"浅谈零信任"
  

恭喜你遇到了一个超级可爱的女友 71252人觉得有帮助

{{ttag.title}}
本帖最后由 恭喜你遇到了一个超级可爱的女友 于 2021-7-1 10:28 编辑

    零信任这个词自从2010年被提出以来,就被各行各业所追捧。不管是谷歌的BeyondCorp,还是Gartner的CARTA模型,都是零信任的最佳实践之一。今天我们从零信任的诞生背景,概念,结语等方面阐述一下零信任的发展概况。
一.零信任的背景

    零信任的最早雏形源于2004年成立的耶利哥论坛,其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御。

  • 传统网络往往通过物理位置的方式来判断威胁,但随着“云大物移”不断融入人们的生活,这种由物理上所划分的安全边界将逐步瓦解。
  • 新技术带来便利的同时也带来了安全问题,例如大数据、云计算等技术,对于数据的全生命周期管理以及云环境下内部应用系统访问的方式,不能仅仅依靠传统安全技术或管理措施。
  • 信息化安全建设的源头是业务访问者,当缺少对身份、认证、授权、审计等流程,数据泄露、破坏等事件就会层出不穷。
  • 信息化发展日新月异,安全措施也不能一尘不变,需要持续性的优化、改进。
  • 归根结底,零信任是网络中攻防博弈的具象化展现.

    1851960dd1e91648ab.png
基于区域的安全模型
     图1是基于企业区域的常见安全模型的示例。下一代防火墙(NG-FW)用于控制网络流量的南北方向移动,并允许段内的任何通信。

    图1的左上角开始,一旦经过身份验证,用户和设备就可以进入受信任的网络。在此方案中,允许用户进入受信任的客户端网络段或区域内的任何位置。

    在图1的左下部分,不受信任的用户必须使用虚拟专用网络(VPN)并通过身份验证、授权和帐户认证(AAA)进程以获取私有IP地址,然后允许他们进入网络。而且用户只可以进入演示和语音、视频区域,不能再进一步访问其他应用。

    为了更好的理解基于区域的网络安全模型,可以将企业比作一个国家,在这个国家内有公共和私人场所,人们能不能进入这些场所,这取决于他们是谁(需要身份证明)以及他们要做什么。他们一旦经过验证,就可以在该场所内自由活动(即所谓的“信任域”)。在企业中访问应用程序、设备也同样如此。

    传统的基于区域的安全模型存在许多缺陷,包括:

    1)没有东西向安全(东西向网络是指在同一网段内的设备或服务器之间可以无障碍进行通信)。例如,如果一个数据库服务器受到攻击,黑客可以对该区域内的其他数据库服务器发起攻击,而不会受到防火墙的干扰或检测。

    2)非对称规则 - 允许所有服务器访问管理区域。如果管理区域受到威胁,那就相当于给攻击者在服务器中开了“后门”。由于这些限制,组织正在重新审视基于区域的网络安全架构并添加微分段技术,尤其是在其私有数据中心和公共云托管环境中。

二.零信任的概念

零信任网络的原则:“从不信任,总是验证    它认为IP网络上的所有网络流量都是不可信的。所有网络资源的安全访问,无论在什么位置或设备上,都采取最小特权的网络访问策略,以严格执行访问控制。用户、设备或应用程序创建的每个会话在允许通信之前必须经过身份验证、授权和帐户认证,这也是零信任原则的体现“Trust no-one. Verify everything”。 零信任网络在网络边缘强制实施安全策略,并在源头遏制恶意流量。
零信任网络架构:在零信任网络中,整个网络架构也可以类比SDN,可分为控制平面和数据平面。控制平面主要负责协调和配置,支撑整个系统。其他的内容都可以看作是数据平面。
                           3062660dd2387e9270.png
                                                                  零信任控制平面   
   在控制平面中,对受保护资源的访问请求首先要通过控制平面的同意,设备和用户都必须经过身份验证和授权。细粒度策略可以应用于这一层,策略可以是基于组织中的角色、时间或设备类型。访问更敏感的资源还可以强制进行更强大的身份验证。一旦控制平面同意了请求,它将动态配置数据平面以接受来自该客户机的流量。此外,它还可以在请求者和资源之间对隧道进行加密。加密的方式包括临时凭据、密钥和临时端口号。
    如果将网络比作道路系统,路面的各种车辆是IP包,路边的房屋是设备或系统。今天,任何人都可以离开自己的房子,通过各种路线(网络)开车(IP包)到你家门口。他(或她)可能没有钥匙进入你的家,但他(或她)可以藏起来,等待进入的机会,就如同网络病毒一样等待机会侵入你的电脑系统。然而在一个零信任的世界里,任何人想去你家(访问设备或系统)必须事先和你预约(上报身份信息、设备、系统信息等),并得到同意后才能拜访。零信任网络是数字虚拟世界中必要的安全保障。
三.结语
    安全在防护意识诞生之日起便成为经久不衰的话题,从单一防护到零信任的发展,人类用科技进一步保护着每一个互联网单元的安全。安全方案也不再是应用层面或网络层面的单一解法,随着虚拟化技术的突破,零信任的理念也让我们看到公共和私人网络的边界将逐步消除,网络功能和上层应用也将机动组合,用户、设备、服务、应用和数据标识细粒度映射到网络会话,可以灵活的应用底层设备以应对更为丰富的防护策略。无论是物联网设备的急剧增长、还是黑客行为的增加,势必将推动企业考虑采用零信任等方式升级网络。
                                                                     2260060dd2666da225.png
                                                                   具有第5层安全服务的OSI模型

    不过,并非每个组织都拥有实施零信任网络的IT基础架构的知识,资源和时间。组织必须拥有大量预算和人力来开发,构建和维护因地适宜的零信任架构。然而对于那些没有这些资源的小型企业,这可能是一项重大挑战。

参考资料:

打赏鼓励作者,期待更多好文!

打赏
30人已打赏

dhf 发表于 2021-7-1 23:22
  
感谢楼主的精彩分享,有助工作!!!
飞翔的苹果 发表于 2021-7-2 08:34
  
感谢分享,有助于工作,学习学习
山东_朱文鑫 发表于 2021-7-2 10:25
  
坚持学习,坚持努力,坚持向大佬们学习!!!!!!!!!!!!!!!1
磊大发 发表于 2021-7-2 10:33
  
感谢分享,学习学习。
花开荼靡_ 发表于 2021-7-2 14:03
  

感谢分享,有助于工作,学习学习
新手780102 发表于 2021-7-2 14:35
  

感谢楼主的精彩分享,有助工作!
暗夜星空 发表于 2021-7-2 18:00
  
坚持每日学习打卡
李大帅气 发表于 2021-7-2 22:49
  
感谢分享,有助于工作,学习学习
新手612152 发表于 2021-7-3 08:46
  
感谢楼主的精彩分享,有助工作
发表新帖
热门标签
全部标签>
每日一问
技术盲盒
技术笔记
每周精选
干货满满
技术咨询
信服课堂视频
标准化排查
产品连连看
新版本体验
安装部署配置
自助服务平台操作指引
功能体验
秒懂零信任
GIF动图学习
2023技术争霸赛专题
通用技术
技术晨报
社区帮助指南
安全攻防
每日一记
玩转零信任
天逸直播
华北区交付直播
深信服技术支持平台
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
上网策略
测试报告
日志审计
问题分析处理
流量管理
运维工具
云计算知识
用户认证
原创分享
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
答题榜单公布
纪元平台
卧龙计划
华北区拉练
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV

本版达人