零信任安全数字时代主流的安全架构
零信任网络架构实施详述
架构组件与工作流程
▪ 零信任网络架构的优势
1.提高网络安全性:通过严格的身份验证和访问授权机制,有效防止未经授权的访问和数据泄 露。 2.提高用户体验:通过动态授权和流量监控,确保用户只能访问其所需的资源,提高用户的工 作效率。 3.降低运维成本:通过自动化的管理流程和集中式的控制台,简化网络管理工作,降低运维成 本。 以上内容是零信任网络架构实施中关于架构组件与工作流程的介绍,希望能够帮助到您。
零信任网络架构实施
零信任的核心原则
零信任的核心原则
▪ 身份验证
1.每个网络访问请求都需要进行身份验证,确保只有授权用户和设备可以访问网络资源。 2.身份验证过程应该采用多因素认证方式,提高安全性。 3.身份验证系统应该具备高度的可扩展性和可靠性,以应对大规模网络攻击和数据泄露的风险 。
▪ 访问控制
▪ 网络分段与隔离的实施策略
1.对网络进行全面分析和评估,确定合理的网络分段和隔离方 案。 2.根据不同网段的安全等级和业务需求,采取不同的隔离技术 和管理措施。 3.加强对网络分段和隔离措施的监控和管理,及时发现和解决 潜在的安全风险。 以上内容仅供参考,具体实施方案需要根据实际情况进行评估 和设计。
▪ 响应策略
1.快速定位:在发现威胁后,迅速定位攻击源和受影响的系统 。 2.有效隔离:立即隔离受影响的系统,防止攻击者进一步获取 敏感信息或破坏网络。 3.恢复与加固:及时恢复受损系统,并加固安全措施,防止类 似攻击再次发生。 在响应威胁时,速度和准确性至关重要。通过快速的定位和隔 离,可以最大限度地减少损失和影响,同时为后续的恢复和加 固工作赢取宝贵时间。
技术更新
1.持续跟进:密切关注网络安全技术发展趋势,及时引进新技术、新工具。 2.培训与教育:加强员工网络安全培训,提高全体员工的网络安全意识和技能。 3.创新研发:投入研发资源,探索创新性的网络安全技术,提高自主防御能力。 技术更新是提升网络安全水平的关键因素。通过持续跟进新技术、培训员工和提高自主研发能力, 可以为企业提供更全面、更有效的网络安全保障。
零信任安全趋势分析
网络安全之零信任安全趋势分析一、零信任将成为数字时代主流的网络安全架构1.1 零信任是面向数字时代的新型安全防护理念零信任是一种以资源保护为核心的网络安全范式。
零信任安全:1)网络无时无刻不处于危险的环境中;2)网络中自始至终都存在外部或内部威胁;3)网络位置不足以决定网络的可信程度;4)所有的设备、用户和网络流量都应当经过认证和授权;5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。
因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的,需要基于认证和授权重构访问控制的信任基础。
零信任的雏形最早源于 2004年耶利哥论坛提出的去边界化的安全理念,2010年 Forrester正式提出了“零信任”(Zero Trust,ZT)的术语。
经过近十年的探索,零信任的理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。
数字时代下,旧式边界安全防护逐渐失效。
传统的安全防护是以边界为核心的,基于边界构建的网络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM及入侵防御检测等安全产品的组合将安全攻击阻挡在边界之外。
这种建设方式一定程度上默认内网是安全的,而目前我国多数政企仍然是围绕边界来构建安全防护体系,对于内网安全常常是缺失的,在日益频繁的网络攻防对抗中也暴露出弊端。
而云大物移智等新兴技术的应用使得 IT基础架构发生根本性变化,可扩展的混合IT 环境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势,传统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全防护效果有限。
面对日益复杂的网络安全态势,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势。
图 1:传统边界安全防护架构图 2:云计算等新兴技术带来传统安全边界消失1.2 “SIM”为零信任架构的三大关键技术零信任的本质是以身份为中心进行动态访问控制。
零信任安全解决方案
零信任安全解决方案简介随着信息技术的迅猛发展,企业面临的网络安全威胁与日俱增。
传统的基于边界防御的安全策略已经无法应对日益复杂的网络环境。
在这样的背景下,零信任安全解决方案引起了广泛关注。
零信任安全(Zero Trust Security)是一种全新的网络安全架构,以最小化信任为原则,为企业提供更加强大的安全保障。
本文将介绍零信任安全解决方案的基本概念、原则和核心技术,以及它在企业网络中的应用。
基本概念零信任安全是一种基于“不信任,始终验证”原则的安全策略。
传统的安全模型通常在企业内部和外部之间设置边界,并默认内部网络是可信的,因此对内部用户和资源的行为往往没有严格的控制。
而零信任安全则认为,不论用户的身份和位置如何,都应该通过严格的验证和授权,来确保其访问资源时具备合法权限,并对用户的行为进行实时的监控和分析。
主要原则零信任安全解决方案遵循以下主要原则:1.最小化信任:用户和设备在访问资源时,无论是在内部网络还是在公共网络上,都需要通过验证和授权。
只有获得了合法权限的用户和设备才能被信任。
2.连续验证:零信任安全模型强调对用户和设备行为的实时验证和监控。
无论是在访问初始阶段还是持续阶段,都需要持续验证用户的身份和行为。
3.分层授权:零信任安全解决方案基于用户的身份和所处环境,对用户访问资源的权限进行分层授权。
用户需要经过多层授权才能访问更高级别的资源。
4.权限最小化:只给予用户所需的最低限度的权限,而非大量授予用户访问所有资源的权限。
这有助于减少潜在的安全风险。
核心技术零信任安全解决方案基于以下核心技术和方法来实现:1.多因素身份验证(MFA):用户通过多个身份验证因素(如密码、指纹、面部识别等)来验证自己的身份。
