"浅谈零信任"
  

恭喜你遇到了一个超级可爱的女友 286862人觉得有帮助

{{ttag.title}}
本帖最后由 恭喜你遇到了一个超级可爱的女友 于 2021-7-1 10:28 编辑

    零信任这个词自从2010年被提出以来,就被各行各业所追捧。不管是谷歌的BeyondCorp,还是Gartner的CARTA模型,都是零信任的最佳实践之一。今天我们从零信任的诞生背景,概念,结语等方面阐述一下零信任的发展概况。
一.零信任的背景

    零信任的最早雏形源于2004年成立的耶利哥论坛,其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御。

  • 传统网络往往通过物理位置的方式来判断威胁,但随着“云大物移”不断融入人们的生活,这种由物理上所划分的安全边界将逐步瓦解。
  • 新技术带来便利的同时也带来了安全问题,例如大数据、云计算等技术,对于数据的全生命周期管理以及云环境下内部应用系统访问的方式,不能仅仅依靠传统安全技术或管理措施。
  • 信息化安全建设的源头是业务访问者,当缺少对身份、认证、授权、审计等流程,数据泄露、破坏等事件就会层出不穷。
  • 信息化发展日新月异,安全措施也不能一尘不变,需要持续性的优化、改进。
  • 归根结底,零信任是网络中攻防博弈的具象化展现.

   
基于区域的安全模型
     图1是基于企业区域的常见安全模型的示例。下一代防火墙(NG-FW)用于控制网络流量的南北方向移动,并允许段内的任何通信。

    图1的左上角开始,一旦经过身份验证,用户和设备就可以进入受信任的网络。在此方案中,允许用户进入受信任的客户端网络段或区域内的任何位置。

    在图1的左下部分,不受信任的用户必须使用虚拟专用网络(VPN)并通过身份验证、授权和帐户认证(AAA)进程以获取私有IP地址,然后允许他们进入网络。而且用户只可以进入演示和语音、视频区域,不能再进一步访问其他应用。

    为了更好的理解基于区域的网络安全模型,可以将企业比作一个国家,在这个国家内有公共和私人场所,人们能不能进入这些场所,这取决于他们是谁(需要身份证明)以及他们要做什么。他们一旦经过验证,就可以在该场所内自由活动(即所谓的“信任域”)。在企业中访问应用程序、设备也同样如此。

    传统的基于区域的安全模型存在许多缺陷,包括:

    1)没有东西向安全(东西向网络是指在同一网段内的设备或服务器之间可以无障碍进行通信)。例如,如果一个数据库服务器受到攻击,黑客可以对该区域内的其他数据库服务器发起攻击,而不会受到防火墙的干扰或检测。

    2)非对称规则 - 允许所有服务器访问管理区域。如果管理区域受到威胁,那就相当于给攻击者在服务器中开了“后门”。由于这些限制,组织正在重新审视基于区域的网络安全架构并添加微分段技术,尤其是在其私有数据中心和公共云托管环境中。

二.零信任的概念

零信任网络的原则:“从不信任,总是验证    它认为IP网络上的所有网络流量都是不可信的。所有网络资源的安全访问,无论在什么位置或设备上,都采取最小特权的网络访问策略,以严格执行访问控制。用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证、授权和帐户认证,这也是零信任原则的体现“Trust no-one. Verify everything”。 零信任网络在网络边缘强制实施安全策略,并在源头遏制恶意流量。
零信任网络架构:在零信任网络中,整个网络架构也可以类比SDN,可分为控制平面和数据平面。控制平面主要负责协调和配置,支撑整个系统。其他的内容都可以看作是数据平面。
                          
                                                                  零信任控制平面   
   在控制平面中,对受保护资源的访问请求首先要通过控制平面的同意,设备和用户都必须经过身份验证和授权。细粒度策略可以应用于这一层,策略可以是基于组织中的角色、时间或设备类型。访问更敏感的资源还可以强制进行更强大的身份验证。一旦控制平面同意了请求,它将动态配置数据平面以接受来自该客户机的流量。此外,它还可以在请求者和资源之间对隧道进行加密。加密的方式包括临时凭据、密钥和临时端口号。
    如果将网络比作道路系统,路面的各种车辆是IP包,路边的房屋是设备或系统。今天,任何人都可以离开自己的房子,通过各种路线(网络)开车(IP包)到你家门口。他(或她)可能没有钥匙进入你的家,但他(或她)可以藏起来,等待进入的机会,就如同网络病毒一样等待机会侵入你的电脑系统。然而在一个零信任的世界里,任何人想去你家(访问设备或系统)必须事先和你预约(上报身份信息、设备、系统信息等),并得到同意后才能拜访。零信任网络是数字虚拟世界中必要的安全保障。
三.结语
    安全在防护意识诞生之日起便成为经久不衰的话题,从单一防护到零信任的发展,人类用科技进一步保护着每一个互联网单元的安全。安全方案也不再是应用层面或网络层面的单一解法,随着虚拟化技术的突破,零信任的理念也让我们看到公共和私人网络的边界将逐步消除,网络功能和上层应用也将机动组合,用户、设备、服务、应用和数据标识细粒度映射到网络会话,可以灵活的应用底层设备以应对更为丰富的防护策略。无论是物联网设备的急剧增长、还是黑客行为的增加,势必将推动企业考虑采用零信任等方式升级网络。
                                                                    
                                                                   具有第5层安全服务的OSI模型

    不过,并非每个组织都拥有实施零信任网络的IT基础架构的知识,资源和时间。组织必须拥有大量预算和人力来开发,构建和维护因地适宜的零信任架构。然而对于那些没有这些资源的小型企业,这可能是一项重大挑战。

参考资料:

打赏鼓励作者,期待更多好文!

打赏
31人已打赏

发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
功能体验
2023技术争霸赛专题
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版达人