前言
在上一篇文章中我们已经详细介绍过“零信任架构”的发展过程和逻辑组成。“零信任网络”模型自2010年被John Kindervag创建后,发展至今已有10年时间,随着零信任的支撑技术逐渐成为主流,随着防护企业系统及数据安全的压力越来越大,随着网络攻击演变得更加复杂高端,零信任模型也在CIO和CISO中间愈加流行了。那么有关“零信任网络”中的技术您是否有所了解呢?美创安全实验室将在本篇文章带大家了解一下“零信任网络”中的关键技术和技术难点。
零信任理论所需技术
在 各种各样的现有技术和监管过程支撑之下,零信任方法才得以完成保护企业IT环境的使命。 它需要企业根据用户、用户所处位置、上下文信息和其他数据等条件,利用微隔离和细粒度边界规则,来确定是否信任请求企业特定范围访问权的用户/主机/应用。
首先,要弄清楚用户身份,确保用户真的是他/她所声称的那个人;
然后,要保证用户所用终端是安全终端,或者该终端处在安全状态;
最后,还要有个信任策略,指定哪些人能访问哪些东西。
零信任依靠多因子身份认证、身份与访问管理(IAM)、编排、分析、加密、安全评级和文件系统权限等技术来做上述工作。 最小权限原则也是零信任倚赖的监管策略之一,也就是只赋予用户完成特定工作所需的最小访问权限。
基本上,零信任就是公司企业收回安全战场控制权,在各部门应用网络分隔和下一代防火墙,控制网络接入的身份、对象、地点和时间,是从内而外地施行控制,而不是由外而内。现今的大部分IT场景中,零信任不仅仅是技术,还有关思维和过程。
零信任落地所需技术
目前市场上,“零信任”产品的技术实现方法不同,但是他们提供的价值主观是相同的,例如:
国内某零信任安全能力平台认为“零信任“落地至少需要具备以下几种技术:
1、 最小权限访 问
基于可信的终端、应用、身份、流量、上下文信息,进行细粒度的风险度量和授权,实现动态访问控制。
2、 终端数据隔离
防护边界延伸到终端,企业应用运行在终端沙盒中,有效防止数据泄露。
3、 应用资产隐藏
所有的访问需要通过分布式代理网关接入,应用资产不直接暴露在互联网上,大大减少被攻击面。
零信任网络的技术难点
按目前零信任网络的发展来看,零信任网络还有很多不足。 比如BGP、身份和访问管理(IAM)服务等路由协议之间缺乏集成。 路由如果足够智能,可以将具有子IP地址的源设备存储在一个子IP网络中,并通过IP地址和应用程序将数据包发送到目标子IP网络。 此外,虽然现在IAM可以用于网络,但它并不用于确定数据包是如何路由的。 下图说明了零信任网络正在将路由器的路由表与目录的AAA策略结合起来,以允许或拒绝一个包从源到目的地的转发。 与目前的二进制规则相比,更精细的规则可以应用到路由中,后者可以提高网络性能和安全控制。
零信任网络控制平面
为了使IP路由与目录一起工作并实施零信任网络策略,网络必须能够保持状态。尽管防火墙和其他安全设备保持状态,但迄今为止的IP网络是无状态的。原本路由器无状态是为了保持它们的简单和快速,但现在通过在路由器中添加状态,可以添加额外的服务,使路由更加动态、智能和安全。 多年来网络流量的增长迅速,让路由器不堪重负,所以创建能够快速处理数据包的路由器尤为重要。
现在的网络需要基于边缘、分布和核心的体系结构,其中路由是在分发层进行的,交换在边缘和核心中完成。随着路由器从专用设备转向在网络边缘运行的软件,在路由中增加额外安全和智能的限制或可被解除。如果将网络比作道路系统,路面的各种车辆是IP包,路边的房屋是设备或系统。今天任何人都可以离开自己的房子,通过各种路线(网络)开车(IP包)到你家门口。他(或她)可能没有钥匙进入你的家,但他(或她)可以藏起来,等待进入的机会,就如同网络病毒一样等待机会侵入你的电脑系统。 然而在一个零信任的世界里,任何人想去你家(访问设备或系统)必须事先和你预约(上报身份信息、设备、系统信息等),并得到同意后才能拜访。 零信任网络是数字虚拟世界中必要的安全保障。
如何突破零信任的挑战
部分企业的IT部门已经实现了零信任的很多方面。 他们通常已经部署了多因子身份验证、IAM和权限管理。 其环境中也越来越多地实现了微分隔。 但建立零信任环境不仅仅是实现这些单个技术,而是应用这些技术来施行“无法证明可被信任即无法获得权限”的理念。 企业得从战略上确定哪些技术有助实现这一理念,然后再去买入这些技术。