2.访问控制策略:通过访问控制策略来限制用户对资源的访问。
这些策略通常基于用户的身份、上下文信息和设备状态等因素。
3.实时监控和审计:对用户和设备的行为进行实时监控和审计,及时发现异常活动和安全威胁,并采取相应的安全措施。
基于零信任的网络安全架构研究与应用
02
研究表明,基于零信任的网络安全架构可以有效地提高网 络的安全性和可靠性,降低了传统网络安全架构的局限性 ,能够适应不断变化的网络环境和业务需求。
03
本文还对一种基于零信任的 SDP(软件定义边界)安全架 构进行了详细介绍,这种架构可以实现业务资源访问的最 小化权限控制,具有身份访问管理技术、动态准入控制、 可视化管理等优势。
零信任网络安全架构的原理
打破信任边界
动态访问控制
零信任网络安全架构强调信任的建立 不再依赖于传统的网络边界,而是将 信任建立在学习、行为分析、威胁检 测和响应等多个方面。这种信任的打 破,使得网络安全防护更加全面和实 时。
零信任网络安全架构采用动态访问控 制技术,根据用户的行为、设备、网 络环境等因素进行实时分析,对访问 请求进行动态评估和决策,确保只有 授权的访问请求得到允许,而未经授 权的访问请求则被拒绝。
需要全局视角的网络 安全管理
随着网络规模的不断扩大和攻击手段 的不断升级,网络安全管理需要具备 全局视角。未来的零信任网络安全架 构将需要具备更全面的网络安全管理 功能,能够实时监测、分析和预警网 络威胁和攻击,提供准确的应急响应 和故障排除服务。
结论
05
研究成果总结
01
基于零信任的网络安全架构在保护网络通信和业务访问方面具有 显著优势。这种架构能够打破传统网络安全理念的限制,通过强 身份验证技术保护数据,降低资源访问过程中的安全风险,防止 数据泄露,并限制网络内部横向移动。
对未来研究的建议和展望
针对基于零信任的网络安全架构的研究和应用,本文认为可以进一步加强对身份验 证和访问控制技术的研发和应用,提高安全防护体系的智能化水平。
还可以加强对网络攻击行为的分析和识别技术的研究,提高网络安全预警和防护的 实时性和准确性。
零信任网络安全架构
零信任网络安全架构零信任网络安全架构是一种新型的网络安全模型,其核心理念是“不信任任何设备或用户,坚持最小特权原则”。
它认为传统的基于边界的网络安全策略已经不再适用于当前信息技术的发展趋势,尤其是云计算和移动设备的普及,使得边界不再明确和固定,安全威胁也更加复杂多样。
在零信任网络安全架构中,所有用户和设备都被视为潜在的安全风险,需要经过验证和授权才能访问网络资源。
它建立在强身份验证(Multi-factor Authentication)和细粒度的访问控制(Micro-segmentation)基础上,将网络内外部的数据流量进行细致的监测和控制,确保只有经过授权的用户和设备才能访问所需的资源。
零信任网络安全架构的关键特点有以下几个方面:1. 认证和授权:所有用户和设备都需要进行身份认证和访问授权,以确保只有经过验证的用户才能访问特定的资源。
强制要求多重身份验证可以防止钓鱼和盗用身份的攻击。
2. 细粒度的访问控制:根据用户和设备的身份、位置、时间和其他属性进行细致的访问控制和权限管理。
不同级别的用户和资源之间可以设置不同的访问权限,以减少安全漏洞的风险。
3. 基于策略的数据保护:基于策略的数据保护能够根据数据的敏感程度和访问环境确定适当的数据安全措施。
例如,对于高度敏感的数据可以使用加密、数据分片或随机化等技术进行保护,以防止机密信息的泄露。
4. 连接性的控制:通过网络层面的隔离和访问控制措施,确保只有合法的用户和设备能够建立连接和传输数据。
通过使用虚拟专用网络(VPN)、入侵检测系统(IDS)和防火墙等技术,对网络流量进行安全筛查和过滤,以防止未经授权的访问和攻击。
5. 连续的监测和审计:为了及时发现和回应安全事件,需要对网络流量和设备活动进行连续的监测和审计工作。
通过使用安全信息和事件管理系统(SIEM)、行为分析和威胁情报等技术,可以及时发现异常行为和威胁,并采取相应的应对措施。
总结起来,零信任网络安全架构通过多层次的保护和访问控制措施,确保只有经过授权和验证的用户和设备才能访问到需要的资源,从而提高网络的安全性和保护隐私信息的能力。
零信任网络安全架构
零信任网络安全架构随着互联网的迅猛发展和数字化转型的推进,网络安全问题日益突出。
传统的网络安全模式已经无法应对不断进化的网络威胁,因此零信任网络安全架构应运而生。
零信任网络安全架构以“不信任、验证、权限最小化、隔绝”为原则,为企业提供更加安全的网络环境。
零信任网络安全架构的核心概念是“不信任”,即不信任任何网络中的主体。
传统的网络模式通常采用一个边界防御系统来保护内部网络免受外部的威胁,但是一旦入侵者越过了这个边界,他们就可以自由地在内部网络中移动和攻击。
相反,零信任网络安全架构采用一种“从零开始”的方法,将所有主体都视为潜在的威胁,并要求对其进行验证和授权才能访问网络资源。
验证是零信任网络安全架构的基础。
在这种模式下,用户、设备和应用程序都需要经过身份验证,以确认其身份和访问权限。
传统的用户名和密码验证方式已经变得不够安全,因为黑客可以通过各种手段获取用户的登录凭证。
因此,零信任网络安全架构通常采用多重身份验证技术,如双因素认证、生物识别等,以增加安全性。
权限最小化是零信任网络安全架构的另一个重要原则。
传统的网络模式通常给予用户过多的权限,这使得黑客在入侵后可以自由地操纵和获取敏感数据。
相比之下,零信任网络安全架构通过将用户的权限限制在最小范围内,即使黑客入侵了某个用户账户,也只能获得有限的权限,无法对整个网络造成灾难性的破坏。
隔离是零信任网络安全架构的另一个重要特性。
在传统网络模式中,一旦黑客入侵了一个主机,他们就可以自由地在网络中移动,攻击其他主机。
为了防止这种横向扩散的攻击,零信任网络安全架构采用了网络分割和隔离技术,将网络划分为多个只与特定用户或应用程序相关联的独立区域,从而有效地限制了攻击的范围。
零信任网络安全架构的实施需要综合使用各种技术和解决方案。
例如,企业可以使用虚拟专用网络(VPN)来为远程用户提供安全的访问方式,使用防火墙和入侵检测系统来监控和封锁网络入侵,使用数据加密和数据遗漏防护技术来保护敏感数据的隐私。
