国产小呦泬泬99精品,午夜国产精品大臿蕉,国产玖玖玖九九

首頁 > 新聞資訊 > 行業(yè)新聞

網(wǎng)絡(luò)安全熱點(diǎn) | 零信任架構(gòu)技術(shù)探討及實(shí)踐建議

2022-12-14 0:00:00瀏覽量：1934編輯：管理員來源：天暢

傳統(tǒng)的網(wǎng)絡(luò)安全架構(gòu)理念是基于邊界的安全架構(gòu)，企業(yè)構(gòu)建網(wǎng)絡(luò)安全體系時(shí)，首先尋找安全邊界，把網(wǎng)絡(luò)劃分為外網(wǎng)、內(nèi)網(wǎng)、DMZ區(qū)等不同的區(qū)域，然后在邊界上部署防火墻、入侵檢測(cè)、WAF等產(chǎn)品。這種網(wǎng)絡(luò)安全架構(gòu)假設(shè)或默認(rèn)了內(nèi)網(wǎng)比外網(wǎng)更安全，在某種程度上預(yù)設(shè)了對(duì)內(nèi)網(wǎng)中的人、設(shè)備和系統(tǒng)的信任，忽視加強(qiáng)內(nèi)網(wǎng)安全措施。不法分子一旦突破企業(yè)的邊界安全防護(hù)進(jìn)入內(nèi)網(wǎng)，會(huì)像進(jìn)入無人之境，將帶來嚴(yán)重的后果。

隨著云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)辦公等新技術(shù)與業(yè)務(wù)的深度融合，網(wǎng)絡(luò)安全邊界也逐漸變得更加模糊，傳統(tǒng)邊界安全防護(hù)理念面臨巨大挑戰(zhàn)。在這樣的背景下，零信任架構(gòu)(Zero Trust Architecture, ZTA)應(yīng)運(yùn)而生。它打破傳統(tǒng)的認(rèn)證，即信任、邊界防護(hù)、靜態(tài)訪問控制、以網(wǎng)絡(luò)為中心等防護(hù)思路，建立起一套以身份為中心，以識(shí)別、持續(xù)認(rèn)證、動(dòng)態(tài)訪問控制、授權(quán)、審計(jì)以及監(jiān)測(cè)為鏈條，以最小化實(shí)時(shí)授權(quán)為核心，以多維信任算法為基礎(chǔ)，認(rèn)證達(dá)末端的動(dòng)態(tài)安全架構(gòu)。

零信任的誕生

零信任的最早雛形源于2004年成立的耶利哥論壇(Jericho Forum )，其成立的使命正是為了定義無邊界趨勢(shì)下的網(wǎng)絡(luò)安全問題并尋求解決方案。
2010年，零信任這個(gè)術(shù)語正式出現(xiàn)，并指出所有的網(wǎng)絡(luò)流量都是不可信的，這個(gè)時(shí)期專注于通過微隔離對(duì)網(wǎng)絡(luò)進(jìn)行細(xì)粒度的訪問控制以便限制攻擊者的橫向移動(dòng)。以身份為基石的架構(gòu)體系逐漸得到業(yè)界主流的認(rèn)可。
2014年，Google基于內(nèi)部項(xiàng)目BeyondCorp的研究成果，構(gòu)建零信任架構(gòu)。
2017年，Gartner將其自適應(yīng)安全架構(gòu)優(yōu)化為持續(xù)自適應(yīng)風(fēng)險(xiǎn)與信任評(píng)估構(gòu)架。

零信任的定義

與邊界模型的“信任但驗(yàn)證”不同，零信任的核心原則是“從不信任、始終驗(yàn)證”。傳統(tǒng)網(wǎng)絡(luò)安全都專注于邊界防御，授權(quán)主體可廣泛訪問內(nèi)網(wǎng)資源，而零信任網(wǎng)絡(luò)建立在五個(gè)假設(shè)前提之下：

