什么是零信任
近年來,大規(guī)模數(shù)據(jù)泄露事件層出不窮。動輒上百萬甚至上億的用戶信息被批量泄露,從億萬網(wǎng)民到政府要員都不能幸免。日益復雜且頻發(fā)的網(wǎng)絡安全攻擊,使得傳統(tǒng)基于網(wǎng)絡位置來劃分內(nèi)外網(wǎng),進而判斷訪問合法性的安全模型不再適用。人們開始思考一種新的網(wǎng)絡安全架構(gòu)。
2010年,IT市場研究機構(gòu)Forrester的分析師John Kindervag首次提出了零信任網(wǎng)絡架構(gòu),相比傳統(tǒng)網(wǎng)絡安全架構(gòu),零信任認為任何網(wǎng)絡連接都不可信。近兩年,國內(nèi)外廠商紛紛推出了自己的零信任產(chǎn)品或架構(gòu)。零信任逐漸在網(wǎng)絡安全中流行。
從零信任到精益信任
然而,零信任架構(gòu)的研究和落地過程中,出現(xiàn)了一系列的疑問。
(1)零信任理念中“從不信任,總是驗證"是否最優(yōu)
信任是在兩個實體之間建立的雙向信賴,零信任的字面含義,意味著實體之間不存在信任,也意味著整個交互過程信任程度的不變,而這將導致交互和業(yè)務的難以開展,以及信任等級的過度或不足。
(2)零信任架構(gòu)如何與業(yè)務系統(tǒng)、已有安全手段兼容
已有的零信任方案,比如谷歌的BeyondCorp和Cisco的Duo Beyond方案,其中一個關(guān)鍵改造點是取消VPN,全部采用HTTP、HTTPS和SSH等方式對內(nèi)網(wǎng)進行訪問。這樣的改造要求內(nèi)網(wǎng)業(yè)務系統(tǒng)進行大范圍的改造,同時已有VPN設備幾乎完全得不到復用。此外,很多零信任解決方案只針對身份層面的安全訪問問題,對業(yè)務系統(tǒng)其他層面的安全問題考慮不充分。
此外,零信任如何低成本落地等問題也成了零信任實踐過程中的難題。針對這些問題,國際權(quán)威IT研究分析機構(gòu)Gartner在研究報告《Zero Trust Is an Initial Step on the Roadmap to CARTA》中,認為網(wǎng)絡安全應基于風險和信任的監(jiān)測、評估、學習和調(diào)整,最終實現(xiàn)對風險和信任的精益控制。這一目標在報告中被描述為精益信任(Lean Trust)。而零信任只是實現(xiàn)這一目標的第一步。
和零信任相比,精益信任有以下不同:
1)信任控制理念不同
相比于零信任“從不信任,總是驗證”的理念,精益信任通過信任和風險的反饋控制,實現(xiàn)“精確而足夠”的信任。對零信任的嚴格解釋,意味著信任永遠為零,不具有擴展、變化能力。而精益信任認為信任不是靜態(tài)的,信任水平會隨行為、環(huán)境的變化而變化。宏觀來看信任也不是二進制的,在可信和不可信之間,應該有中間地帶。
2)實現(xiàn)路徑不同
已有的零信任架構(gòu)多圍繞身份進行構(gòu)建,聚焦于身份管理和訪問控制。精益信任架構(gòu)則以風險和信任為中心,與端點檢測響應、態(tài)勢感知、VPN等安全組件進行聯(lián)動,統(tǒng)籌了內(nèi)外網(wǎng)的安全監(jiān)測和控制機制,實現(xiàn)安全架構(gòu)的重構(gòu)。身份安全只是精益信任架構(gòu)的一部分。
總的來說,在精益信任中,業(yè)務交互以信任為基石,業(yè)務的開展需要信任的建立。并且,信任與風險相伴相生,網(wǎng)絡安全不能實現(xiàn)零風險,只能管理風險。風險的管理,通過對信任的控制實現(xiàn)。進一步,還要持續(xù)監(jiān)測評估風險,根據(jù)業(yè)務的需要和風險的反饋,持續(xù)調(diào)整信任。這一整個信任與風險的精益控制回路,是精益信任的核心理念。
精益信任落地架構(gòu)
基于精益信任理念,深信服實踐了精益信任安全架構(gòu):
架構(gòu)包含精益信任平臺和精益信任插件。精益信任平臺部署于應用服務區(qū)和訪問終端之間,對應用服務區(qū)進行保護和訪問行為控制。精益信任插件部署在訪問終端和后端應用系統(tǒng),負責對終端進行安全認證、威脅保護和設備感知,對應用進行攻擊防護和感知檢測。
該架構(gòu)中,精益信任理念的落地,主要分為兩個階段:
1)信任建立階段:
信任建立前,默認任何用戶、設備都不可信。依據(jù)身份、設備、環(huán)境的多源上下文信息,在信任控制中心對用戶、設備進行信任的評估,依據(jù)評估結(jié)果確定信任等級,建立信任?;谛湃蔚燃壓唾Y源安全等級,確定訪問控制規(guī)則,下發(fā)安全接入網(wǎng)關(guān),開展業(yè)務訪問。
2)信任和風險控制階段:
訪問過程中,通過檢測分析中心、終端管理中心、身份認證中心,對訪問行為、設備狀態(tài)、環(huán)境態(tài)勢、資源安全等級進行持續(xù)的風險和信任評估。依據(jù)評估結(jié)果,精益調(diào)整信任等級以及訪問控制規(guī)則。持續(xù)循環(huán)反饋,實現(xiàn)信任和風險的精益控制。
通過自適應策略,結(jié)合按需部署的功能組件,私有化、云化等多種部署方式,實現(xiàn)信任和風險的精益控制。深信服精益信任安全解決方案秉持“面向未來,有效保護”的安全理念,幫助用戶構(gòu)建更匹配業(yè)務需求的安全架構(gòu)!
- 蜜度索驥:以跨模態(tài)檢索技術(shù)助力“企宣”向上生長
- 為什么年輕人不愛換手機了
- 柔宇科技未履行金額近億元被曝已6個月發(fā)不出工資
- 柔宇科技被曝已6個月發(fā)不出工資 公司回應欠薪有補償方案
- 第六座“綠動未來”環(huán)保公益圖書館落地貴州山區(qū)小學
- 窺見“新紀元”,2021元宇宙產(chǎn)業(yè)發(fā)展高峰論壇“廣州啟幕”
- 以人為本,景悅科技解讀智慧城市發(fā)展新理念
- 紐迪瑞科技/NDT賦能黑鯊4 Pro游戲手機打造全新一代屏幕壓感
- 清潔家電新老玩家市場定位清晰,攜手共進,核心技術(shù)決定未來
- 新思科技與芯耀輝在IP產(chǎn)品領(lǐng)域達成戰(zhàn)略合作伙伴關(guān)系
- 芯耀輝加速全球化部署,任命原Intel高管出任全球總裁
免責聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性,但不保證有關(guān)資料的準確性及可靠性,讀者在使用前請進一步核實,并對任何自主決定的行為負責。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏,概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時,應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明,并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后,將會依法盡快聯(lián)系相關(guān)文章源頭核實,溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。