零信任是什么?为什么说“零信任”将成为网络安全流行框架之一
零信任是什么?为什么说“零信任”将成为网络安全流行框架之一随着信息技术的不断发展,网络安全问题日益突出,各种安全威胁对企业和个人的信息资产造成严重威胁。
在这样的背景下,传统的边界防御模式已然难以应对日益增长的网络威胁,零信任成为了备受关注的话题。
那么,零信任到底是什么?为什么有人说“零信任”将成为网络安全流行框架之一呢?首先,我们要了解什么是零信任。
零信任的理念最早由Forrester Research提出,它认为企业不应再信任内部网络,或者说在网络中,没有可信的内部与不可信的外部之分,需要将所有内部和外部连接都视为不安全。
简而言之,零信任是一种基于“从内到外”的安全理念,企业应该始终保持警惕,不轻易相信任何网络连接,即使是内部网络也不能被盲目信任。
为什么说“零信任”将成为网络安全流行框架之一呢?首先,传统的边界防御模式存在很多漏洞,例如入侵者可能通过社会工程学手段绕过防火墙、VPN等传统安全措施,对企业网络造成严重危害。
而零信任模式可以有效弥补这些漏洞,不再依赖传统的边界防御,而是通过多层次的验证和授权来保护网络安全。
这种解决方案更加全面、细致,可以及时发现并阻止潜在的安全威胁,提高网络安全的可靠性和韧性。
其次,随着云计算、移动办公等新型技术的快速发展,传统的边界防御显得力不从心。
员工可以随时随地访问企业网络,不再局限于办公室内,这也给传统安全策略带来了很大挑战。
而零信任模式恰恰可以很好地适应这种新型网络环境,它以用户和设备为中心,不再依赖网络的边界,可以更加灵活地应对不同的网络访问情况,有效保障企业信息资产的安全。
最后,零信任模式还能够提升企业的安全防护能力。
在传统模式下,一旦入侵者通过了网络的边界防线,往往可以在内部肆无忌惮地进行恶意操作,造成灾难性后果。
而零信任模式要求所有的网络请求都需要进行验证和授权,即使是处于内部网络的合法用户也不能授权范围以外的访问,有效地防止了内部威胁的发生。
这样一来,即使一个账号受到了攻击,攻击者也无法在内部网络中自由活动,降低了安全事件对企业的损失。
零信任网络安全架构
零信任网络安全架构随着互联网的快速发展,网络安全问题日益凸显,传统的防御手段已经无法满足当今复杂多变的网络威胁。
在这样的背景下,零信任网络安全架构应运而生,成为了当前网络安全领域的热门话题。
零信任网络安全架构是一种基于“不信任,始终验证”的理念,通过对网络内外的所有用户、设备和流量进行严格的验证和控制,实现对网络的全面保护。
本文将从零信任网络安全架构的概念、原则和实施方法等方面进行探讨。
首先,零信任网络安全架构的核心理念是“不信任”。
传统的网络安全模式往往是基于信任的,一旦内部网络遭受攻击,攻击者就可以在网络内部自由活动,造成更大的损失。
而零信任网络安全架构则认为内部网络同样不可信任,所有用户、设备和流量都需要经过严格的验证和控制,不给予任何信任。
这种基于“不信任”的理念,使得网络安全防御更加全面和有效。
其次,零信任网络安全架构的实施需要遵循一些基本原则。
首先是“最小权限原则”,即用户和设备只能获得完成工作所需的最低权限,避免过度的权限赋予导致安全风险。
其次是“持续验证原则”,即对用户、设备和流量进行持续的验证和监控,及时发现和阻止异常行为。
再次是“零信任原则”,即始终不给予内部网络任何信任,对所有的访问和流量都进行严格的验证和控制。
最后是“安全访问原则”,即通过安全的访问控制手段,确保用户和设备只能访问其需要的资源,避免未经授权的访问。
最后,零信任网络安全架构的实施方法包括多个方面。
首先是对网络内外的用户和设备进行身份验证和授权,确保其合法性和安全性。
其次是通过访问控制技术,对网络流量进行细粒度的控制和审查,防止恶意流量的传播。
再次是建立安全的隔离和分割机制,将网络划分为多个安全域,限制攻击者的活动范围。
最后是加强安全监控和日志审计,及时发现和应对网络安全事件,降低损失。
综上所述,零信任网络安全架构是一种基于“不信任,始终验证”的理念,通过严格的验证和控制,实现对网络的全面保护。
在当前复杂多变的网络威胁下,零信任网络安全架构成为了一种必要的安全防御手段。
零信任网络安全框架实施
零信任网络安全框架实施零信任网络安全框架实施随着互联网的迅速发展和深入应用,网络安全问题日益突出。
传统的网络安全防御手段逐渐失去效果,网络攻击者利用漏洞和技术手段不断进化,对企业和个人的信息安全构成了严重威胁。
面对这一情况,零信任网络安全框架应运而生。
零信任网络安全框架,又称为Zero Trust,是一种基于最小化信任的网络安全理念和架构。
它的核心思想是,不论是内部用户还是外部用户,都不能被默认为可信。
相反,所有的用户和设备都必须经过验证和授权才能够访问网络资源。
这种以“永不信任,始终验证”的理念,有效提升了网络安全的防御能力。
实施零信任网络安全框架需要从多个方面入手。
首先,企业需要建立一个严格的身份验证机制。
通过使用多重身份验证、单一登录和访问控制等----宋停云与您分享----技术手段,确保只有经过验证的用户才能够访问企业网络资源。
这可以防止未经授权的用户进入系统,从而降低了风险。
其次,企业需要对网络流量进行全面的可见性监控。
通过使用网络流量分析和行为分析等技术手段,企业可以及时发现网络安全威胁和异常行为,并采取相应的措施进行应对。
监控和分析网络流量,可以帮助企业快速识别并隔离潜在的攻击源,从而避免信息泄露和数据损失。
此外,企业还需要建立一个强大的访问控制策略。
通过使用网络隔离、权限管理和数据加密等技术手段,企业可以限制用户对敏感数据和系统资源的访问权限,确保数据的机密性和完整性。
有效的访问控制策略可以防止未授权的用户获取敏感信息,并防止内部用户滥用权限。
最后,企业需要定期进行漏洞扫描和安全评估。
通过定期检测网络设备和应用程序的漏洞,并及时修复和升级,可以有效降低网络攻击的风险。
----宋停云与您分享----此外,企业还可以进行安全评估,发现和修复潜在的安全漏洞和风险点,提升网络安全的整体水平。