應(yīng)該始終假設(shè)網(wǎng)絡(luò)充滿威脅;
外部和內(nèi)部威脅每時(shí)每刻都充斥著網(wǎng)絡(luò);
不能僅僅依靠網(wǎng)絡(luò)位置來確認(rèn)信任關(guān)系;
所有設(shè)備、用戶、網(wǎng)絡(luò)流量都應(yīng)該被認(rèn)證和授權(quán);
訪問控制策略應(yīng)該動(dòng)態(tài)地基于盡量多的數(shù)據(jù)源進(jìn)行計(jì)算和評(píng)估。

零信任架構(gòu)模型

以身份為基石

基于身份而非網(wǎng)絡(luò)位置來構(gòu)建訪問控制體系，首先需要為網(wǎng)絡(luò)中的人和設(shè)備賦予數(shù)字身份，將身份化的人和設(shè)備進(jìn)行運(yùn)行時(shí)組合構(gòu)建訪問主體，并為訪問主體設(shè)定其所需的最小權(quán)限。

業(yè)務(wù)安全訪問

零信任架構(gòu)關(guān)注業(yè)務(wù)保護(hù)面的構(gòu)建，通過業(yè)務(wù)保護(hù)面實(shí)現(xiàn)對(duì)資源的保護(hù)，在零信任架構(gòu)中，應(yīng)用、服務(wù)、接口、數(shù)據(jù)都可以視作業(yè)務(wù)資源。通過構(gòu)建保護(hù)面實(shí)現(xiàn)對(duì)暴露面的收縮，要求所有業(yè)務(wù)默認(rèn)隱藏，根據(jù)授權(quán)結(jié)果進(jìn)行最小限度的開放，所有的業(yè)務(wù)訪問請(qǐng)求都應(yīng)該進(jìn)行全流量加密和強(qiáng)制授權(quán)，業(yè)務(wù)安全訪問相關(guān)機(jī)制需要盡可能工作在應(yīng)用協(xié)議層。

持續(xù)信任評(píng)估

持續(xù)信任評(píng)估是零信任架構(gòu)從零開始構(gòu)建信任的關(guān)鍵手段，通過信任評(píng)估模型和算法，實(shí)現(xiàn)基于身份的信任評(píng)估能力，同時(shí)需要對(duì)訪問的上下文環(huán)境進(jìn)行風(fēng)險(xiǎn)判定，對(duì)訪問請(qǐng)求進(jìn)行異常行為識(shí)別并對(duì)信任評(píng)估結(jié)果進(jìn)行調(diào)整。

動(dòng)態(tài)訪問控制

動(dòng)態(tài)訪問控制是零信任架構(gòu)的安全閉環(huán)能力的重要體現(xiàn)。建議通過RBAC和ABAC的組合授權(quán)實(shí)現(xiàn)靈活的訪問控制基線，基于信任等級(jí)實(shí)現(xiàn)分級(jí)的業(yè)務(wù)訪問，同時(shí)，當(dāng)訪問上下文和環(huán)境存在風(fēng)險(xiǎn)時(shí)，需要對(duì)訪問權(quán)限進(jìn)行實(shí)時(shí)干預(yù)并評(píng)估是否對(duì)訪問主體的信任進(jìn)行降級(jí)。

零信任架構(gòu)的三大技術(shù)“SIM”

NIST標(biāo)準(zhǔn)的發(fā)布，首次提出了零信任的官方標(biāo)準(zhǔn)定義以及實(shí)踐技術(shù)架構(gòu),強(qiáng)調(diào)零信任是個(gè)安全理念而非技術(shù),并指出目前實(shí)現(xiàn)零信任架構(gòu)的三大技術(shù)“SIM”，即軟件定義邊界(SDP)、身份識(shí)別與訪問管理(IAM)、微隔離(MSG)。

軟件定義邊界(SDP)

SDP旨在使應(yīng)用程序所有者能夠在需要時(shí)部署安全邊界,以便將服務(wù)與不安全的網(wǎng)絡(luò)隔離開。SDP將物理設(shè)備替換為在應(yīng)用程序所有者控制下運(yùn)行的邏輯組件，僅在設(shè)備驗(yàn)證和身份驗(yàn)證后才允許訪問企業(yè)應(yīng)用基礎(chǔ)架構(gòu)。從架構(gòu)上講，基于SDP的系統(tǒng)通常會(huì)實(shí)施控制層與數(shù)據(jù)層的分離，即控制流階段，用戶及其設(shè)備進(jìn)行預(yù)認(rèn)證來獲取豐富的屬性憑據(jù)作為身份主體，以此結(jié)合基于屬性的預(yù)授權(quán)策略，映射得到僅供目標(biāo)訪問的特定設(shè)備和服務(wù)，從而可以直接建立相應(yīng)安全連接。

