imgboxbg

新闻中心

当前位置:
首页
/
/
安全 | 持续验证,永不信任

安全 | 持续验证,永不信任

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2021-01-26 09:46
  • 访问量:

【概要描述】的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,它打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。本文从起源、发展以及架构的三大betway88w彩票游戏等内容出发,深度诠释“”新一代betway88w投注防护理念,以便帮助大家更好地理解。

安全 | 持续验证,永不信任

【概要描述】的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,它打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。本文从起源、发展以及架构的三大betway88w彩票游戏等内容出发,深度诠释“”新一代betway88w投注防护理念,以便帮助大家更好地理解。

  • 分类:新闻中心
  • 作者:
  • 来源:
  • 发布时间:2021-01-26 09:46
  • 访问量:
详情

前言

的出现将网络防御范围从广泛的网络边界转移到单个或小组资源,它打破默认的“信任”,秉持“持续验证,永不信任”原则,即默认不信任网络内外的任何人、设备和系统,基于身份认证和授权,重新构建访问控制的信任基础,确保身份可信、设备可信、应用可信和链路可信。本文从起源、发展以及架构的三大betway88w彩票游戏等内容出发,深度诠释“”新一代betway88w投注防护理念,以便帮助大家更好地理解。

传统的betway88w投注架构理念是基于边界的安全架构,企业构建betway88w投注体系时,首先寻找安全边界,把网络划分为外网、内网、DMZ区等不同的区域,然后在边界上通过部署、入侵检测、WAF等产品。这种betway88w投注架构假设或默认了内网比外网更安全,在某种程度上预设了对内网中的人、设备和系统的信任,忽视加强内网安全措施。不法分子一旦突破企业的边界安全防护进入内网,会像进入无人之境,将带来严重的后果。

随着云计算、、、移动办公等新betway88w彩票游戏与业务的深度融合,betway88w投注边界也变得更加模糊,传统边界安全防护理念面临巨大挑战。在这样的背景下,架构(ZeroTrustArchitecture,ZTA)应运而生。它打破传统的认证,即信任、边界防护、静态访问控制、以网络为中心等防护思路,建立起一套以身份为中心,以识别、持续认证、动态访问控制、授权、审计以及监测为链条,以最小化实时授权为核心,以多维信任算法为基础,认证达末端的动态安全架构。

一览发展史

2004年:的最早雏形源于2004年成立的耶利哥论坛,其成立的使命正是为了定义无边界趋势下的betway88w投注问题并寻求解决方案,提出要限制基于网络位置的隐式信任,并且不能依赖静态防御。美国国防信息系统局(DefenseInformationSystemsAgency,DISA)为了解决全球信息栅格(GlobalInformationGrid,GIG)中如何实时、动态地对网络进行规划和重构的问题,发起了BlackCore项目,将基于边界的安全模型转换为基于单个事物安全性的模型,并提出了软件定义边界(SoftwareDefinedPerimeter,SDP)的概念,该概念后来被联盟(CloudSecurityAlliance,CSA)采纳。

2010年:著名研究机构Forrester的首席分析师John正式提出了这个术语,明确了架构的理念,该模型改进了耶利哥论坛上讨论的去边界化的概念,并提出三个核心的观点:

①不再以一个清晰的边界来划分信任或不信任的设备;

②不再有信任或不信任的网络;

③不再有信任或不信任的用户。

2013年:国际联盟成立软件定义边界(SDP)工作组。SDP作为新一代betway88w投注解决理念,其整个中心思想是通过软件的方式,在移动和云化的时代,构建一个虚拟的企业边界,利用基于身份的访问控制,来应对边界模糊化带来的粗粒度控制问题,以此达到保护企业的目的。

2014年:谷歌基于其内部项目BeyondCorp的研究成果并陆续发布6篇相关论文,介绍落地实践。BeyondCorp安全访问方法作为一种完全不信任网络,采用了模型安全机构,设计理念如下:

①所有网络都不可信;

②以合法用户、受控设备访问为主;

③所有服务访问都要进行身份验证、授权加密处理。

2017年:Gartner在安全与风险管理峰会上发布持续自适应风险与信任评估(ContinuousAdaptiveRiskandTrustAssessment,CARTA)模型,并提出是实现CARTA宏图的初始步骤,后续两年又发布了网络访问(Zero-TrustNetworkAccess,ZTNA)市场指南(注:SDP被Gartner称为ZTNA)。CARTA是自适应安全架构的3.0版本,将和攻击防护相结合,强调通过持续风险和信任评估来判断安全状况,没有绝对的安全和100%的信任,寻求一种0和1之间的风险与信任的平衡。

2018年:Forrester提出拓展生态系统(ZeroTrusteXtended,ZTX)研究报告,将视角从网络扩展到用户、设备和工作负载,将能力从微隔离扩展到可视化、分析、自动化编排,并提出身份不仅仅针对用户,还包括IP地址、MAC地址、操作系统等。简言之,具有身份的任何实体包括用户、设备、云资产、网络分段都必须在架构下进行识别、认证和管理。