总的来说,零信任网络安全框架可以帮助企业建立一个更加安全和可靠的网络环境。
通过严格的身份验证、全面的可见性监控、强大的访问控制策略和定期的漏洞扫描和安全评估,企业可以有效应对各种网络安全威胁,并保护企业和个人的信息安全。
“零信任”安全体系架构和实践
“零信任”安全体系架构和实践“零信任”安全体系是一种新型的安全架构,它将传统的基于边界的
网络安全模型完全颠覆,采用了一种全新的信任模型。
在“零信任”安
全体系中,所有的用户和设备都不再被默认信任,无论是内部还是外
部的网络。
这种安全体系要求验证每一个请求、每一个连接,即使是
来自内部网络的也不能例外。
“零信任”安全体系的基本原则是:不信任、始终验证、最小权限。
这意味着只有在验证了用户的身份和设备的安全状态后,才能允许其
访问需要的资源,而且只能访问必要的权限和数据。
这种安全体系能
够有效减少内部和外部威胁对系统的风险。
在实践中,构建“零信任”安全体系需要综合应用技术、策略和流程。
首先,需要建立强大的身份验证和访问控制机制,确保用户只能访问
他们被授权的资源。
其次,还需要部署行为分析和安全信息与事件管
理系统,用于监控和检测异常活动。
同时,不断更新和改进网络安全
政策和流程也是构建“零信任”安全体系的重要步骤。
除了技术和流程层面的准备,员工的安全意识培训也是构建“零信任”安全体系的关键。
员工是安全的第一道防线,他们需要了解安全政策、熟悉安全风险,并且知道如何报告安全事件。
只有所有员工都积
极参与到安全工作中,才能构建健壮的“零信任”安全体系。
总的来说,“零信任”安全体系架构和实践要求企业不断提升安全意识、加强技术防御、优化安全流程,从而构建一个多层次、全方位的
安全防护系统。
通过全面的安全措施和策略,企业可以更好地应对来自内部和外部的各种威胁,确保企业信息和系统的安全。
零信任安全技术参考框架
零信任安全技术参考框架
零信任安全技术参考框架是一种全新的安全模型,它基于“不信任,而验证”的理念,不再将安全建立在固定的边界内,而是将安全控制点分散在整个数据流程中。
在零信任安全模型中,用户、设备、应用程序、数据和网络都被视为潜在的安全威胁,只有在验证其身份和授权之后才能获得访问权限,从而提高了安全性。
零信任安全技术参考框架包括以下几个核心概念和技术:
1. 身份认证和访问控制:通过多因素身份认证、单点登录、访问控制等技术,实现对用户、设备、应用程序和数据的身份验证和授权管理。
2. 数据保护:包括数据加密、数据隔离、数据备份和灾备等技术,保护数据的完整性和可用性。
3. 安全事件监控和响应:通过日志审计、威胁检测、安全预警等技术,及时发现和响应安全威胁,从而减少安全漏洞和风险。
4. 网络安全:包括网络隔离、网络访问控制、入侵检测和防御等技术,保护网络的安全性和可用性。
5. 终端安全:包括终端加密、终端访问控制、漏洞修补等技术,保护终端设备的安全性和可控性。
零信任安全技术参考框架是一种全新的安全模型,它能够更有效地应对现代化的安全威胁,提高企业的安全水平。
同时,实施零信任安全模型也需要企业全面升级自己的网络安全设施和管理理念,是一项长期而艰巨的任务。
零信任架构(ZTA)解读
零信任架构(ZTA)解读现代企业的基础设施变得越来越复杂。
单个企业可能拥有多个内部网络、拥有自己可远程办公的基础设施、远程和移动个人设备,以及云服务等。
这种复杂性已经超过了基于边界的网络安全的传统方法能力,因为企业没有单一的、容易识别的边界。
基于边界的网络安全被证明是不够的,因为一旦攻击者突破边界,进一步的横向移动就不会受到阻碍。
这种复杂的企业基础设施的安全要求导致了一种名为“零信任”(Zero Trust, ZT)的网络安全新模式的发展。
零信任方法主要关注数据和服务的保护,但也扩展到包括所有企业资产(设备、基础设施组件、应用程序、虚拟和云组件)和主体(最终用户、应用程序和其他从资源中请求信息的非人类实体)的保护。
零信任安全模型假定环境中存在攻击者,并且企业拥有的环境与任何外部环境没有什么不同,即内部网络并不比外部网络更安全。
在这种新的模式中,企业不能有任何隐性的信任假设,并不断地分析和评估其资产和业务功能的风险,然后制定保护措施以减轻这些风险。
一、传统边界网络安全架构凸显的不足对传统的基于边界的网络安全防御架构,也称为城堡-护城河安全模式(Castle-and-Moat,图1),其主要策略是使攻击者很难从外部进入企业网络内部,而网络内部的每个设备和人员,默认都是受信任的。
但是一旦攻击者获得了访问企业内部网络资源的能力,就相当于为攻击者打开了一扇“自由之门”。
图1:城堡-护城河1) 基于边界的防御策略无法解决“内部人攻击”,以及系统被破坏之后,攻击者在网络内部的水平移动(Lateral movement)无法阻止,如图2.图2:基于边界的安全防御部署示意图2) 如今云化模式下,数据中心东西向流量占70%,而东西向流量都在传统边界防火墙之后(即不受边界防火墙的保护,如图3)图3:现在数据中心内部的流量远超过外部与数据中心之间的流量如今内部威胁导致的数据泄露日趋严重,安全防御一定要假定“网络一定会被攻破”,安全策略需要从被动防御走向主动防御。
零信任网络架构:保障组织的全面安全
零信任网络架构 在医疗行业的应 用:保护患者隐 私信息,防止医 疗数据泄露
挑战分析
安全风险:数 据泄露、网络
攻击等
技术挑战:实 现零信任架构
的技术难度
成本问题:实 施零信任架构
的成本较高
管理挑战:如 何有效管理零 信任架构下的
用和设备
解决方案
身份验证:采用多因素认证,确保用户身份的真实性 访问控制:实施最小权限原则,限制用户访问权限 数据加密:对传输和存储的数据进行加密,确保数据安全 安全监控:实时监控网络行为,及时发现并应对安全威胁 自动化响应:建立自动化响应机制,快速应对安全事件 安全培训:加强员工安全意识,提高应对安全威胁的能力
实施数据加密:对敏感数 据进行加密,防止数据泄 露。
实施网络隔离:对不同网 络进行隔离,防止网络攻 击。
实施安全审计:定期进行 安全审计,及时发现并修 复安全漏洞。
实施安全培训:对员工进 行安全培训,提高员工的 安全意识和技能。
安全防护效果评估
评估标准:安全性、可靠性、可用性
