零信任落地实践【新世界】

🌕写在前面
🎉欢迎关注🔎点赞👍收藏⭐️留言📝
✉️今日分享:

莫道前路多险阻,再闯关山千万重

🍀 前言

轻舟已过万重山,始终不忘初心。在网络安全领域,我们需要始终保持警觉,不断学习和探索新的安全技术和策略。零信任架构作为一种新兴技术,具有突破传统网络安全边界的优势,值得我们深入研究和探索。

关于零信任的介绍可以先阅读前面三篇:零信任的基本概念【新航海】、零信任架构分析【扬帆】、零信任的三种主流技术【远航】,今天开始零信任系列第四篇:零信任落地实践【新世界】,希望对您学习和实践零信任有帮助。

本文将探讨如何落地实践零信任架构,以便更好地保护企业的信息安全。文章将介绍零信任架构在企业落地实施要注意的几个方向,并提供一些实用的建议和技巧,帮助企业更好地应对安全挑战。


🍀 零信任落地实践面临的挑战

要实现零信任架构的落地实践,企业面临着一系列挑战和难点。

    🍊复杂性

零信任架构需要企业对网络和数据进行全面的分析和评估,确定不同的安全策略和控制点。这需要企业具有一定的技术水平和专业知识,否则会增加实施的复杂性。

    🍊资源限制

实施零信任架构需要企业投入大量的资源,包括人力、物力和财力等。对于一些中小企业来说,资源的限制可能会成为实施零信任架构的障碍。

    🍊文化和组织架构

零信任架构需要企业改变传统的安全观念和管理方式,采取更加灵活和开放的管理方式。这需要企业建立相应的文化和组织架构,适应零信任架构的要求。

    🍊技术兼容性

实施零信任架构需要企业采用一系列新的安全技术和产品,这需要这些技术和产品与企业原有的技术和产品兼容。否则,将会增加实施的难度和成本。

🍀 零信任落地实践方案

以下是四种实践,可帮助您确定工作的优先级,安全地验证设备,确保系统的可见性以及消除虚假信任。

     🍊 了解和评估自身的安全风险

在实际执行当中,通过全面地了解和评估自身的安全风险,企业可以更好地识别和管理安全威胁,制定相应的安全策略来保护企业的敏感数据和资源。

  🌳进行全面的安全风险评估,并制定相应的安全策略

第一步,确定评估范围。企业需要确定评估的范围,包括评估的对象、评估的方法和评估的时间。

第二步,收集相关信息。企业需要收集和分析相关的信息,包括企业的安全政策和规程、网络拓扑结构、应用程序、用户和设备等。

第三步,识别安全威胁。企业需要识别可能存在的安全威胁,包括内部和外部的威胁。企业应该根据威胁的类型、来源、影响等因素进行分类和分析。

第四步,评估安全风险。企业需要评估安全风险的概率和影响程度。评估的结果应该基于安全威胁的影响和概率,确定其优先级和紧急程度。

第五步,制定相应的安全策略。企业需要根据评估的结果,制定相应的安全策略,包括技术和管理措施。这些措施应该针对特定的安全威胁和风险等级,以保护企业的敏感数据和资源。

  🌳持续认证评估,永不信任

一般厂商的零信任组件产品对经过身份认证的用户行为也会进行数据采集,不断进行环境感知,只有身份权限和信任评估通过之后才能进入零信任的访问控制台,再进入到具体的业务系统。参考如下图:

    🍊实施多层次的访问控制

零信任的核心变革就是让企业网从IP网络升级到ID网络。多层次的访问控制可以帮助企业实现对用户和设备的精细化控制,确保只有经过授权的用户和设备才能访问企业的资源和数据。

  🌳 实施多层次的访问控制的原则和方法

在实施多层次的访问控制时,企业需要采取以下方法:

1)采用网络分段:企业可以将网络分成多个区域,每个区域都有不同的访问控制规则和策略。

2)实施访问控制策略:企业需要制定访问控制策略,包括身份验证、授权、审计和报告等。

3)实施网络隔离:企业需要实施网络隔离,以防止安全漏洞扩散到整个网络中。

  🌳建立统一的认证平台,提升基础安全及执行能力

建议建立统一的认证能力平台,为所有业务系统提供认证能力。所有业务平台对接认证能力平台以获得中级及以上认证能力,大幅降低因认证方式带来的风险。

可结合已经建立的4A系统,升级4A系统认证体系。使用多因素认证提高安全等级。收集并绑定设备指纹,将每台设备(PC 端或移动 端)与账户关联绑定。通过账号与设备的绑定,实现用户、账号、设备三位一体的认证体系。

