1零信任安全簡介
云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)和移動互聯(lián)網(wǎng)時代,網(wǎng)絡(luò)安全邊界逐漸瓦解,內(nèi)外部威脅愈演愈烈,傳統(tǒng)的邊界安全難以應(yīng)對,零信任安全應(yīng)運而生。
零信任安全代表了新一代網(wǎng)絡(luò)安全防護理念,并非指某種單一的安全技術(shù)或產(chǎn)品,其目標是為了降低資源訪問過程中的安全風(fēng)險,防止在未經(jīng)授權(quán)情況下的資源訪問,其關(guān)鍵是打破信任和網(wǎng)絡(luò)位置的默認綁定關(guān)系。
圖1、NIST零信任安全框架圖
在零信任安全理念下,網(wǎng)絡(luò)位置不再決定訪問權(quán)限,在訪問被允許之前,所有訪問主體都需要經(jīng)過身份認證和授權(quán)。身份認證不再僅僅針對用戶,還將對終端設(shè)備、應(yīng)用軟件等多種身份進行多維度、關(guān)聯(lián)性的識別和認證,并且在訪問過程中可以根據(jù)需要,多次發(fā)起身份認證。授權(quán)決策不再僅僅基于網(wǎng)絡(luò)位置、用戶角色或?qū)傩缘葌鹘y(tǒng)靜態(tài)訪問控制模型,而是通過持續(xù)的安全監(jiān)測和信任評估,進行動態(tài)、細粒度的授權(quán)。
2零信任成功應(yīng)用于IT安全
圖2、IT數(shù)據(jù)中心的南北向和東西向流量
零信任安全架構(gòu)已經(jīng)成功地應(yīng)用到IT安全領(lǐng)域,成功解決了IT數(shù)據(jù)中心南北向和東西向安全防護的痛點。當前零信任的落地技術(shù)主要有三個:軟件定義邊界(Software Defined Perimeter,簡稱SDP)、身份識別與訪問管理(Identity and Access Management,簡稱IAM)和微隔離(Micro Segmentation,簡稱MSG)。SDP和IAM的技術(shù)結(jié)合,解決了企業(yè)遠程安全辦公、遠程安全運維和遠程安全研發(fā)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全問題,也解決了數(shù)據(jù)中心南北向網(wǎng)絡(luò)隱身、身份認證和訪問控制的難題。MSG技術(shù),解決了數(shù)據(jù)中心東西向流量可視化、訪問控制和策略自適應(yīng)的難題。
表1、國外零信任SaaS的典型企業(yè)
SDP是由國際云安全聯(lián)盟CSA于2013年提出的基于零信任理念的新一代網(wǎng)絡(luò)安全技術(shù)架構(gòu)。SDP以預(yù)認證和預(yù)授權(quán)作為它的兩個基本支柱。通過在單數(shù)據(jù)包到達目標服務(wù)器之前對用戶和設(shè)備進行身份驗證和授權(quán),SDP可以在網(wǎng)絡(luò)層上執(zhí)行最小權(quán)限原則,可以顯著地縮小攻擊面。
圖3、基于SDP的南北向安全防護
SDP架構(gòu)由客戶端、安全網(wǎng)關(guān)和控制中心三個主要組件組成。客戶端和安全網(wǎng)關(guān)之間的連接是通過控制中心與安全控制通道的信息交互來管理的。該結(jié)構(gòu)使得控制平面與數(shù)據(jù)平面保持分離,以便實現(xiàn)完全可擴展的安全系統(tǒng)。此外,SDP架構(gòu)的所有組件都可以集群部署,用于擴容或提高系統(tǒng)穩(wěn)定運行時間。
新聞爆料
