自2010年約翰·金德維格(John Kindervag)首次提出了零信任安全的概念之后,已經(jīng)有十年時(shí)間。零信任安全理念已經(jīng)在國(guó)外已經(jīng)被廣泛應(yīng)用,在國(guó)內(nèi)零信任安全也引起了國(guó)家相關(guān)部門和業(yè)界的高度重視。而今年備受關(guān)注,是被關(guān)注的熱點(diǎn)之一。

眾所周知,零信任是一種基于嚴(yán)格身份驗(yàn)證過(guò)程的網(wǎng)絡(luò)安全模型。該框架規(guī)定,只有經(jīng)過(guò)身份驗(yàn)證和授權(quán)的用戶和設(shè)備才能訪問(wèn)應(yīng)用程序和數(shù)據(jù)。同時(shí),它可以保護(hù)這些應(yīng)用程序和用戶免受互聯(lián)網(wǎng)上高級(jí)威脅的侵害。該模型可以更有效地適應(yīng)現(xiàn)代環(huán)境的復(fù)雜性,無(wú)論人在何處,都可以有效的保護(hù)設(shè)備、應(yīng)用程序和數(shù)據(jù)安全,對(duì)于數(shù)字化轉(zhuǎn)型及企業(yè)網(wǎng)絡(luò)安全架構(gòu)來(lái)說(shuō),都越來(lái)越重要。

云深互聯(lián)陳本峰表示,“零信任安全的中心是數(shù)據(jù)。傳統(tǒng)的防火墻或者密碼策略并不能有效的阻止外部攻擊,而零信任框架可以針對(duì)數(shù)據(jù)泄露和網(wǎng)絡(luò)威脅提供可靠的防御。熟悉了解零信任的工作原理及模型原則,可以對(duì)安全防御有更多的了解,今天跟大家分享一下對(duì)零信任安全模型的認(rèn)知。”那么,到底什么是零信任安全模型呢?

零信任安全的工作原理

零信任安全是涉及多種技術(shù)和流程的網(wǎng)絡(luò)安全方法,而且前面講到,它的核心是數(shù)據(jù)安全性。所以,數(shù)據(jù)安全是零信任架構(gòu)的重點(diǎn)領(lǐng)域。包括Forrester也建議針對(duì)重點(diǎn)領(lǐng)域需建立最佳的零信任安全策略。

　　圖 零信任安全模型

· 零信任數(shù)據(jù):零信任首先要保護(hù)數(shù)據(jù),然后再構(gòu)建其他安全層。由于數(shù)據(jù)是攻擊者和內(nèi)部威脅的最終目標(biāo),因此,零信任框架的第一關(guān)注點(diǎn)就是數(shù)據(jù)。需要對(duì)數(shù)據(jù)進(jìn)行實(shí)時(shí)監(jiān)測(cè)和響應(yīng)。

· 零信任網(wǎng)絡(luò):零信任技術(shù)可以對(duì)網(wǎng)絡(luò)進(jìn)行分段、隔離和限制,阻止攻擊者進(jìn)入網(wǎng)絡(luò)竊取數(shù)據(jù)。

· 零信任人員:網(wǎng)絡(luò)安全其實(shí)是人的安全,人是安全策略中最薄弱的環(huán)節(jié)。零信任模型沒(méi)有假設(shè)公司防火墻后面的所有信息都是安全的,而是假設(shè)違規(guī)并驗(yàn)證每個(gè)請(qǐng)求,就像它是來(lái)自開(kāi)放網(wǎng)絡(luò)一樣。無(wú)論請(qǐng)求來(lái)自何處或訪問(wèn)什么資源,零信任都會(huì)教我們“永遠(yuǎn)不要信任,永遠(yuǎn)要驗(yàn)證”。在授予訪問(wèn)權(quán)限之前,每個(gè)訪問(wèn)請(qǐng)求都經(jīng)過(guò)完全身份驗(yàn)證,授權(quán)和加密。微隔離和特權(quán)最小的訪問(wèn)原理被應(yīng)用以最小化橫向移動(dòng)。豐富的情報(bào)和分析功能可用于實(shí)時(shí)檢測(cè)和響應(yīng)異常。

· 零信任工作負(fù)載:工作負(fù)載是基礎(chǔ)架構(gòu)和運(yùn)營(yíng)團(tuán)隊(duì)所使用的術(shù)語(yǔ),意指使您的客戶與您的業(yè)務(wù)交互的整個(gè)應(yīng)用程序和后端軟件堆棧,從存儲(chǔ)到操作系統(tǒng)到Web前端,將整個(gè)堆棧視為威脅,并使用符合“零信任”標(biāo)準(zhǔn)的控件對(duì)其進(jìn)行保護(hù)。