建立以零信任网关为核心的控制体系,该方式将大大提高对用户访问行为的控制,弥补现有业务系统在访控制方面的安全短板。建立采集系统,在用户使用业务系统时,采集行为和环境信息。零信任网关体系可以与 4A 系统和其它业务系统结合,通过代理技术隐藏所有被代理系统的 IP 和端口,并对用户的访问行为进行鉴权检测。

*拓展:零信任和云原生安全进行结合的例子,通过统一身份管理平台IAM系统进行统一用户身份认证与访问管理,为微服务的认证授权与访问控制打下基础。其次,借鉴云原生Service Mesh的思想,将微服务的认证、授权与访问控制任务下沉至每个微服务的SideCar代理中,并通过微服务管理平台的策略配置对各微服务的认证、授权与访问控制策略进行管理。最后,通过云原生微服务管理平台、API网关与IAM系统的对接,实现微服务应用之间基于身份的认证授权与精细化访问控制。

 基于身份的微隔离零信任架构

    🍊应用程序和数据的保护

从终端可信、身份可信、网络可信到数据可信,各个环节建立多层防线。

  🌳安全策略

对数据的保护:基于零信任安全理念,将数据使用权和数据所有权分离,构建虚拟隔离的数据资源安全边界,防止数据泄露、数据篡改等事件发生,打造零信任架构下的新一代数据安全管控和隔离方案,实现数据传输、使用、共享安全。

 

 4个可信示例

对应用的保护:在应用运行中,可以通过基于身份的微隔离技术实现基础设施/应用之间的安全访问控制;通过应用验证与防护技术实现应用安全风险的发现及异常访问阻断,最终实现应用安全风险无限趋近于0。

  🌳网络策略

零信任意味着零。这包括企业本地网络,不应该依赖网络本身来保护通信。相反,应在网络内运行的设备和服务中建立信任。例如,通过实施加密协议(例如TLS)。如果您依靠本地网络来确保安全,则可能会打开连接来攻击DNS欺骗,中间人(MitM)攻击或未经请求的入站连接等攻击。

    🍊实施监控和响应机制

监控和响应机制可以帮助企业发现潜在的安全威胁,及时采取应对措施,减少安全事件的影响;同时,为后续的安全分析和调查提供重要的数据支持。

  🌳将监视重点放在设备和服务上

部署一套零信任架构并不能高枕无忧,日常安全运维还是得全面连续监视设备和服务的交互方式。监视时,每个设备都需要单独评估,不能依靠流量检测来捕获攻击行为,也得根据网络上发生的事件评估设备数据,以确保流量与定义的安全策略匹配。

  🌳AI+安全运营

这一点属于预判一下未来发展趋势,上一点说道日常运维需要全面连续监控社保,是否可以将ChatGPT集成到安全运营平台(业内也称之为态势感知平台),使用APISDK等方式,让ChatGPT能够访问和调用态势感知平台中的数据和功能,并根据用户的输入生成合适的输出。让用户可以直接通过ChatGPT在应用层的衍生产品进行安全监控和风险预警,

 

Bing的回答

*拓展:基于现在大火的ChatGPT,补充个题外话,网络安全领域可以期待一下出现AI Native SaaS 产品。并且引入AI到安全运维中来的话,不需要运维人员操作,直接输入你想要做什么,AI自动执行自动汇报自动处理了,我相信很快会出现这种现象级的产品,到时候直接在客户环境中部署一套AI智能安全运维工具,彻底解放繁琐的安全运维工作。

引入可视化的AI产品,利用前期收集的用户数据,训练适配的模型,建立智能规则引擎,对用户请求的行为信息和环境信息进行自动化评估,关联前期部署的规则引擎,验证并改良智能规则和引擎。通过AI产品建立无感知认证模型,作为辅助认证方式进一步提高用户体验,从“有认证”升华至“无认证”。再通过大数据和机器学习模型,结合深度挖掘技术建立用户画像库,识别用户行为习惯,践行“行为即指纹”理念,实现“零信任”的终极目标。

🍀建设实践路线建议

零信任安全防护体系的建设不在一日之功,企业应该结合实际业务需求和应用场景,采取因地制宜、循序渐进的策略,不贪大求全,而是讲究技术应用的实效。通过选择适宜的场景一步步由浅入深实施,打造零信任技术设施,积累集成经验,由关键边界、办公网逐步向核心业务面和生产网的零信任迁移。


🍀写在最后的话

目前,零信任架构在一些大型企业和政府机构中已经得到了广泛的应用,取得了一定的成果。但是,对于中小型企业来说,实施零信任架构仍然存在一定的难度和成本,需要进行全面的评估和规划。

