有的零信任方案,比如谷歌的BeyondCorp和Cisco的Duo Beyond方案,其中一个关键改造点是取消VPN,全部采用HTTP、HTTPS和SSH等方式对内网进行访问。这样的改造要求内网业务系统进行大范围的改造,同时已有VPN设备几乎完全得不到复用。此外,很多零信任解决方案只针对身份层面的安全访问问题,对业务系统其他层面的安全问题考虑不充分。

      此外,零信任如何低成本落地等问题也成了零信任实践过程中的难题。针对这些问题,国际权威IT研究分析机构Gartner在研究报告《Zero Trust Is an Initial Step on the Roadmap to CARTA》中,认为网络安全应基于风险和信任的监测、评估、学习和调整,最终实现对风险和信任的精益控制。这一目标在报告中被描述为精益信任(Lean Trust)。而零信任只是实现这一目标的第一步。


和零信任相比,精益信任有以下不同:
1)信任控制理念不同

      相比于零信任“从不信任,总是验证”的理念,精益信任通过信任和风险的反馈控制,实现精确而足够的信任。对零信任的严格解释,意味着信任永远为零,不具有扩展、变化能力。而精益信任认为信任不是静态的,信任水平会随行为、环境的变化而变化。宏观来看信任也不是二进制的,在可信和不可信之间,应该有中间地带。

2)实现路径不同
      已有的零信任架构多围绕身份进行构建,聚焦于身份管理和访问控制。精益信任架构则以风险和信任为中心,与端点检测响应、态势感知、VPN等安全组件进行联动,统筹了内外网的安全监测和控制机制,实现安全架构的重构。身份安全只是精益信任架构的一部分。

      总的来说,在精益信任中,业务交互以信任为基石,业务的开展需要信任的建立。并且,信任与风险相伴相生,网络安全不能实现零风险,只能管理风险。风险的管理,通过对信任的控制实现。进一步,还要持续监测评估风险,根据业务的需要和风险的反馈,持续调整信任。这一整个信任与风险的精益控制回路,是精益信任的核心理念。

精益信任落地架构
基于精益信任理念,某公司实践了精益信任安全架构:


      架构包含精益信任平台和精益信任插件。精益信任平台部署于应用服务区和访问终端之间,对应用服务区进行保护和访问行为控制。精益信任插件部署在访问终端和后端应用系统,负责对终端进行安全认证、威胁保护和设备感知,对应用进行攻击防护和感知检测。

该架构中,精益信任理念的落地,主要分为两个阶段:
1)信任建立阶段:
信任建立前,默认任何用户、设备都不可信。依据身份、设备、环境的多源上下文信息,在信任控制中心对用户、设备进行信任的评估,依据评估结果确定信任等级,建立信任。基于信任等级和资源安全等级,确定访问控制规则,下发安全接入网关,开展业务访问。

2)信任和风险控制阶段:
      访问过程中,通过检测分析中心、终端管理中心、身份认证中心,对访问行为、设备状态、环境态势、资源安全等级进行持续的风险和信任评估。依据评估结果,精益调整信任等级以及访问控制规则。持续循环反馈,实现信任和风险的精益控制。


      通过自适应策略,结合按需部署的功能组件,私有化、云化等多种部署方式,实现信任和风险的精益控制。某公司精益信任安全解决方案秉持“面向未来,有效保护”的安全理念,帮助用户构建更匹配业务需求的安全架构!

打赏鼓励作者,期待更多好文!

打赏
8人已打赏

Sangfor_闪电回_朱丽 发表于 2019-8-12 15:39
  
第一次听到精益信任这个词!

某公司实践的精益信任安全架构,为服务端和终端的访问筑建安全城墙~
平凡的小网工 发表于 2019-8-12 18:13
  
第一次听到这个词。学习一下。
feeling 发表于 2019-8-12 21:12
  
很新颖的词
NONO 发表于 2019-8-13 10:41
  
书读不够,看不懂
D调的土豆 发表于 2019-8-13 10:42
  
这些字我都认识,为什么放在一起就不懂了呢
marco 发表于 2019-8-13 10:52
  
太深奥了。
697480 发表于 2019-8-13 11:48
  
还是书读的少
新手846532 发表于 2019-8-14 12:07
  
这是好东西,我读书多,我不会骗你们的。
新新向容 发表于 2019-8-14 16:58
  
听着不错,数据越来越重要
发表新帖
热门标签
全部标签>
西北区每日一问
技术盲盒
安全效果
每日一问
干货满满
【 社区to talk】
新版本体验
技术笔记
功能体验
产品连连看
技术咨询
GIF动图学习
标准化排查
2023技术争霸赛专题
每周精选
通用技术
信服课堂视频
秒懂零信任
自助服务平台操作指引
安装部署配置
排障笔记本
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
技术晨报
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

SANGFOR...

本周分享达人