评估方法:模拟攻击、漏洞扫描、渗透测试
兼容性: 评估网络 架构的兼 容性,包 括与其他 系统、设 备、应用 等方面的 兼容性
选型步骤
评估方案:对不同零信任网 络架构方案进行评估,包括 安全性、性能、成本等方面
确定需求:明确零信任网络 架构的需求和目标
测试验证:在实际环境中进 行测试验证,确保方案的可
行性和稳定性
选型决策:根据评估结果和 测试验证结果,做出选型决
未来发展方向
技术挑战:如何实现零信任网络架构的高效、安全、稳定运行
解决方案:采用先进的加密技术、身份验证技术、访问控制技术等
应用领域:在政府、金融、医疗、教育等行业广泛应用
网络安全架构零信任技术研究报告
网络安全架构零信任技术研究报告2020年9月构一、零信任将成为数字时代主流的网络安全架构1.1 零信任是面向数字时代的新型安全防护理念零信任是一种以资源保护为核心的网络安全范式。
《零信任网络:在不可信网络中构建安全系统》一书对零信任安全进行了简要归纳和概况:1)网络无时无刻不处于危险的环境中;2)网络中自始至终都存在外部或内部威胁;3)网络位置不足以决定网络的可信程度;4)所有的设备、用户和网络流量都应当经过认证和授权;5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。
因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的,需要基于认证和授权重构访问控制的信任基础。
零信任的雏形最早源于 2004 年耶利哥论坛提出的去边界化的安全理念,2010 年 Forrester 正式提出了“零信任”(Zero Trust,ZT)的术语。
经过近十年的探索,零信任的理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。
图 1:零信任概念演进历程图数据来源:中国信通院,市场研究部数字时代下,旧式边界安全防护逐渐失效。
传统的安全防护是以边界为核心的,基于边界构建的网络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM 及入侵防御检测等安全产品的组合将安全攻击阻挡在边界之外。
这种建设方式一定程度上默认内网是安全的,而目前我国多数政企仍然是围绕边界来构建安全防护体系,对于内网安全常常是缺失的,在日益频繁的网络攻防对抗中也暴露出弊端。
而云大物移智等新兴技术的应用使得 IT 基础架构发生根本性变化,可扩展的混合IT 环境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势,传统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全防护效果有限。
面对日益复杂的网络安全态势,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势。
零信任安全架构-第1篇
零信任安全架构
终端安全与检测
终端安全与检测
▪ 终端安全基线
1.制定严格的终端安全基线标准,包括操作系统、应用软件、 防病毒软件等方面的安全配置。 2.定期检查和审计终端设备的安全配置,确保符合安全基线标 准。 3.加强终端用户的安全意识教育,提高用户遵守安全规定的自 觉性。
▪ 终端威胁检测与防御
网络隔离与微隔离
网络隔离与微隔离
▪ 网络隔离与微隔离概述
1.网络隔离与微隔离是零信任安全架构中的重要组成部分,旨 在防止网络攻击和数据泄露。 2.网络隔离是将不同的网络区域分开,限制不同区域之间的访 问权限,以减少攻击面。 3.微隔离是在同一网络区域内,对不同的应用或服务进行隔离 ,防止攻击者在不同应用或服务之间横向移动。
▪ 总结
1.身份管理与访问控制是零信任安全架构的重要组成部分,对于保护企业网络安全具有重要意 义。 2.企业需要根据自身情况选择适合的身份管理与访问控制技术,并进行合理的集成和实施。 3.未来身份管理与访问控制将更加注重智能化、用户体验和数据安全,企业需要密切关注并跟 进新技术的发展和应用。
零信任安全架构
零信任架构的核心组件
▪ 威胁情报
1.威胁情报是零信任安全架构的重要组成部分,需要提供实时 的安全威胁信息。 2.通过收集和分析网络流量、日志等数据,发现异常行为,及 时预警和处置。 3.结合人工智能和机器学习技术,提高威胁情报的准确性和自 动化水平。
▪ 持续监控与改进
1.持续监控和改进是实现零信任安全架构的重要环节,需要定 期对网络安全状况进行评估。 2.通过监控和分析网络行为、安全事件等数据,发现安全隐患 和改进点,及时调整安全策略。 3.加强与业务部门的沟通协作,将网络安全与业务发展紧密结 合,提升整体安全水平。
零信任网络安全架构
零信任网络安全架构零信任网络安全架构是一种新的网络安全架构思想,其核心理念是“不相信、不验证、不信任”,意味着任何用户和设备在网络中需要获得访问权限和资源时都必须进行严格的验证和授权。
传统的网络安全模型通常基于企业内外网络的分隔,要么在内部信任,要么在外部信任。
而零信任网络安全架构则认为内部和外部的安全风险都存在,并且将所有网络内的资源都视为被威胁的,需要进行验证和授权。
零信任网络安全架构尤其适用于异构网络环境和云计算环境中,它提供了以下几个关键特性:1. 多重认证和授权:用户在访问网络资源时,需要进行多重身份验证,包括用户名密码验证、生物特征验证、设备认证等,确保用户的真实身份与权限一致。
2. 细粒度访问控制:零信任网络安全架构强调对网络资源的细粒度访问控制,通过网络访问策略和基于角色的访问控制来限制用户对特定资源的访问权限,防止用户越权访问。
3. 实时威胁检测与分析:零信任网络安全架构采用实时威胁检测和分析技术,对网络中的流量和行为进行实时监控和分析,及时发现并应对潜在的安全威胁。
4. 数据加密和隔离:零信任网络安全架构要求对敏感数据进行加密存储和传输,并且通过数据隔离技术将不同的数据彼此隔离,防止数据泄露和滥用。
5. 可扩展性和灵活性:零信任网络安全架构具有良好的可扩展性和灵活性,能够适应不同规模和复杂程度的网络环境,便于根据需求进行自定义配置。