未来,随着技术的不断发展和安全威胁的不断增加,零信任架构将会得到更广泛的应用和推广。我们有理由相信,零信任架构将成为网络安全领域的重要趋势,为企业和个人提供更加全面、可靠的网络安全保障。

参考资料:https://zhuanlan.zhihu.com/p/534520439



🙏作者水平很有限,如果发现错误,请留言轰炸哦!万分感谢感谢感谢

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/30762.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

神龙显灵-走进中国传统节日二月二龙抬头

二月二龙抬头,是中国传统的节日之一,也是春节的收官之战。这个节日被视为一个转折点,标志着春天的到来,也为农民们带来了新的希望和期待。 二月二这个日子有很多习俗和传说,其中最著名的就是“龙抬头”。据传说&#…

盘古大模型,让人人实现数字人自由

编辑&#xff1a;阿冒 设计&#xff1a;沐由 就在华为开发者大会2023 < HDC.Cloud 2023 > 正式开启的前夜&#xff0c;一则重磅消息从海外传来&#xff1a; 国际顶级学术期刊《自然》&#xff08;Nature&#xff09;杂志正刊发表了华为云盘古大模型研发团队研究成果——《…

奥运礼服设计师:AIGC 让童装设计从绿皮车进入高铁时代

近日&#xff0c;由温州 AIGC 产业联盟、温州市服装商会共同发起的“首届温州鞋服产业 AIGC 设计大赛”活动正如火如荼进行。大赛聚焦 13 岁青少年服饰设计这一行业存在已久的难题&#xff0c;探讨如何利用 AIGC 热门工具解决青少年服装设计痛点。据巴比特了解&#xff0c;该活…

每日互动(个推)CTO叶新江:AIGC时代,大模型推动数据要素商业化

ChatGPT在一夜之间火爆互联网&#xff0c;让AIGC受到世界范围内的高度关注。时至今日&#xff0c;AIGC热度持续高涨&#xff0c;各大互联网公司争相布局这一领域。日渐成熟的技术、显著的降本增效优势以及日益增长的市场需求等因素&#xff0c;已经推动AIGC成为互联网公司新一轮…

YEF 2023 18日开幕,逾千青年精英齐聚话“突围”

YEF2023 18日在温州开幕&#xff0c;在CCF YOCSEF创建25周年之际&#xff0c;逾千名计算机相关的学术、技术、产业、媒体、社会组织中的青年人才&#xff0c;汇聚温州鹿城区&#xff0c;一起回望、一起思辨、一起突围。 5月18日上午&#xff0c;由CCF主办&#xff0c;温州市人民…

AI大模型迈入应用时代,每日互动推动“可控大模型”落地

垂直行业更需要可控大模型 当下&#xff0c;大模型正在不断精进&#xff0c;以GPT-4、文心一言为代表的大模型&#xff08;LLM&#xff09;表现出了强大的逻辑推理能力&#xff0c;并能够很好地处理复杂任务&#xff0c;使得社会生产力得到了飞跃式提升。 面对大模型热度的持…

喜报 | 客户赞誉!获温州银行授予优秀供应商证书

近日&#xff0c;温州银行金融科技部在杭州、温州两地同时展开2022年度供应商表彰活动&#xff0c;意在鼓励先进、鼓舞干劲。擎创科技作为温州银行长期合作的供应商之一&#xff0c;凭借在智能运维领域精研的技术优势及“以客户成功为本”的服务价值观&#xff0c;深得客户青睐…

数画自研chatgpt,imagegpt人工智能语言技术,颠覆对AI绘画的认知

2023年1月1日&#xff0c;数画AI绘画又爆火了&#xff0c;这一次是数画团队自研了chatGPTimageGPT人工智能技术&#xff0c;值得人们注意的是&#xff0c;并非引用海外的openAI人工智能语言模型&#xff0c;而是完全自研首发的国产人工智能技术&#xff0c;数画团队来自于温州专…

使用SVG.Net生成svg格式文字图片

由于项目需要&#xff0c;需生成svg格式文字图片&#xff0c;网上的文档较少&#xff0c;在一番查阅之后成功实现。现记录下来&#xff0c;方便以后自己查阅&#xff0c;以及需要的人也可当做参考&#xff0c;水平不高&#xff0c;少喷。 主要运用到GitHub开源项目: svg.net 不…

利用ps导出svg(主要用于上传自定义图标到iconfont)

ps版本&#xff1a;2020 借鉴文章&#xff1a;https://blog.csdn.net/k912120/article/details/118787809 事情起因是我不想多此一举下个AI,本来想ps直接导出svg格式,但是导出来上传到iconfont后却是一片空白&#xff0c;相信很多人第一次都遇到过这种情况。 我一愣&#xff…

