Zero Trust
为了应对逐渐复杂的网络环境,一种新的网络安全技术构架–零信任逐步走入公众视野。
一、零信任技术介绍
(一)零信任核心原则:
①网络无时无刻不处于危险的环境中。
②网络中自始至终存在外部或内部威胁。
③网络位置不足以决定网络的可信程度。
④所有设备、用户和网络流量都应当经过授权和认证。
⑤安全策略必须是动态的,并基于尽可能多的数据源计算而来。
简言之,核心思想就是默认情况下,企业内外部的任何人、事、物均不可信,应在授权前对任何试图接入网络和访问网络资源的人、事、物进行验证。
基于零信任安全框架的理解,可将零信任构架的原则归纳如下:
(1)将身份作为访问控制的基础:零信任架构为所有对象赋予数字身份,基于身份而非网络位置来构建访问控制体系。
(2)最小权限原理:零信任构架强调资源的使用按需分配,仅授予执行任务所需要的的最小特权,同时限制了资源的可见性。通过使用端口隐藏等技术手段,默认情况下资源对未经认证的访问主体不可见。授权决策时将人员、设备、应用等实体身份进行组合,形成访问主体。针对主体的组合信息和访问需求,以及信任评估和权限策略计算情况,确定是否授权访问权限。
(3)实时计算访问控制策略:授权决策依据主体的身份信息、权限信息、环境信息、当前主体信任等级等,通过将这些信息进行实时计算,形成访问控制策略。在资源访问过程中,一旦授权决策依据发生了变化,将重新进行计算分析,必要时及时变更授权决策。
(4)资源受控安全访问:零信任默认网络互联环境是不安全的,要求所有的访问连接都必须加密。
(5)基于多源数据进行信任等级持续评估:主体信任等级是零信任授权决策的判定依据之一,主体信任等级根据实时多源数据,如身份、权限、访问日志等信息计算出,参与计算的数据种类越多,数据的可靠性越高,信任等级的评估就越准确。人工智能技术的迅猛发展为信任评估赋能,通过专家系统、模型训练、机器学习等人工智能技术,紧扣应用场景,提升信任评估策略计算效率,实现零信任架构在安全性、可靠性、可用性、安全成本等方面的综合平衡。
(二)零信任安全构架及组件
零信任秉承==“从不信任并始终验证”的安全原则,对访问主体和访问客体之间的数据访问和认证验证进行处理,并将访问行为实施平面分解为用于网络通信控制的控制平面和用应用程序通信的数据平面。访问主体通过控制平面发起的访问请求,由信任评估引擎、访问控制引擎实施身份认证和授权,一旦访问请求获得允许后,系统动态配置数据平面,访问代理接受来自访问主体的流量数据,建立一次性==的安全访问连接。信任评估引擎将持续进行信任评估,把评估数据提供给访问控制引擎进行零信任策略决策运算,判断访问控制策略是否需要改变,如有需要及时通过访问代理中断连接,快速实施对资源的保护。身份管理和权限管理为访问控制提供所需的基础数据来源,其中身份管理实现各种实体的身份化及身份生命周期管理,权限管理实现对授权策略的细粒度管理和跟踪分析。典型的身份安全基础设施包括:PKI系统、身份管理系统、数据访问策略等。
(三)零信任关键技术
现代身份与访问管理技术
软件定义边界技术
SDP技术旨在通过软件的方式,在“移动+云”的时代背景下,为企业构建起虚拟边界,利用基于身份的访问控制以及完备的权限认证机制,为企业应用和服务提供隐身保护,是网络黑客因为看不到目标而无法对企业的资源发动攻击,有效的保护企业的数据安全。
SDP的五大特点:
(1)网络隐身:SDP应用服务器没有对外暴露的DNS、IP地址或端口,必须通过授权的SDP客户端使用专有的协议才能进行连接,攻击者无法获取攻击目标。
(2)预验证:用户和终端在连接服务器前必须提前进行验证,确保用户和设备的合法性。
(3)预授权:根据用户不同的职能以及工作需求,依据最小权限原则,SDP在设备接入前对该用户授予完成工作任务所需的应用和最小访问行为权限。
(4)应用级的访问准入:用户只有应用层的访问权限,理论上无法获得服务器的配置、网络拓扑等其他信息,无法进行网络级访问。
(5)扩展性:除采用特殊协议对接SDP服务器以外,其他访问依然基于标准的网络协议,可以方便的与其他安全系统集成。
微隔离技术
对数据中心而言,主要有南北向流量和东西向流量,南北向流量是指通过网关进出数据中心的流量,东西向流量是指数据中心内部服务器彼此相互访问的内部流量。传统防护模式通常采用防火墙作为南北向流量的安全防护手段,一旦攻击者突破防护边界,缺少有效的安全控制手段用来阻止东西向流量的随意访问。随着东西向流量的占比越来越大,微隔离技术应运而生,其作为一种网络安全技术,重点用于阻止攻击者在进入企业数据中心网络内部后的东西向移动访问。
数据中心往往包括海量的节点,频繁变化带来的工作量不可预估,传统的人工配置模式已经无法满足管理的需求,自动适应业务变化的策略计算引擎是微隔离成功的关键。
————————————————
版权声明:本文为CSDN博主「xiao_a_tong」的原创文章(节选部分内容),遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/xiao_a_tong/article/details/121190687