零信任网络安全架构提供了一种更加安全和高效的网络安全解决方案,它摒弃了传统信任模式,通过多重验证和细粒度访问控制来提高网络安全性,同时实时监控和分析网络流量和行为,及时应对潜在的安全威胁。
随着网络安全威胁的不断增加和网络环境的不断演变,零信任网络安全架构将会越来越成为网络安全的主流架构。
零信任架构网络安全解决方案
零信任架构网络安全解决方案发布时间:2022-01-12T02:38:31.905Z 来源:《现代电信科技》2021年第13期作者:乔阳[导读] 随着网络的飞速发展,各种类型的网站都在慢慢增加,这些网上购物平台也是层出不穷。
而我们现在最需要的是一个安全可靠、高效便捷、可扩展性强且能解决大多数问题。
因此如何让人们使用起来更加方便快捷成为了当下社会所关注的话题之一。
(中通服咨询设计研究院有限公司江苏南京 210019)摘要:随着信息的快速发展,网络安全问题日益严重,特别是网络黑客。
他们通过各种手段来盗取用户账号和密码、利用计算机系统漏洞窃取商业机密。
在互联网上最重要的是数据,因此我们必须加强对信息安全技术方面的研究才能保证网上交易平台能够健康有序地运作下去,同时也需要提高人们保护个人隐私权意识与能力等因素来保障信息不被非法分子盗用从而得到应有得惩戒措施。
关键词:网络安全;解决方案;零信任一、引言随着网络的飞速发展,各种类型的网站都在慢慢增加,这些网上购物平台也是层出不穷。
而我们现在最需要的是一个安全可靠、高效便捷、可扩展性强且能解决大多数问题。
因此如何让人们使用起来更加方便快捷成为了当下社会所关注的话题之一。
由于互联网具有开放性、共享性和可控化等特点,使得其在现代社会中扮演着越来越重要的角色。
而我们所熟悉到的网络是一个虚拟世界并存在于地球上这就意味着这个人对他所有信息都有了自己独特见解且在不经意间泄露出去并且不会被他人发现以及攻击者利用这些消息来进行攻击,从而达到危害国家政治、经济秩序和人民生活秩序等目的。
二、零信任技术研究(一)零信任的概念我们都知道,信任这个词最早是由在 17 世纪出现的“诺言理论” 提出。
随着时间发展和科技进步,人们对于信息安全越来越重视。
所谓零信任(RSB)就是指用户对自己所持有或使用过的所有与现实情况相联系而不相信网络中其他人都是理性且有意义的话语权以及他人是否能够认可这些观点都没有一个很好地解释说明,这就导致了人们在进行交流时总是会把对方当做自己的对立面来对待和接受。
基于零信任的网络安全架构研究与应用
基于零信任的网络安全架构研究与应用零信任(Zero Trust)网络安全架构是一种以保护网络和数据为中心的安全模型,它建议在网络中实施强制的身份验证和访问控制,无论是来自内部还是外部的用户都不能被默认信任。
这种安全模型有助于预防内部和外部威胁,并提高组织对网络和数据的保护。
零信任网络安全架构的设计原则之一是将网络划分为多个“安全区域”或“微型区域”,而不是传统的内部和外部网络划分。
每个安全区域都必须有严格的访问控制,这需要实施基于身份认证、授权和细分网络资源的访问控制策略。
在零信任网络安全架构中,认证和授权是非常重要的。
认证涉及验证用户的身份,以确保他们有权访问所请求的资源。
授权控制则决定用户可以访问哪些资源。
这两个步骤通常结合使用,以确保网络中的每个用户都只能访问其所需的资源,并且只有在获得适当授权后才能进行访问。
另一个重要的概念是 Zero Trust Access(ZTA),即通过认证用户、设备和应用程序,并在访问资源时以最小权限原则授予访问权限。
这意味着用户只能访问他们工作所需的资源,无论是在公司网络中还是云环境中。
任何其他请求都需要经过严格的验证和授权。
零信任网络安全架构还有一个关键的组成部分是持续监控和审计。
这意味着网络中的每个用户和设备活动都需要被记录和监控,以及进行异常检测和分析。
这有助于识别潜在的威胁和漏洞,并采取适当的措施进行响应。
实施零信任网络安全架构可以通过以下步骤来进行:1.评估和识别关键资产:了解和评估组织中最重要的数据和资源,以便确定需要保护的范围。
2. 制定访问控制策略:基于 Zero Trust 的原则制定严格的访问控制策略,包括身份验证、授权和访问管理。
3.选择适当的技术工具:选择适合组织需求的身份验证、访问控制和安全监控工具,以实现零信任网络安全架构。
4.实施多层次的安全措施:不仅仅依赖单一的安全措施,而是建立多层次的安全防御,以增强网络的安全性。
5.培训员工和用户:提供相关的培训和教育,以确保员工和用户了解零信任网络安全架构的原则和实践,做到安全意识。
网络安全中的零信任架构
网络安全中的零信任架构在当今数字化的时代,网络安全已成为企业和组织面临的关键挑战之一。
随着云计算、移动办公和物联网的普及,传统的基于边界的网络安全模型逐渐显露出其局限性。
在这种背景下,零信任架构作为一种全新的网络安全理念应运而生,为保护企业的数字资产提供了一种更具前瞻性和适应性的方法。
那么,什么是零信任架构呢?简单来说,零信任架构的核心思想是“默认不信任,始终验证”。
它摒弃了传统网络安全中“内网可信,外网不可信”的假设,认为无论是来自内部还是外部的访问请求,都应该经过严格的身份验证和授权。
在零信任架构中,没有默认的信任区域,每个访问请求都被视为潜在的威胁,需要进行持续的评估和验证。
零信任架构的出现并非偶然。
传统的网络安全模型通常依赖于防火墙、入侵检测系统等边界防护设备来保护企业的网络。
然而,随着企业数字化转型的加速,越来越多的业务应用迁移到云端,员工也开始采用移动设备进行办公,企业的网络边界变得越来越模糊。
在这种情况下,传统的边界防护手段难以有效地应对复杂多变的网络威胁。
例如,一旦攻击者突破了企业的网络边界,就可以在内部网络中自由移动,获取敏感信息。
而零信任架构则通过对每个访问请求进行细粒度的控制,有效地降低了这种风险。
在零信任架构中,身份认证和授权是至关重要的环节。
为了确保只有合法的用户和设备能够访问企业的资源,零信任架构采用了多种身份认证技术,如多因素认证、生物识别认证等。
同时,授权策略也变得更加精细和动态,根据用户的身份、设备的状态、访问的时间和地点等因素来决定用户能够访问的资源和操作权限。