2020年:NIST发布的《SP800-207:ZeroTrustArchitecture》标准对架构ZTA的定义如下:利用的企业betway88w投注规划,包括概念、思路和组件关系的集合,旨在消除在信息系统和服务中实施精准访问策略的不确定性。该标准强调架构中的众多组件并不是新的betway88w彩票游戏或产品,而是按照理念形成的一个面向用户、设备和应用的完整安全解决方案。

新betway88w投注规划方法——架构(ZTA)

随着“云、大、物、移”等新兴betway88w彩票游戏的兴起,网络现状变得愈加复杂,基于边界的传统betway88w投注规划方法已无法满足政企客户的betway88w投注需求。于是,通过将概念同政企客户网络及其业务现状相结合,诞生了新的betway88w投注规划方法——架构(ZTA)。

架构作为一种企业betway88w投注规划,利用了概念,囊括其组件关系、工作流规划与访问策略,聚焦数据保护,横向扩展到所有政企网络中的资产。它不是单一的网络架构,而是一套网络基础设施设计和运行的指导原则,可以用来改善敏感级别的安全态势。

与边界模型的“信任但验证”不同,的核心原则是“从不信任、始终验证”。传统betway88w投注都专注于边界防御,授权主体可广泛访问内网资源,而根据EvanGilman《ZeroTrustNetworks》书中所述,网络建立在五个假设前提之下:

1、应该始终假设网络充满威胁;

2、外部和内部威胁每时每刻都充斥着网络;

3、不能仅仅依靠网络位置来确认信任关系;

4、所有设备、用户、网络流量都应该被认证和授权;

5、访问控制策略应该动态地基于尽量多的数据源进行计算和评估。

架构的三大betway88w彩票游戏“SIM”

NIST标准的发布,首次提出了的官方标准定义以及实践betway88w彩票游戏架构,强调是个安全理念而非betway88w彩票游戏,并指出目前实现架构的三大betway88w彩票游戏“SIM”,即:软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)。

软件定义边界(SDP)

SDP旨在使应用程序所有者能够在需要时部署安全边界,以便将服务与不安全的网络隔离开。SDP将物理设备替换为在应用程序所有者控制下运行的逻辑组件,仅在设备验证和身份验证后才允许访问企业应用基础架构。从架构上讲,基于SDP的系统通常会实施控制层与数据层的分离,即控制流阶段,用户及其设备进行预认证来获取丰富的属性凭据作为身份主体,以此结合基于属性的预授权策略,映射得到仅供目标访问的特定设备和服务,从而可以直接建立相应安全连接。

身份识别与访问管理(IAM)

强调基于身份的信任链条,即该身份在可信终端,该身份拥有权限才可对资源进行请求。传统的IAM系统可以协助解决身份唯一标识、身份属性、身份全生命周期管理的功能问题。通过IAM将身份信息(身份吊销离职、身份过期、身份异常等)传递给系统后,系统可以通过IAM系统的身份信息来分配相应权限,而通过IAM系统对身份的唯一标识,可有利于系统确认用户可信,通过唯一标识对用户身份建立起终端、资源的信任关系,并在发现风险时实施针对关键用户相关的访问连接进行阻断等控制。

微隔离(MSG)

微隔离本质上是一种betway88w投注隔离betway88w彩票游戏,能够在逻辑上将数据中心划分为不同的安全段,一直到各个工作负载级别,然后为每个独立的安全段定义访问控制策略。它主要聚焦在云平台东西向流量的隔离,一是区别传统物理的隔离作用,二是更加贴近云计算环境中的真实需求。微隔离将网络边界安全理念发挥到极致,将网络边界分割到尽可能的小,能够很好的缓解传统边界安全理念下的边界过度信任带来的安全风险。

安全模型之所以一直受到行业广泛关注,是因为传统安全架构设计中,边界防护无法确保内部系统的安全性能。尤其是随着5G、云计算等新兴betway88w彩票游戏的融入,加剧了边界模糊化、访问路径多样化,造成传统边界防护无从入手。面对日益复杂的网络环境,风险持续预测、动态授权、最小化原则的“”创新性安全思维契合数字基建新betway88w彩票游戏特点,借助云、网络、安全、AI、的betway88w彩票游戏发展,着力提升信息化系统和网络的整体安全性,成为betway88w投注保障体系升级的中流砥柱,推动了安全架构时代的到来。

 

关键词:

扫二维码用手机看

这是描述信息

服务热线:
400-810-7766 (24H)
E-mail:

shfw@belfordengine.com
地址:
betway88w彩票游戏市海淀区东北旺西路8号中关村软件园21号

  • 抖音
    抖音
  • 微信
    微信
  • 微博
    微信

betway88w彩票游戏betway88w彩票游戏信息betway88w彩票游戏有限公司    

这是描述信息