将图片转化成SVG格式(亲测可行)

1.准备好要转化的图片 可以看到左侧图片是一个jpg格式的&#xff0c;接下来我们就把它转化成svg格式; 2.打开SVG在线编辑器&#xff0c;把图片导入 我们可以打开SVG在线编辑器&#xff0c;在SVG编辑器中导入图片并根据我们需要的大小进行设置&#xff0c;如下图&#xff1a; …

微信图文消息中如何使用svg图片

微信图文消息无法上传svg格式图片,但是可以通过浏览器开发者工具进行hack 将svg图片使用文本编辑器打开,复制内容登录微信公众平台,新建图文消息输入正文的输入框中输入随意文字打开浏览器控制台(右键检查或按F12),找到步骤2输入文字对应的html标签在html标签右键,选择’Edit …

原腾讯QQ技术总监、T13专家,黄希彤被裁,原因竟是不愿意被 PUA ?

整理 | 朱珂欣 出品 | CSDN程序人生&#xff08;ID&#xff1a;coder_life&#xff09; 曾经风光无限的互联网“淘金地”&#xff0c;为无数技术人提供了造梦机会&#xff0c;也带领着一批程序员走向致富之路。然而&#xff0c;如今国内各大厂也在经历着“瘦身”运动。 据 T…

被裁后,前 Google 工程师揭露:Google Brain 没落的真实原因!

【CSDN 编者按】一周之前&#xff0c;为了更好地追赶 OpenAI&#xff0c;Google 做了一个重大的决定&#xff1a;Brain 和 Deepmind 合并&#xff0c;这件事引得很多人的关注与不解。最近波及其中的 Google Brain 高级工程师 Brian Kihoon Lee 于上周被解雇&#xff0c;他毕业于…

Meta 计划最快本周裁员数千人,网友:工作不易,且行且珍惜!

【CSDN 编者按】新的一轮裁员风波来袭&#xff0c;Meta 计划最快在本周再裁员数千人。 整理 | 王子彧 出品 | CSDN&#xff08;ID&#xff1a;CSDNnews&#xff09; 伴随着 ChatGPT 的火爆出圈&#xff0c;AI 取代一些普通员工的讨论还没中止之际&#xff0c;各大企业的裁员举措…

裁员 10%,暴跌 14%,这家 IT 独角兽正在被抛弃!

来源&#xff1a;51CTO技术栈&#xff0c;撰稿 | 言征 流量一跌再跌&#xff0c;Stack Overflow 简直被狠狠地上了一课&#xff01; 3 月份 Stack Overflow 的流量下降了近 14%。该公司的 CEO 压力空前&#xff0c;甚至昨天决定裁员 10%&#xff01; 平均每月下降6%&#xff…

OpenAI 最新“神”操作:让 GPT-4 去解释 GPT-2 的行为!

整理 | 郑丽媛 出品 | CSDN&#xff08;ID&#xff1a;CSDNnews&#xff09; 由 ChatGPT 掀起的这场 AI 革命&#xff0c;令人们感慨神奇的同时&#xff0c;也不禁发出疑问&#xff1a;AI 究竟是怎么做到这一切的&#xff1f; 此前&#xff0c;即便是专业的数据科学家&#xff…

让ChatGPT猜你喜欢——ChatGPT后面的推荐系统

Chat GPT的大热&#xff0c;让人们的视线又一次聚焦于“人工智能”领域。通过与用户持续对话的形式&#xff0c;更加丰富的数据会不断滚动“雪球”&#xff0c;让Chat GPT的回答变得越来越智能&#xff0c;越来越接近用户最想要的答案。ChatGPT能否颠覆当下的推荐系统范式&…

开发者实战 | AI分割一切——用OpenVINO™加速Meta SAM大模型

点击蓝字 关注我们,让开发变得更有趣 以下文章来源于英特尔物联网&#xff0c;作者武卓 ChatGPT的火爆让大家看到了通用AI大模型的威力&#xff0c;也带动了近期一批自然语言处理&#xff08;NLP&#xff09;领域大模型的不断被推出。你方唱罢我登场&#xff0c;最近&#xff0…

万物皆可分割——用OpenVINO加速Segment Anything

作者&#xff1a;武卓博士 ChatGPT的火爆让大家看到了通用AI大模型的威力&#xff0c;也带动了近期一批自然语言处理&#xff08;NLP&#xff09;领域大模型的不断被推出。你方唱罢我登场&#xff0c;最近&#xff0c;计算机视觉领域也迎来了自己的物体分割大模型&#xff0c;…