例如,一个在公司内部办公的员工可能拥有较高的权限,而当他在外地通过公共网络访问企业资源时,权限可能会受到限制。
此外,零信任架构还强调对网络流量的实时监测和分析。
通过使用深度包检测、机器学习等技术,对网络中的流量进行实时监控,及时发现异常行为和潜在的威胁。
一旦检测到可疑的流量,系统会立即采取措施,如阻断访问、发出警报等,以防止威胁的进一步扩散。
零信任网络安全架构
零信任网络安全架构
网络安全架构是保护网络系统免受恶意攻击的重要组成部分。
传统的网络安全架构依赖于信任模式,其中用户和设备在连接网络时被视为可信任的。
然而,随着技术的不断发展和恶意攻击的日益增多,传统的信任模式变得不再有效。
为了应对日益复杂的网络威胁,零信任网络安全架构应运而生。
零信任网络安全架构基于一种基本的假设,即在网络中没有任何用户或设备可以被信任。
这意味着每个用户和设备在访问网络资源时都必须经过验证和授权。
在零信任网络安全架构中,所有的用户和设备都被视为潜在的威胁。
因此,访问控制策略必须基于实时的身份认证、设备健康状态和行为监测。
访问控制可以通过多种形式实施,如多重身份验证、网络分割和权限管理。
此外,关键数据和应用程序应该得到特殊保护。
数据加密、访问审计和行为分析等技术可以帮助防止数据泄露和未经授权访问。
网络流量监测和威胁情报也应该与零信任网络安全架构相结合,以便及时识别和应对潜在的威胁。
综上所述,零信任网络安全架构是一种更加灵活和安全的方式来保护网络系统。
它提供了一种全面的、分层次的防御机制,以确保网络环境的安全性和可靠性。
通过采用零信任原则,组织可以更好地保护敏感信息和资源免受未经授权的访问和损害。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录一、零信任将成为数字时代主流的网络安全架构 (5)1.1 零信任是面向数字时代的新型安全防护理念 (5)1.2 “SIM”为零信任架构的三大关键技术 (6)1.3 零信任安全应用场景丰富 (10)二、零信任已从概念走向落地,迎来强劲风口 (11)2.1 中美双双加码零信任安全 (11)2.2 零信任安全正在普及应用 (13)2.3 海外零信任产业已初具规模,国内即将步入建设高峰 (15)三、投资建议 (16)3.1 奇安信:网络信息安全龙头,专注于新型安全领域 (16)3.2 美亚柏科:国内电子数据取证行业龙头,大数据智能化、网络安全专家 (18)3.3深信服:领先的信息安全企业,从零信任到精益信任 (20)3.4启明星辰:老牌网络安全龙头,零信任管控平台为多种应用场景提供安全保障 (21)3.5安恒信息:网络安全后起之秀,新兴安全业务发展迅速 (22)3.6绿盟科技:领先的网络安全解决方案供应商,产品逐步向零信任安全架构迁移 (23)3.7南洋股份:国内防火墙龙头企业,持续推动零信任安全理念的落地实践 (24)3.8山石网科:边界安全领域领导厂商 (25)3.9格尔软件:国内PKI领先企业 (27)图表目录图1:零信任概念演进历程图 (5)图2:传统边界安全防护架构 (6)图3:云计算等新兴技术带来传统安全边界消失 (6)图4:零信任架构总体框架图 (7)图5:实现零信任架构的三大关键技术“SIM” (7)图6:SDP的组成架构 (8)图7:零信任身份与访问管理 (9)图8:基于零信任架构的远程办公安全参考架构 (10)图9:数据中心安全接入区案例示意图 (10)图10:基于零信任架构的云计算平台安全参考架构 (10)图11:零信任架构适应各类功能场景 (11)图12:基于零信任架构的远程办公安全参考架构 (12)图13:面对当前安全访问挑战所需的安全措施 (13)图14:采纳零信任安全模型的组织比例 (13)图15:受访者看重的零信任优点 (14)图16:零信任主要的应用领域 (14)图17:零信任迁移方法 (14)图18:零信任扩展的生态系统平台提供商(2019Q4) (16)图19:奇安信协同联动防护体系 (17)图20:奇安信零信任安全解决方案 (17)图21:奇安信零信任安全解决方案与参考架构的关系 (17)图22:奇安信零信任远程访问解决方案架构 (18)图23:美亚柏科“四大产品”及“四大服务” (18)图24:美亚柏科城市大脑逻辑架构 (19)图25:深信服主营业务 (20)图26:深信服精益信任解决方案架构 (21)图27:深信服精益信任动态访问控制 (21)图28:启明星辰全流程安全产品布局 (21)图29:启明星辰零信任体系架构 (22)图30:零信任管控平台典型应用场景 (22)图31:安恒信息产品体系全线概览图 (22)图32:安恒信息依托零信任体系确保云上业务的接入访问可信 (23)图33:绿盟科技安全产品线 (23)图34:绿盟科技安全运营架构 (23)图35:绿盟科技零信任安全解决方案 (24)图36:绿盟科技零信任网络访问控制 (24)图37:天融信以下一代防火墙为基础的安全防御体系 (25)图38:天融信工控主机卫士系统 (25)图39:山石网科主要产品及服务矩阵 (26)图40:山石云.格主要功能 (26)图41:格尔软件PKI系统架构 (27)表1:微隔离三大技术路线 (9)表2:美国各组织发布的零信任相关报告 (12)表3:我国零信任相关政策及标准 (13)表4:海外零信任解决方案市场供应商分析 (15)表5:重大会议上提及“新基建”情况 (19)表6:零信任与VPN在通用办公场景的对比 (24)表7:公司非公开发行预案募投项目一览 (27)一、零信任将成为数字时代主流的网络安全架构1.1 零信任是面向数字时代的新型安全防护理念零信任是一种以资源保护为核心的网络安全范式。
《零信任网络:在不可信网络中构建安全系统》一书对零信任安全进行了简要归纳和概况:1)网络无时无刻不处于危险的环境中;2)网络中自始至终都存在外部或内部威胁;3)网络位置不足以决定网络的可信程度;4)所有的设备、用户和网络流量都应当经过认证和授权;5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。
因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不可信的,需要基于认证和授权重构访问控制的信任基础。
