江苏龙网

  1. 主页 > 生活百科 > >

基于零信任的安全架构

安全架构

引用本文:曾玲 , 刘星江.基于零信任的安全架构[J].通信技术 , 2020 , 53(07):1750-1754.
ZENG Ling,LIU Xing-jiang.Security Architecture Based on Zero Trust[J].Communications Technology,2020,53(07):1750-1754.
摘 要:随着高级威胁和内部风险的日益增强 , 云计算、大数据、移动互联的飞速发展 , 远程办公、异地分支的大量应用 , 网络边界越来越模糊 , 传统的网络安全架构已难以满足安全新需求 。零信任网络打破了传统的认证即信任、边界防护、静态访问控制 , 以网络为中心等思维 , 建立起一套以资源为中心 , 以识别、认证、动态访问控制、授权、审计以及监测为链条 , 以最小化实时授权为核心 , 以多维信任算法为基础 , 认证达末端的动态安全架构 。
关键词:边界防护;传统网络;零信任;动态访问;最小化授权
内容目录:
0 引 言
1 概 念
2 传统网络架构
3 零信任网络安全架构
3.1 架构模型
3.2 信任评估算法
3.3 核心思想
3.3.1 怀疑一切
3.3.2 核心保护对象为资源
3.3.3 精细化、最小化授权
3.3.4 持续验证每个访问请求的可信性
3.4 特 点
3.4.1 由网络中心化向身份中心化转变
3.4.2 安全防护层面由网络防护向应用防护转变
3.4.3 无边界化
3.4.4 认证控制向末端延伸
3.4.5 向细粒化方向发展
3.4.6 向泛在化方向发展
3.4.7 授权时机由门槛式授权向动态授权发展
4 结 语
00
引 言
零信任网络(亦称零信任架构)概念最早是John Kindervag(约翰·金德维格)于2010年提出的 , 开始几年并未得到广泛关注 。随着高级威胁和内部风险层出不穷 , 云计算、大数据、移动互联网的飞速发展 , 远程办公、企业异地分支等的大量应用 , 网络边界的物理界限越来越模糊 。另外 , 传统网络的安全短板日益明显 。2017年9月 , 美国发生了史上最大的用户数据泄露事件——Equifax数据泄露事件 , 造成美国1.43亿人的个人信息泄露 。美国最大的移动运营商Verizon报告分析指出 , 81%的黑客成功利用偷来的口令或者弱口令 , 可轻而易举地获得数据的访问权限 , 成功窃取数据 。根据《2018 Insider Threat Report》显示 , 内部威胁是造成数据泄露的第二大原因 。零信任网络的内生驱动力持续加强 。
谷歌在2011年启动BeyondCorp计划 , 于2017年成功完成 , 为零信任在大型、新型网络的实践提供了参考架构 。在BeyondCorp计划中 , 访问只依赖于设备和用户凭证 , 而与用户所处的网络位置无关 。美国网络安全厂商PaloAlto利用其下一代防火墙产品 , 实现了零信任网络架构 。另一家美国网络安全厂商Cyxtera提出了AppGateSDP方案 , 实现了CSA的SDP架构 。其他网络安全和IT厂商 , 如Symantec、Cisco、VMWare等 , 相继推出了自己的零信任产品或架构 。随着各大厂商的进入与推进 , 零信任在业界持续升温 , 在RSAC 2019年展会达到高潮 。
01
概 念
零信任网络是在不依赖网络传输层物理安全机制的前提下 , 有效保护网络通信和业务访问 。
零信任 , 顾名思义 , 即对任何事务均建立在不信任的基础之上 。中心思想是不应自动信任内部或外部的任何人/事/物 , 应在授权前对任何试图接入系统的人/事/物进行验证 。
零信任网络不是完全摒弃已有的安全技术另起炉灶 。传统网络中的安全技术 , 如身份认证、访问控制等依然可用 , 只是将认证与控制的大门从“小区大门”移到了各户的“家门” 。
零信任模型基本上打破了旧式边界防护思维 。旧有思维专注防御边界 , 假定已经在边界内的任何事物都不会造成威胁 , 因而边界内部事物基本畅通无阻 , 全都拥有访问权限 。它要企业根据用户、用户所处位置和其他数据等条件 , 利用微隔离和细粒度边界规则来确定是否信任请求企业特定范围访问权的用户/主机/应用 。传统模式下是以系统为中心的安全 , 在零信任网络下是以资源为中心的安全 。把安全聚焦在资源本身 , 围绕着资源的全生命周期建设部署安全 。


推荐阅读


上一篇:顾龙李仁名茶历史悠久,唐代茶圣陆羽眼中的茶中第顾渚紫笋

下一篇:浮来青茶是什么茶,乌龙茶特有的加工工艺是什么