身份識(shí)別與訪問管理(IAM)

零信任強(qiáng)調(diào)基于身份的信任鏈條，即該身份在可信終端，該身份擁有權(quán)限才可對(duì)資源進(jìn)行請(qǐng)求。傳統(tǒng)的IAM系統(tǒng)可以協(xié)助解決身份唯一標(biāo)識(shí)、身份屬性、身份全生命周期管理的功能問題。通過IAM將身份信息(身份吊銷離職、身份過期、身份異常等)傳遞給零信任系統(tǒng)后，零信任系統(tǒng)可以通過IAM系統(tǒng)的身份信息來分配相應(yīng)權(quán)限，而通過IAM系統(tǒng)對(duì)身份的唯一標(biāo)識(shí)，可有利于零信任系統(tǒng)確認(rèn)用戶可信，通過唯一標(biāo)識(shí)對(duì)用戶身份建立起終端、資源的信任關(guān)系，并在發(fā)現(xiàn)風(fēng)險(xiǎn)時(shí)實(shí)施針對(duì)關(guān)鍵用戶相關(guān)的訪問連接進(jìn)行阻斷等控制。

微隔離(MSG)

微隔離本質(zhì)上是一種網(wǎng)絡(luò)安全隔離技術(shù)，能夠在邏輯上將數(shù)據(jù)中心劃分為不同的安全段，一直到各個(gè)工作負(fù)載級(jí)別，然后為每個(gè)獨(dú)立的安全段定義訪問控制策略。它主要聚焦在云平臺(tái)東西向流量的隔離，一是區(qū)別傳統(tǒng)物理防火墻的隔離作用，二是更加貼近云計(jì)算環(huán)境中的真實(shí)需求。微隔離將網(wǎng)絡(luò)邊界安全理念發(fā)揮到極致，將網(wǎng)絡(luò)邊界分割到盡可能的小，能夠很好的緩解傳統(tǒng)邊界安全理念下的邊界過度信任帶來的安全風(fēng)險(xiǎn)。

零信任應(yīng)用實(shí)踐的建議

尋找可以借鑒的實(shí)踐案例經(jīng)驗(yàn)

目前，零信任安全方案多處于快速迭代期，項(xiàng)目建設(shè)過程中需要不同程度的定制化開發(fā)工作。因此在規(guī)劃前，參考行業(yè)中應(yīng)用規(guī)模相當(dāng)?shù)膶?shí)踐案例，能一定程度上幫助解決架構(gòu)選擇和建設(shè)實(shí)施階段的難點(diǎn)。

根據(jù)業(yè)務(wù)需求選擇適合的零信任安全架構(gòu)

零信任安全架構(gòu)要具備一定的安全擴(kuò)容和持續(xù)演進(jìn)的能力，才能為企業(yè)數(shù)字化業(yè)務(wù)的快速發(fā)展做好支撐和保障。因此，對(duì)于計(jì)劃向零信任轉(zhuǎn)型的企業(yè)，架構(gòu)選擇至關(guān)重要。架構(gòu)規(guī)劃時(shí)，架構(gòu)設(shè)計(jì)師或CSO需要充分了解企業(yè)的業(yè)務(wù)運(yùn)營模式，包括企業(yè)未來五年的擴(kuò)展及數(shù)字化轉(zhuǎn)型計(jì)劃，這可以幫助企業(yè)更好匹配中長期發(fā)展的零信任安全需求。

在項(xiàng)目實(shí)施中落實(shí)好5個(gè)技術(shù)要素

在零信任安全建設(shè)中，需要指定相關(guān)責(zé)任人或部門，為項(xiàng)目順利實(shí)施落實(shí)身份、網(wǎng)絡(luò)、終端、應(yīng)用和數(shù)據(jù)等5個(gè)方面的技術(shù)要求，細(xì)化出每個(gè)方面的具體要求，并提出詳細(xì)的需求說明。