零信任的雏形最早源于2004年耶利哥论坛提出的去边界化的安全理念,2010年Forrester正式提出了“零信任”(Zero Trust,ZT)的术语。
经过近十年的探索,零信任的理论及实践不断完善,逐渐从概念发展成为主流的网络安全技术架构。
图1:零信任概念演进历程图数字时代下,旧式边界安全防护逐渐失效。
传统的安全防护是以边界为核心的,基于边界构建的网络安全解决方案相当于为企业构建了一条护城河,通过防护墙、VPN、UTM及入侵防御检测等安全产品的组合将安全攻击阻挡在边界之外。
这种建设方式一定程度上默认内网是安全的,而目前我国多数政企仍然是围绕边界来构建安全防护体系,对于内网安全常常是缺失的,在日益频繁的网络攻防对抗中也暴露出弊端。
而云大物移智等新兴技术的应用使得IT基础架构发生根本性变化,可扩展的混合IT 环境已成为主流的系统运行环境,平台、业务、用户、终端呈现多样化趋势,传统的物理网络安全边界消失,并带来了更多的安全风险,旧式的边界安全防护效果有限。
面对日益复杂的网络安全态势,零信任构建的新型网络安全架构被认为是数字时代下提升信息化系统和网络整体安全性的有效方式,逐渐得到关注并应用,呈现出蓬勃发展的态势。
图2:传统边界安全防护架构图3:云计算等新兴技术带来传统安全边界消失1.2 “SIM”为零信任架构的三大关键技术零信任的本质是以身份为中心进行动态访问控制。
零信任对访问主体与访问客体之间的数据访问和认证验证进行处理,其将一般的访问行为分解为作用于网络通信控制的控制平面及作用于应用程序通信的数据平面。
访问主体通过控制平面发起访问请求,经由信任评估引擎、访问控制引擎实施身份认证及授权,获得许可后系统动态数据平面,访问代理接受来自主体的数据,从而建立一次可信的安全访问链接。
过程中,信任评估引擎将持续进行信任评估工作,访问控制引擎对评估数据进行零信任策略决策运算,来判断访问控制策略是否需要作出改变,若需要作出改变时,将及时通过访问代理中断此前连接,从而有效实现对资源的保护。
综上,可将零信任架构原则归纳为以下五个:将身份作为访问控制的基础:零信任架构对网络、设备、应用、用户等所有对象赋予数字身份,基于身份来构建访问控制体系;最小权限原则:零信任架构中强调资源按需分配使用,授予的是执行任务所需的最小特权,并限制资源的可见性;实时计算访问控制策略:零信任的授权决策根据访问主体的身份、权限等信息进行实时计算,形成访问控制策略,一旦授权决策依据发生变化,将重新进行计算,必要时将即时变更授权决策;资源受控安全访问:零信任架构对所有业务场景及资源的每一个访问请求都进行强制身份识别和授权判定,符合安全策略才予以放行,实现会话级别的细粒度访问控制,同时所有的访问连接均须加密;基于多源数据进行信任等级持续评估:零信任架构中访问主体的信任等级是根据实时多源数据(如身份、权限、访问日志等)计算得出,人工智能技术提高了信任评估策略的计算效率,实现零信任架构在安全性、可靠性、可用性及成本方面的综合平衡。
图4:零信任架构总体框架图“SIM”,即SDP(软件定义边界)、IAM(身份与访问管理)、MSG(微隔离)是实现零信任架构的三大关键技术。
NIST(美国国家标准委员会)在2019年发布的《零信任架构ZTA》白皮书中,总结出实现零信任架构的三大核心技术“SIM”,分别是“S”,即SDP(软件定义边界);“I”,即IAM(身份与访问管理);“M”,即MSG(微隔离)。
图5:实现零信任架构的三大关键技术“SIM”1)SDP(软件定义边界)SDP技术是通过软件的方式,在“移动+云”的背景下构建起虚拟,利用基于身份的访问控制及完备的权限认证机制提供有效的隐身保护。
SDP是由云安全联盟(CSA)开发的一个安全框架,其体系结构主要包括SDP客户端、SDP控制器及SDP网关这三个组件,其中客户端主要负责验证用户身份,将访问请求转发给网关,控制器负责身份认证及配置策略,管控全过程,网关主要保护业务系统,防护各类网络攻击,只允许来自合法客户端的流量通过。
SDP可将所有应用程序隐藏,访问者不知应用的具体位置,同时所有访问流量均通过加密方式传输,并在访问端与被访问端之间点对点传输,其具备的持续认证、细粒度的上下文访问控制、信令分离等防御理念可有效解决企业业务拓展中的安全问题,成为了零信任理念的最佳践行之一。
图6:SDP的组成架构2)IAM(身份与访问管理)全面身份化是零信任架构的基石,零信任所需的IAM技术通过围绕身份、权限、环境等信息进行有效管控与治理,从而保证正确的身份在正确的访问环境下,基于正当理由访问正确的资源。
随着数字化转型的不断深入,业务的云化、终端的激增均使得企业IT环境变得更加复杂,传统静态且封闭的身份与访问管理机制已不能适应这种变化,因此零信任中的IAM将更加敏捷、灵活且智能,需要适应各种新兴的业务场景,能够采用动态的策略实现自主完善,可以不断调整以满足实际的安全需求。
图7:零信任身份与访问管理3)MSG(微隔离)微隔离通过细粒度的策略控制,可以灵活地实现业务系统内外部主机与主机的隔离,让东西向流量可视可控,从而更加有效地防御黑客或病毒持续性大面积的渗透和破坏。
当前微隔离方案主要有三种技术路线,分别是云原生微隔离、API对接微隔离以及主机代理微隔离,其中主机代理微隔离更加适应新兴技术不断更迭及应用带来的多变的用户业务环境。
表1:微隔离三大技术路线1.3 零信任安全应用场景丰富今年在疫情及新基建的双重刺激下,远程办公、云计算得到快速发展,政府大数据快速推进,对于零信任安全建设的必要性亦大大增强。
而基于零信任的安全架构可以很好地兼容云计算、大数据、物联网等各类新兴应用场景,支持远程办公、多云环境、多分支机构、跨企业协同等复杂网络架构。
如适用于远程办公的零信任安全架构,不再区分内外网,在人员、设备及业务之间构建虚拟的、基于身份的逻辑边界,实现一体化的动态访问控制体系,不仅可以减少攻击暴露面,增强对企业应用和数据的保护,还可通过现有工具的集成大幅降低零信任潜在建设成本。
在大数据中心的应用场景中,东西向流量大幅增加,传统以南北向业务模型为基础研发的安全产品已不适用,零信任架构可通过微隔离技术实现有效防护。