数智资源网
首页 首页 云计算 查看内容

火的一塌糊涂的“零信任”是什么?

木马童年 2020-6-19 15:55 161 0

要说网络安全行业 2020 年最火的词,莫过于零信任(Zero Trust)了。 关于零信任的话题,只要有人开个头,总能在安全圈里引起诸多讨论。 什么是零信任? 蔷薇灵动 CEO 严雷的表述非常精炼:“零信任,有两层意思,一 ...

要说网络安全行业 2020 年最火的词,莫过于零信任(Zero Trust)了。

关于零信任的话题,只要有人开个头,总能在安全圈里引起诸多讨论。

什么是零信任?

蔷薇灵动 CEO 严雷的表述非常精炼:“零信任,有两层意思,一个是没有默认的信任,必须要经过验证才能信任。第二个是没有永久的信任,必须要持续观察,确保你的行为不超越你的授权,或者说不与你所在组的行为基线发生偏移。”

那么零信任是不是就意味着不信任呢?网络的建立是为了通信的,在一个完全零信任的环境下,网络体系还怎么构建?

天防安全 CEO 段伟恒说:“零信任是不信任到信任经历的过程体系。”只有以不信任为出发,才能确保建立充分的信任。

根据公开信息,零信任并非特指某一特定技术,而是一个安全领域的全新理念,一个新的网络安全体系架构。

简单来说,在零信任的体系架构下,除非受保护的网络明确知道接入者的身份和授权,否则默认情况下不信任企业网络内部和外部的任何人 / 设备 / 应用。

传统的网络安全架构下,需要建立完备的边界安全解决方案,典型如防火墙、IDPS 等方案。但是,这样架构的前提是网络需要有一个明确的边界,随着互联网进入云计算物联网时代,各种公有云、私有云和混合云形态各异,各种信息网络、移动互联网、工业物联网车联网……网络安全边界已经逐渐模糊和濒临瓦解。

这种情况下,以往的传统边界安全控制体系远远不能满足要求,访问控制的颗粒度需要进一步下沉,从网络边界下沉到每个用户和设备。

因此,零信任体系架构应运而生。

由此可见,

零信任的基础之一是身份,网络中的用户、应用程序和设备,都被赋予了特定的数字身份。

零信任的基础之二是权限,与身份相生相伴。按照最小权限原则细化访问控制颗粒度,动态分配权限。

零信任的基础之三是边界,每个人 / 设备 / 应用都形成了自有的网络访问控制边界。没有身份和权限,原有的边界内部的也不能访问。

火的一塌糊涂的“零信任”是什么?

从 2004 年出现网络无边界的零信任雏形,到 2010 年“永不信任,始终验证”的零信任概念提出,到目前的零信任架构趋于成熟,经历了一个比较长的时间周期。早期的零信任雏形,是为了应对网络无边界的问题,聚焦于微隔离,将数据中心和园区网络或云划分为较小的隔离段,来限制攻击在网络边界内部横向移动的能力。

而零信任发展到今天,已经形成了一个全新的网络安全体系架构,以应对现代复杂的企业网络基础设施,应对日益严峻的网络威胁形势。

2020 年 4 月 10 日,Gartner 与奇安信集团联合发布《零信任架构及解决方案》白皮书,对零信任架构进行了全面解析。

在白皮书中,将零信任的关键能力概括为:“以身份为基石、业务安全访问、持续信任评估、动态访问控制”。构筑以身份为基石的动态虚拟边界产品与解决方案,助力企业实现全面身份化、授权动态化、风险度量化、管理自动化的新一代网络安全架构。

火的一塌糊涂的“零信任”是什么?

