网络安全的破局之选
source link: http://netsecurity.51cto.com/act/zerotrust/2112
Go to the source link to view the article. You can view the picture content, updated content and better typesetting reading experience. If the link is broken, please click the button below to view the snapshot at that time.
零信任 网络安全的破局之选
《零信任实战白皮书》
全文查看零信任的最早雏形源于2004年成立的耶利哥论坛(Jericho Forum ),其成立的使命正是为了定义无边界趋势下的网络安全问题并寻求解决方案。
谷歌发表了6篇Beyond Corp系列论文,介绍了谷歌如何将零信进行落地的实践。同一年,国际云安全联盟发布了SDP标准规范1.0。
Forrester提出零信任架构,将能力从微隔离扩展到可视化、分析、自动编排等维度。
美国国家标准与技术研究院NIST发布《零信任架构标准》正式版,历经十年发展,零信任安全理念在国外逐渐被广泛认知,在国内也开始出现了萌芽。
当时著名研究机构Forrester的首席分析师约翰.金德维格(John Kindervag)提出零信任安全概念。这个时期专注于通过微隔离对网络进行细粒度的访问控制以便限制攻击者的横向移动。
Gartner在安全与风险管理峰会上发布CARTA模型(持续自适应风险与信任评估)并提出零信任是实现CARTA宏图的初始步骤。
Gartner发布零信任网络ZTNA,融合SDP安全模型,同年,NIST发布《零信任架构标准》草案,腾讯牵头的《服务访问过程持续安全指南》零信任ITU国际标准正式立项。
6月,在中国产业互联网发展联盟标准专委会指导下成立了“零信任产业标准工作组”,由腾讯安全牵头起草的《零信任系统技术规范》正式发布。8月,零信任产业标准工作组正式对外发布国内首个基于攻防实践总结的《零信任实战白皮书》。
· 网络无时无刻不处于危险的环境中;
· 网络中自始至终存在外部或内部威胁;
· 网络的位置不足以决定网络的可信程度;
· 所有的设备、用户和网络流量都应当经过认证和授权;
· 安全策略必须是动态的,并基于尽可能多的数据源计算而来。
基于身份而非网络位置来构建访问控制体系,首先需要为网络中的人和设备赋予数字身份,将身份化的人和设备进行运行时组合构建访问主体,并为访问主体设定其所需的最小权限。
* 业务安全访问
零信任架构关注业务保护面的构建,通过业务保护面实现对资源的保护,在零信任架构中,应用、服务、接口、数据都可以视作业务资源。
* 持续信任评估
持续信任评估是零信任架构从零开始构建信任的关键手段,通过信任评估模型和算法,实现基于身份的信任评估能力,同时需要对访问的上下文环境进行风险判定,对访问请求进行异常行为识别并对信任评估结果进行调整。
* 动态访问控制
动态访问控制是零信任架构的安全闭环能力的重要体现。建议通过RBAC和ABAC的组合授权实现灵活的访问控制基线,基于信任等级实现分级的业务访问,同时,当访问上下文和环境存在风险时,需要对访问权限进行实时干预并评估是否对访问主体的信任进行降级。
* 增强的身份治理(IAM)
身份管理是大多数组织实现安全和IT运营策略的核心。它使企业可以自动访问越来越多的技术资产,同时管理潜在的安全和合规风险。身份管理为所有用户,应用程序和数据启用并保护数字身份。
开发ZTA的增强的身份管理方法将参与者的身份用作策略创建的关键组成部分。企业资源访问的主要要求基于授予给定主体的访问特权。通常使用开放式网络模型或具有访问者访问权限或网络上频繁使用非企业设备的企业网络找到针对企业的基于身份治理的增强方法。
最初,所有具有资源访问权限的资产都将获得网络访问权限,这些权限仅限于具有适当访问权限的身份。自发布NIST SP 800-207(第二草稿)零信任架构以来,身份驱动的方法与资源门户网站模型配合的很好。身份和状态提供辅助支持数据以访问决策。其他模型也可以使用,具体取决于现有的策略。
* 软件定义边界(SDP)
SDP即“软件定义边界”,是国际云安全联盟CSA于2014年提出的基于零信任(Zero Trust)理念的新一代网络安全模型。SDP 旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开来。SDP 将物理设备替换为在应用程序所有者控制下运行的逻辑组件。SDP 仅在设备验证和身份验证后才允许访问企业应用基础架构。
SDP 的体系结构由两部分组成:SDP 主机和 SDP 控制器。SDP 主机可以发起连接或接受连接。这些操作通过安全控制通道与 SDP 控制器交互来管理。因此,在 SDP 中,控制平面与数据平面分离以实现完全可扩展的系统。此外,为便于扩展与保证正常使用,所有组件都可以是多个实例的。
* 微隔离(MSG)
微隔离是一种网络安全技术,它可以将数据中心在逻辑上划分为各个工作负载级别的不同安全段,然后定义安全控制并为每个唯一段提供服务。微隔离使IT人员可以使用网络虚拟化技术在数据中心内部部署灵活的安全策略,而不必安装多个物理防火墙。此外,微隔离可用于保护每个虚拟机(VM)在具有策略驱动的应用程序级安全控制的企业网络中。微隔离技术可以大大增强企业的抵御能力。
Recommend
About Joyk
Aggregate valuable and interesting links.
Joyk means Joy of geeK