热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

零信任网络初识

目录

目录

    • 概述
    • 什么是零信任网络?
    • 零信任网络架构逻辑
    • 零信任网络技术组件
    • 零信任架构部署形式
      • 基于网关的零信任架构
      • 基于SASE的零信任架构
      • 基于端安全的零信任架构
      • 基于IAM的零信任架构
      • 基于应用沙箱的零信任架构

概述

“零信任网络”是在2010年被Forrester的首席分析师JohnKindervag提出,他认为:“企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。”这个概念一经提出就饱受争议,有人说其是这是安全产品未来趋势,也有人担心这个概念难以落地而不被看好,然而随着底层组件技术的不断发展,这个概念也被逐步验证成为现实。

什么是零信任网络?

在谈到“零信任”前不得不提到“基于网络边界建立信任”的理念,传统网络安全防护大都通过在网络边界部署防火墙、IDS、入侵监测系统等防护设备,对企业网络层层防护,从外向内地将攻击拦截在外从而保障企业网络的安全。然而现在的网络架构和使用模式正在对这种基于边界的防护策略发起挑战:缺乏内部流量的检查、主机部署缺乏物理和逻辑上的灵活性、存在单点故障。

比如:位于网络防护边界之外的远程用户和移动设备的接入,云上资产的访问与防护等问题,一旦某个单点被突破,就给了攻击者横行移动、进一步入侵的可能,传统防护策略逐渐显得力不从心。

零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型的核心思想是不基于网络位置建立信任,任何在授权前的人/设备/应用程序都视为不被信任的、在访问数据前都应取得信任,细粒度数据访问权限,采用最小权限原则,将网络防御的对象从边界缩小到了单个或者更小的资源组。

如果把企业网络比作一座城的话,那么传统边界防护就是给城修城墙、设栅栏,而在零信任网络下就是给一个城市居民配置一名守卫兵。传统基于边界访问的“城墙”不会消失——它还能抵御大部分入侵,仅靠配置“守卫兵”的方式又回占用太多的资源和带宽,两者还需在实用性和安全性上作出平衡。

零信任网络架构逻辑

在组织和企业中,构成零信任架构部署的逻辑组件通常有很多,《NIST SP800-207:零信任架构草案》中描述了一种典型的方案逻辑及核心产品组件:

在这里插入图片描述
策略引擎(Policy Engine, PE):组件负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限。策略引擎使用企业安全策略以及来自外部源(例如IP黑名单,威胁情报服务)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问,策略引擎的核心作用是信任评估。

策略管理器(Policy Administrator, PA):组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关,并依赖于其决定最终允许或拒绝连接,策略管理器的核心作用是策略判定点,是零信任动态权限的判定组件。

策略执行点(Policy Enforcement Point, PEP):这实际上是一个组件系统,负责开始,持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件:客户端组件(如用户笔记本电脑上的agent)与资源端组件(如资源前控制访问的网关),策略执行点确保业务的安全访问。

除了以上核心组件外,还有进行访问决策时为策略引擎提供输入和策略规则的许多数据源。包括本地数据源和外部数据源,具体包括:

  • 持续诊断和缓解计划(continuous diagnostics and mitigation,CDM)系统
  • 行业合规系统(Industry Compliance System)
  • 威胁情报流,该系统提供帮助策略引擎进行访问决策的信息
  • 数据访问策略
  • 企业公钥基础设施(PKI)
  • ID管理系统。系统负责创建、保存和管理企业用户帐户和身份记录
  • 安全应急和事件管理系统(SIEM)

零信任网络技术组件

零信任技术需要根据用户身份、用户所处位置、上下文信息和其他数据等条件,利用微隔离和细粒度边界规则,来确定是否信任请求企业特范围访问权的用户/主机/应用。首先是建立资产清单库,至少包括用户清单库、设备清单库。且能够根据企业组织架构调整、人员变动、设备丢失等情况对资产进行生命周期管理,且动态维护相关联的属性特征。如人员职级、角色,设备证书状态、设备是否安装了最新的补丁等。

身份认证可以对现有技术进行融合,如多因子身份验证(MFA)、可信身份认证(FIDO)、身份与访问管理(IAM)、SSO等。
需要做到:
做到细粒度权限访问:

  • 最小权限原则
  • 终端数据隔离
  • 应用资产隐藏

内网流量也要求全部加密。通过TLS、IPSec等技术创建安全通道,并通过PKI/CA/X.509等基础设施实现流量的保密性和完整性。同时,所有流量必须被记录和监控。

自学习、自适应的动态模型。利用机器学习,通过用户及实体行为分析(UEBA)识别异常行为等。
除了技术方面,人的观念转变和高层支持更加重要。否则,零信任根本难以起步。

零信任架构部署形式

基于网关的零信任架构

简介

经典的网关型架构,由一个或多个组件构成。网关放置在资源前面,强制资源只能和网关通信。并管控可信代理访问网关的行为。

执行流程

  • 企业配发移动端,访问资源的流量由可信代理转发到网关的策略管理器。
  • 策略管理器转发给策略引擎评估请求的安全性。
  • 若请求被授权则创建通信通道(TLS加密)代理设备和网关建立通道;