图片来源:奇安信集团

以身份为基石:用户、应用程序和设备的数字身份,取代网络位置,成为访问控制体系的核心。而用户权限则与身份相关,遵循动态的最小权限原则,动态分配所需要的用户权限。

业务安全访问:通过将业务资产(应用、服务、接口、数据)的访问路径隐藏在零信任架构组件之后,默认对访问主体不可见,只有经过认证、具有权限、信任等级符合安全策略要求的访问请求才予以放行。

持续信任评估:通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。

动态访问控制:通过访问控制模型实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预。

既然是一个全新的网络安全架构,那要实现真正的零信任,就面临整个网络安全体系的重构,是一个复杂的大工程。

我们来看一下奇安信的零信任安全解决方案,主要包括奇安信 TrustAccess 动态可信访问控制平台、奇安信 TrustID 智能可信身份平台、奇安信 ID 智能手机令牌及各种终端 Agent 组成。

火的一塌糊涂的“零信任”是什么?

图片来源:奇安信集团

可以明确的一点是,零信任已经成了整个安全行业关注的焦点,已经成为行业未来发展趋势。不同的企业,从不同的领域,不同的产品维度,纷纷植入零信任理念。

比如网络安全巨头奇安信推出的零信任安全解决方案,结合自身产品优势,嵌入了强大的网络安全功能模块;比如网络新秀数篷科技,刚刚获得 A 轮融资(投资方为时代资本、基石资本、松禾资本、经纬中国),推出了零信任自适应安全计算平台;比如企业级混合云服务商青云 QingCloud,推出统一认证与访问鉴权管理服务,实现企业零信任安全架构的构建……

网络安全 解决方案 互联网 云计算 物联网时代 公有云
0
为您推荐
Docker、Jenkins企业实战视频教程附文档24课,资源教程下载

Docker、Jenkins企业实战视频教程附文档24

课程名称Docker、Jenkins企业实战视频教程附文档24课,资源教程下载课程介绍通过本次D…...

企业级Docker Swarm集群项目部署+Compose案例实战,Docker容器技术深入解读实战课程下 ...

企业级Docker Swarm集群项目部署+Compose案

课程名称企业级Docker Swarm集群项目部署+Compose案例实战,Docker容器技术深入解读实…...

Vmware Vsphere5.5,虚拟化数据中心视频教程下载

Vmware Vsphere5.5,虚拟化数据中心视频教

课程目录:01、第01章介绍企业级虚拟化:企业级虚拟化.mkv02、第01章介绍企业级虚拟化…...

华为HCNA-Cloud,云计算认证全面解读视频教程下载

华为HCNA-Cloud,云计算认证全面解读视频教

课程目录:第一集:云计算的背景和概念.mp4第七集:计算虚拟化技术.mp4第三集:云计算…...

Docker框架解读,极客学院Docker容器培训视频教程下载

Docker框架解读,极客学院Docker容器培训视

课程目录:01.Docker课程介绍.mp402.docker简介.mp403.Docker的基本组成.mp404.Docker…...

OpenStack实战演练及开发入门,全套视频教程下载

OpenStack实战演练及开发入门,全套视频教

课程名称OpenStack实战演练及开发入门完整全套视频教程学习要求熟悉基本的linux命令具…...

CITRIX系列视频教程之四 PVS 7.1 篇视频教程  Citrix视频教程下载

CITRIX系列视频教程之四 PVS 7.1 篇视频教

课程名称CITRIX系列视频教程 PVS 7.1 篇视频教程Citrix视频教程Provisioning Services…...

北航云计算架构师,资源教程下载

北航云计算架构师,资源教程下载

“云时代”全面到来  近几年,原先看起来似乎虚无飘渺、让人云里雾里的云计算越来越…...

Docker前后端分离,资源教程下载

Docker前后端分离,资源教程下载

课程目录第1章 课程介绍展示前后端分离项目部署的成果,介绍学习本门课程需要的硬件环…...

微服务云中部署应用与服务实战课程,微服务架构核心-容器新技术微服务系统实战课程下 ...

微服务云中部署应用与服务实战课程,微服务

课程名称微服务云中部署应用与服务实战课程,微服务架构核心-容器新技术微服务系统实…...