您的位置:360文档中心› 零信任安全呼唤新思维和新举措

零信任安全呼唤新思维和新举措

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

1022019.02
信息安全
Security 责任编辑:赵志远 投稿信箱:netadmin@
虚拟化服务器迈进,并且很多企业已经实施了一种基于
微服务和容器的软件开发模式。

所以,在计算和应用层实施零信任要从将颗粒化和分布式安全提交给虚拟机、微服务、容器开始。

很多厂商的工具可以提供基于容器的安全,还有的工具可协助实现微服务安全。

但是,网络基础设施的成熟度却低得多。

很多企业仍通过物理设备的组合(交换机、路由器、防火墙、负载均衡器、网关等设备)来构建网络。

在一个网络基础架构内部实施零信任安全的一个关
键步骤就是虚拟化迁移。

在数据中心和WAN 内部实施SDN 提供了必要的平台,可以将网络和网络安全功能实例变为虚拟机而非物理设备。

例如,防火墙可能成为一体化SD-WAN 设备中的防火墙虚拟机。

这又使功能的自动化和颗粒化我们都听说过“零信任安全”,但未必确切地知道应该如何实施,其
中部分原因在于这个名称。

零信任听起来很不错,但将此概念付诸实施简直是不可能的。

如果用户们根本不信任任何系统、用户、设备、应用或是过程,企业将无法运转。

零信任的一种准确的名称可能是高度颗粒化和分布式的信任。

也就是说,零信任背后的概念其实是分布式信任的高度颗粒化的控制。

A 设备和B 设备之间的会话可能是被允许的,但并非所有的会话都是允许的,或者说并非设备A 和B 之间的所有会话类型都可信。

高度颗粒化和分布式信任这两个概念形成了零信任安全的两个关键要素。

零信任依赖并要求对系统和数据的深入理解,因而IT 才能围绕系统、过程、应用和无处不在的用户部署有意义的边界。

因而,零信任安全要求
IT 彻底地重新思考网络,其中包括传统和独立的路由器、防火墙、分布式拒绝服务攻击防御系统、网络分段产品及所有其他网络元素的角色。

安全功能正日益被虚拟化和模块化为虚拟设备和虚拟化的网络功能,并且能够在必要时在企业整个基础架构中实施。

零信任还将安全的自动化置于“安全运维”的中心地位,并且拥有自动化的所有好处:可靠性、灵活性、可扩展性。

实用举措
网络安全专业人士如何将高度颗粒化和分布式信任、重新思考网络设计、实施自动化等转变为实用的措施呢?
首先需要做的是虚拟化。

计算和应用程序的虚拟化相对成熟。

多数企业已经朝着
零信任安全呼唤新思维和新举措
■ 山东 林辉玉 赵长林
编者按:如果我们理解了零信任安全模式背后的基本要领,那么实施在本质上不相信任何人和物的安全策略未必是不可能完成的任务。

【下转第103页】
103
责任编辑:赵志远 投稿信箱:netadmin@
2019.02信息安全
Security
控制成为可能。

达到零信任
很多传统的安全和网络厂商及新兴厂商都提供这些类型的虚拟化产品,提供对个别会话的颗粒化控制,并且能够对网络许可提供动态的重新配置。

对于企业来说,重新关注传统的和新兴的厂
商,评估其虚拟化的程度是非常值得的。

在选择工具时,非常重
要的一点是要考虑集中化的策略。

有些厂商正开始在网络策略引擎方面发挥作用,为合作伙伴的一系列能够实施集中化策略的技术提供支持。

不管企业希望哪个厂商成为策略引擎,非常关键的问题是,要考虑拥有一种集
中化的策略仓库,企业可以做出能够波及到整个基础架构的变化。

即使零信任安全并不是其名称所暗示的那样,它也将最终改变一切。

而且,在实施零信任安全时,网络的基础架构是最薄弱的环节,所以企业应特别关注对企业网络的基础架构实施虚拟化,并保障其安全。

创建了以前未知的攻击手段。

而这些传统安全产品无法检测的未知的攻
击手段,就是未知威胁。

究其主要原因可以总结为“三个看不见”,即看不见黑客发起的内网横向攻击、看不见内部人员的违规操作以及看不见内网异常行为。

安全态势感知平台技术介绍
安全态势感知平台是一套基于行为和关联分析技术
很多单位对网络安全问题没有足够重视和清晰认识,如今利用边界防护设备阻
止黑客进入单位内网是难以做到的,事后检测和响应便成了网络安全工作的重点。

因此,全网安全感知平台的试点是要协助气象单位更快更准地检测入侵行为,从而减少攻击给单位造成的损失。

安全态势感知平台试点前
笔者单位经过多年的安
全投入,分别在互联网、广域网及数据中心区域部署了众多边界安全防护措施,但随着当前各类攻击手段的不断更新,难以及时发现黑客入侵,只能通过每月的整网安全巡检来检测和修正。

单位当前大多数传统安全防御是
建立在已知威胁上的,为了绕过传统安全防御,攻击者
安全态势感知平台在气象局信息安全中的应用
编者按:本文通过基于行为和关联分析技术的安全态势感知平台在气象信息系统的部署测试,对全网流量进行
安全检测的应用效果分析,从而真正实现看清业务逻辑、看见潜在威胁、看懂安全风险,实现安全态势可视化。

■ 贵州省气象信息中心 汪华 李珏 李波 谭海波 白滔
【上接第102页】。

相关文档
最新文档