在技术的应用上最忌讳病急乱投医,与其期待乱买来的药能治好病,不如先好好诊断诊断,弄清楚自身情况再采用相应的技术。 转向零信任模型不是一朝一夕之功,也不是件容易的事儿,尤其是在有不适应该新模型的遗留系统的时候。 很多公司都在向云端迁移,这是个全新的环境,很适合应用零信任模型,可以从云端开始零信任旅程。公司企业,尤其是有着复杂IT环境和大量遗留系统的大型企业, 应将零信任迁移看做是多阶段跨年度的一项工程。
零信任迁移中的另一项挑战,是让员 工具 备该新理念的思维方式
比较不幸的是,大多数企业IT专家接受的教育或培训让他们默认企业环境是可信的,他们被教导得想当然地认为防火墙能将坏人挡在外面。 人们需要调整自己的思维模式,要清楚当前态势下坏人可能早就在自家环境中了。
公司企业还需认识到,零信任与其他成功的IT或安全原则一样,需要长期坚守,不断维护,而且零信任工作中的某些部分会更具挑战性。 从传统企业网络迁移至BeyondCorp前,谷歌花费两年时间来创建用户和设备信任库,这是一个比较漫长的过程。谷歌实行BeyondCorp计划离不开高层的支持,尽管该类型网络维护成本较低,但对预算要求颇高。比如说,微分区工作中,安全/IT团队就必须确保配置修改是恰当的,并更新不停改变的IP数据以保证员工工作或企业交易所需访问不被中断。否则,企业可能会面临工作阻塞问题。
很多公司都会想,遭遇恶意软件导致业务中断,和配置错误导致停工一天,本质上都不是什么好事。 微分隔方法所需的持续维护可能会带来很多临时应急的措施,或许会让网络更加脆弱。 在遗留系统和现有环境中整体应用零信任模型所导致的复杂性,表明公司企业真的没有做好完全实现该模型的准备。
因此,公司企业最好是从设计上就打造零信任,而不是在原有基础上修修补补。 换句话说,应将零信任模型作为公司整体数字转型战略的一部分,实现那些有助于在云迁移过程中达成零信任的技术,淘汰掉那些老旧的遗留系统。而且,CISO、CIO和其他高管应参与进转向零信任的过程中,这样他们才能安排过程中各项事务的优先级,确定哪些动作应尽快完成,而哪些部分可以先等等。
零信任迁移基本等同基础设施转型。信息安全并没有跟上数字转型/现代化环境的脚步。但企业必须转换安全管理的方式。想要整体安全, 想要有安全准备度,就需要换一种思维方式。 无论是BeyondCorp还是其他零信任网络架构,都提供了一种新的安全模式,设备和用户只能获得经过验证的资源,如此企业才构建了更为安全的环境。
关于美创
杭州美创科技有限公司,敏感数据保护和数据安全领域的拓荒者和领导者,由国内多名数据库资深专家携手于2005年成立,产品及服务覆盖数据安全、数据管理、容灾备份、智能运维等四大领域,广泛应用于医疗、教育、金融、政府、人社、电力能源、物流交通、企业等众多行业。多年来,凭借卓越的技术创新与良好的用户口碑,美创多次入围全国网络安全50强,并参与多项国家及行业标准的编写,引领数据安全领域的规范发展。 目前,美创科技已全面推动全国市场化发展战略,相继在北京、广州、武汉、南京、成都、上海等地设立分公司,致力于为更多的客户提供专业的安全解决方案。
以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持 码农网
猜你喜欢:- 零信任技术进阶篇:关键技术及挑战
- 一切围绕信任:闲鱼无忧购的技术演进
- 信任帮助智能分析释放潜力 让员工最大化利用智能技术提高效率优化见解
- [译] 零信任网络安全:“从不信任,永远验证”
- 深度解读零信任身份安全—— 全面身份化:零信任安全的基石
- 现场 | 智能矩阵Atmatrix:区块链本质是信任机器 信任基础就是数学算法
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Scalability Rules
Martin L. Abbott、Michael T. Fisher / Addison-Wesley Professional / 2011-5-15 / USD 29.99
"Once again, Abbott and Fisher provide a book that I'll be giving to our engineers. It's an essential read for anyone dealing with scaling an online business." --Chris Lalonde, VP, Technical Operatio......一起来看看 《Scalability Rules》 这本书的介绍吧!
在线进制转换器
各进制数互转换器
HEX HSV 转换工具
HEX HSV 互换工具