多部門的協(xié)同配合與支撐

在零信任項(xiàng)目建設(shè)過程中，業(yè)務(wù)系統(tǒng)的對(duì)接往往是企業(yè)和服務(wù)商共同的難點(diǎn)。業(yè)務(wù)資產(chǎn)由于其形態(tài)、部署位置、權(quán)屬分散等方面的特殊性，使零信任建設(shè)要素對(duì)接過程會(huì)非常復(fù)雜。因此，業(yè)務(wù)部門、安全團(tuán)隊(duì)、服務(wù)商的協(xié)同配合對(duì)推動(dòng)零信任建設(shè)非常重要。

為零信任系統(tǒng)上線預(yù)留充分的試運(yùn)行時(shí)間

相比傳統(tǒng)網(wǎng)絡(luò)安全產(chǎn)品，零信任安全控制系統(tǒng)的可靠性、魯棒性要求非常高。所以，不管是舊系統(tǒng)遷移還是新系統(tǒng)重建，正式上線前，都需要預(yù)留足夠的測(cè)試時(shí)間，以確定系統(tǒng)運(yùn)行的穩(wěn)定性、行為分析模型的可用性，同時(shí)識(shí)別那些不符合業(yè)務(wù)期望的安全策略。根據(jù)本次調(diào)研，可參考的試運(yùn)行測(cè)試周期應(yīng)該在3-6個(gè)月。

重視零信任系統(tǒng)的安全運(yùn)營

零信任安全系統(tǒng)必須要納入企業(yè)整體的安全運(yùn)營體系中去，同時(shí)還需考慮如何將企業(yè)的業(yè)務(wù)運(yùn)營計(jì)劃合理融入到零信任的運(yùn)營體系中去，包括業(yè)務(wù)細(xì)粒度訪問監(jiān)管、例行檢查等，特別是在重要人員調(diào)整和重大網(wǎng)絡(luò)重構(gòu)事件發(fā)生時(shí)。

零信任是個(gè)廣泛適用的方法論，也就是說它可以應(yīng)用于整個(gè)計(jì)算架構(gòu)的各個(gè)方面，零信任技術(shù)是對(duì)攻防對(duì)抗路線的一次變革，讓組織能夠?qū)⒕W(wǎng)絡(luò)安全的主動(dòng)權(quán)把握在自己的手中。國內(nèi)已經(jīng)逐步接受零信任的理念，少部分企業(yè)已經(jīng)開始部署實(shí)施，其中接受度較高的是金融行業(yè)。零信任將從SDP、IAM和微隔離三大技術(shù)方向演進(jìn)到融合端點(diǎn)安全、數(shù)據(jù)防泄漏、流量安全、威脅情報(bào)乃至態(tài)勢(shì)感知的一體化方案，兼容、開放及合作會(huì)成為零信任持續(xù)的趨勢(shì)。

上一篇：新興的安全有效性驗(yàn)證 | 在安全運(yùn)營中幫助企業(yè)建立精細(xì)化安全運(yùn)..

下一篇：【喜訊】天暢信息榮獲廣東省工業(yè)和信息化廳頒發(fā)“2022年創(chuàng)新型..

快分享給好友吧！

宁夏| 夏河县| 白银市| 满城县| 定远县| 新化县| 黄浦区| 牟定县| 元朗区| 堆龙德庆县| 靖安县| 扬州市| 涟源市| 客服| 吴忠市| 来宾市| 通渭县| 松溪县| 固安县| 当阳市| 惠安县| 石渠县| 九龙城区| 邢台市| 寿宁县| 卢湾区| 财经| 伊宁市| 邻水| 珲春市| 西宁市| 沭阳县| 绍兴县| 祁门县| 大姚县| 社旗县| 前郭尔| 肇庆市| 高安市| 鄂托克前旗| 小金县|

久久综合给合久久,色偷偷久久9999kkkk,欧美阿V大胆视频在线观看,99久久精品免费看国产一区二

服務(wù)熱線

020-38921330

網(wǎng)絡(luò)安全熱點(diǎn) | 零信任架構(gòu)技術(shù)探討及實(shí)踐建議