基于SASE的零信任架构

简介

ZTNA零信任安全网络访问模型,重点在网关的基础上重点基于身份和上下文的逻辑访问边界服务,强调链接之前先验证,提升可信网络+访问体验优化。

执行流程

  • 设备代理向网关发起请求并注册成为可信设备;
  • 网关基于设备安全性和身份双重验证请求者;
  • 建立加密隧道并由就近POP点接入云上网关;
  • 实时对访问请求进行检测和判断;
  • 由网关判断请求资源是否被允许;

基于端安全的零信任架构

简介

以解决端端的安全性为重点,如防病毒、资产管理、补丁管理。再配合网关进行资源的安全访问。

执行流程

  • 传统终端杀毒安全管理实时在端的环境上进行检测;
  • 通过终端代理与网关建立访问通信隧道;
  • 当终端环境符合接入的基线要求时允许访问;

基于IAM的零信任架构

简介

以身份验证和访问控制授权为重点,在4A的基础上增加对于应用的管控。确保访问者是合法员工且访问权限是最小授权模式。

执行流程

  • 验证访问者身份,并配合MFA对访问者进行高级别的安全验证;
  • 验证通过后执行最小授权;
  • 当员工需要访问其他资源时进行权限的申请;
  • 当员工离职时权限自动收回确保无僵尸账号等。

基于应用沙箱的零信任架构

简介

基于RBI技术解决安全的数据访问,网关把用户跟数据隔离开,访问数据通过远程服务器访问机数据仅落在远程服务器上,不落在本地。

执行流程

  • 客户端代理通过RBI访问到远程服务器环境;
  • 远程服务器事前对接好应用和数据;
  • 所有访问在沙箱里进行;若需要数据的拷贝和删除等高危操作单独申请。

推荐阅读
  • 如何在U8系统中连接服务器并获取数据
    本文介绍了如何在U8系统中通过不同的方法连接服务器并获取数据,包括使用MySQL客户端连接实例的方法,如非SSL连接和SSL连接,并提供了详细的步骤和注意事项。 ... [详细]
  • 2023年,Android开发前景如何?25岁还能转行吗?
    近期,关于Android开发行业的讨论在多个平台上热度不减,许多人担忧其未来发展。本文将探讨当前Android开发市场的现状、薪资水平及职业选择建议。 ... [详细]
  • 软件测试行业深度解析:迈向高薪的必经之路
    本文深入探讨了软件测试行业的发展现状及未来趋势,旨在帮助有志于在该领域取得高薪的技术人员明确职业方向和发展路径。 ... [详细]
  • 本周三大青年学术分享会即将开启
    由雷锋网旗下的AI研习社主办,旨在促进AI领域的知识共享和技术交流。通过邀请来自学术界和工业界的专家进行在线分享,活动致力于搭建一个连接理论与实践的平台。 ... [详细]
  • 从理想主义者的内心深处萌发的技术信仰,推动了云原生技术在全球范围内的快速发展。本文将带你深入了解阿里巴巴在开源领域的贡献与成就。 ... [详细]
  • Windows操作系统提供了Encrypting File System (EFS)作为内置的数据加密工具,特别适用于对NTFS分区上的文件和文件夹进行加密处理。本文将详细介绍如何使用EFS加密文件夹,以及加密过程中的注意事项。 ... [详细]
  • 深入理解:AJAX学习指南
    本文详细探讨了AJAX的基本概念、工作原理及其在现代Web开发中的应用,旨在为初学者提供全面的学习资料。 ... [详细]
  • 深入理解云计算与大数据技术
    本文详细探讨了云计算与大数据技术的关键知识点,包括大数据处理平台、社会网络大数据、城市大数据、工业大数据、教育大数据、数据开放与共享的应用,以及搜索引擎与Web挖掘、推荐技术的研究及应用。文章还涵盖了云计算的基础概念、特点和服务类型分类。 ... [详细]
  • 计算机学报精选论文概览(2020-2022)
    本文汇总了2020年至2022年间《计算机学报》上发表的若干重要论文,旨在为即将投稿的研究者提供参考。 ... [详细]
  • 在Qt框架中,信号与槽机制是一种独特的组件间通信方式。本文探讨了这一机制相较于传统的C风格回调函数所具有的优势,并分析了其潜在的不足之处。 ... [详细]
  • 本文探讨了在SQL Server 2008环境下,当尝试删除拥有数据库架构的用户时遇到的问题及解决方案,包括如何查询和更改架构所有权。 ... [详细]
  • 深入解析:存储技术的演变与发展
    本文探讨了从单机文件系统到分布式文件系统的存储技术发展过程,详细解释了各种存储模型及其特点。 ... [详细]
  • 协程作为一种并发设计模式,能有效简化Android平台上的异步代码处理。自Kotlin 1.3版本引入协程以来,这一特性基于其他语言的成熟理念,为开发者提供了新的工具,以增强应用的响应性和效率。 ... [详细]
  • 本文详细介绍了Android系统的四层架构,包括应用程序层、应用框架层、库与Android运行时层以及Linux内核层,并提供了如何关闭Android系统的步骤。 ... [详细]
  • mysql 授权!!
    为什么80%的码农都做不了架构师?MySQL的权限系统围绕着两个概念:认证-确定用户是否允许连接数据库服务器授权-确定用户是否拥有足够的权限执 ... [详细]
author-avatar
来自星星的小小鱼
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有