· 零信任設(shè)備:由于網(wǎng)絡(luò)上設(shè)備的數(shù)量在過(guò)去幾年中呈爆炸式增長(zhǎng),而這些連接的設(shè)備中的每一個(gè)都可以作為攻擊者滲入網(wǎng)絡(luò)的入口點(diǎn)。所以,零信任安全團(tuán)隊(duì)?wèi)?yīng)該能夠隔離,保護(hù)和控制網(wǎng)絡(luò)上的每臺(tái)設(shè)備。

· 可見(jiàn)性分析:高級(jí)威脅檢測(cè)和用戶行為分析是掌握網(wǎng)絡(luò)中任何潛在威脅的關(guān)鍵,便于實(shí)時(shí)識(shí)別異常行為。執(zhí)行“零信任”原則,可以讓安全事件響應(yīng)團(tuán)隊(duì)及時(shí)了解網(wǎng)絡(luò)中發(fā)生的事情,并進(jìn)行分析。

· 自動(dòng)化和編排:自動(dòng)化有助于零信任安全系統(tǒng)的正常運(yùn)行,并執(zhí)行零信任策略。

零信任安全模型的3條原則

零信任是一種基于嚴(yán)格身份驗(yàn)證過(guò)程的網(wǎng)絡(luò)安全模型。其有3個(gè)基本原則:

圖 零信任原則

1. 對(duì)資源訪問(wèn)進(jìn)行身份驗(yàn)證

零信任的第一基本原理是對(duì)資源訪問(wèn)進(jìn)行身份驗(yàn)證。我們必須假定在訪問(wèn)網(wǎng)絡(luò)時(shí)都是具有威脅的,所以每次用戶在訪問(wèn)共享文件、應(yīng)用程序、云存儲(chǔ)設(shè)備時(shí),都需要重新進(jìn)行驗(yàn)證。

2.采用最小特權(quán)模型并執(zhí)行訪問(wèn)控制

最低權(quán)限的訪問(wèn)模式是一種安全模式,因?yàn)橥ㄟ^(guò)限制每個(gè)用戶的訪問(wèn)權(quán)限,可以防止攻擊者使用一個(gè)受感染的帳戶來(lái)訪問(wèn)大量數(shù)據(jù)。

3.檢查并記錄所有內(nèi)容

零信任原則要求檢查和驗(yàn)證所有內(nèi)容。記錄每個(gè)網(wǎng)絡(luò)呼叫,文件訪問(wèn)和電子郵件中是否存在惡意行為,這樣可以分辨出正常登錄或異常登錄之間的區(qū)別。

零信任安全模型的實(shí)施

文章開(kāi)頭,我們提到了零信任的核心是數(shù)據(jù)。對(duì)于如何利用零信任架構(gòu)保護(hù)數(shù)據(jù),有以下幾點(diǎn):

· 識(shí)別敏感數(shù)據(jù):在保護(hù)數(shù)據(jù)之前,需要找出敏感數(shù)據(jù)所在的位置,并明確數(shù)據(jù)的訪問(wèn)權(quán)限。

· 限制訪問(wèn):確定了敏感數(shù)據(jù)后,請(qǐng)檢查以確保只有需要訪問(wèn)權(quán)限的人員才能訪問(wèn)。這將限制敏感數(shù)據(jù)的暴露,并使黑客更難獲得訪問(wèn)權(quán)限。

· 檢測(cè)威脅:了解敏感數(shù)據(jù)的位置并限制對(duì)其的訪問(wèn)是建立“零信任”的關(guān)鍵的一步。接下來(lái),需要能夠檢測(cè)數(shù)據(jù)是否有異常行為。并將當(dāng)前行為與先前行為的基準(zhǔn)進(jìn)行比較,然后應(yīng)用安全分析和規(guī)則以檢測(cè)來(lái)自內(nèi)部或外部的網(wǎng)絡(luò)安全威脅。

寫在最后:

零信任作為一種信息安全架構(gòu),要求對(duì)網(wǎng)絡(luò)內(nèi)部或外部的訪問(wèn)采用“永不信任,始終驗(yàn)證,強(qiáng)制執(zhí)行最小特權(quán)”的方法。通過(guò)實(shí)施最少特權(quán)訪問(wèn),組織可以最大程度地減少攻擊面,提高審計(jì)和合規(guī)性可見(jiàn)性,并降低現(xiàn)代混合型企業(yè)的風(fēng)險(xiǎn),復(fù)雜性和成本。

2019年,Gartner發(fā)布的《零信任網(wǎng)絡(luò)訪問(wèn)市場(chǎng)指南》中對(duì)零信任安全的市場(chǎng)進(jìn)行了詳細(xì)的描述。“隨著零信任逐步被眾多企業(yè)熟知和應(yīng)用,而且,零信任相對(duì)傳統(tǒng)安全具有更好的優(yōu)越性,未來(lái)零信任的市場(chǎng)占有率將會(huì)越來(lái)越大,未來(lái),可期。”云深互聯(lián)陳本峰如是說(shuō)。

（免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。 ）