漫谈企业信息化安全 - 零信任架构

一、引言

《万物简史》的作者比尔·布来森说,当他小的时候学科学的时候,好像这些科学家们都是有一种本领,把科学总是以一种让人看不懂的方式说得神乎其神,好像有藏着什么不可告人的秘密。因此,想要写一本让大家都能看得懂的书,让大家了解世界是怎么运作的。

在信息技术领域也是一样,我们会看到很多新的名词、各种专有名词的因为缩写,听起来是那么地高大上。实际上,我们追本溯源,就能了解事情的真相。在这一篇文章中,我们就来介绍什么是零信任,为什么会有人提出零信任这样的需求,它能为我们解决什么问题,您的企业是否需要实施零信任等等基本问题。

二、零信任的精髓

创新都是需求驱动的,在信息安全上也同样如此。以前我们提到安全,很多时候只限于在电脑上安装杀毒软件,在公司网络上安装上防火墙,就基本上没有问题了,可是为什么现在信息安全问题就变得更复杂了呢?这是因为随着各种需求的涌现,让企业的IT基础架构变得越来越复杂,如何应对与之伴生的安全威胁也变得越来越严峻,因此需要有更新的技术在解决信息安全问题。

在下图中,描述了很多现代企业信息化的一些需求:

  1. 移动办公/BYOD,随着移动互联网的快速发展、以及社会环境的影响,越来越来的企业面临居家办公、移动办公等混合办公模式、用户使用自带设备接入企业服务的情形,在这种情况下,如果确保移动办公、BYOD的信息安全是其中一个需求

  2. 远程办公/分支机构,这个和移动办公类似

  3. 供应商/第三方访问,为了提升企业工作效率,企业可能需要与供应商/第三方协作,在协作过程中,如何确保信息安全?

  4. 云服务及构建在公有云上的私有化服务,SaaS/PaaS/IaaS等以云服务形式提供的信息基础架构虽然简化了企业服务的部署,但是这些服务都是部署在Internet网络上,如何确保这些云服务访问的安全?

  5. 本地应用和构建在本地的私有化应用,这些应用如何为各种用户提供访问,并确保安全?

  6. 身份验证,企业中要各种各样的系统和服务,也会有各种各样的身份验证,如何对身份验证进行更行之有效的管控?

传统上,IT 行业依赖 外围安全策略 来保护其最有价值的资源,如用户数据和知识产权。 这些安全策略涉及使用防火墙和其他基于网络的工具来检查和验证进出网络的用户。 然而,数字化转型和混合云基础结构迁移之旅正在改变各个行业开展业务的方式。 依赖网络外围已不再足够。

零信任是一种用于保护组织的安全模型,它的理念是默认不信任任何人员或设备,即使人员或设备已经位于组织的网络内也是如此。零信任方法在整个网络中(而不仅仅是在可信边界上)强制执行严格的身份验证和授权,以消除隐式信任。在此模型中,每个访问资源的请求都被视为来自不受信任的网络,系统会对其进行检查、身份验证和核实。

说到信息安全,不管是传统的安全模型,还是零信任安全模型,它关注的是两个核心问题:

  1. 数据传输过程中安全(Data at Transition),即数据以各种方式流动过程中的安全

  2. 数据存储的安全(Data at Rest),即数据静态存储中的安全

只是传统的安全模型,在新的信息架构下,已不能满足信息安全要求,因此要用新的安全模型来进一步增强信息安全。

三、零信任的典型架构

零信任并不是一个产品的名字,而是一种安全模型和理念。零信任理念最早由福布斯(Forrester)研究公司的分析师约翰·肯纳(John Kindervag)于2010年提出。

而后,美国的国家标准与技术研究院(NIST)发布了关于零信任架构的标准SP 800-207,在SP 800-207标准中,零信任架构的如下:

上图中,各组件的含义如下:

1)策略引擎(Policy Engine):此组件负责最终决定是否授予特定主体对资源的访问权限。

2)策略管理员(Policy Adaministrator):此组件负责建立和/或关闭主体与资源之间的通信路径(通过向相关的策略执行点(PEP)发送指令)。

3)策略执行点(Policy Enforcement Point):此系统负责启用、监控并最终终止主体与企业资源之间的连接。PEP与策略管理员(PA)进行通信,以转发请求和/或接收来自PA的策略更新。

4)持续诊断与缓解(CDM)系统:该系统收集有关企业资产当前状态的信息,并对配置和软件组件应用更新。

5)行业合规系统:此系统确保企业遵守其所适用的任何监管制度(例如,FISMA、医疗或金融行业的信息安全要求)。

6)威胁情报馈送:此系统提供来自内部或外部来源的信息,帮助策略引擎做出访问决策。

7)网络和系统活动日志:该企业系统汇总资产日志、网络流量、资源访问操作以及其他事件,提供有关企业信息系统安全状况的实时(或接近实时)反馈。

8)数据访问策略:这些是关于访问企业资源的属性、规则和政策。

9)企业公钥基础设施(PKI):该系统负责生成并记录企业颁发给资源、主体、服务和应用程序的证书。

10)身份管理系统:负责创建、存储和管理企业用户账户和身份记录(例如,轻量级目录访问协议(LDAP)服务器)。

11)安全信息与事件管理(SIEM)系统:负责收集安全相关的信息以供后续分析。

四、零信任能帮助用户解决的问题

零信任是一种理念,在实施零信任安全架构时,可以从下面的一些关键原则入手:

  1. 不信任: 不信任内部或外部网络,将所有用户、设备和应用程序视为潜在的威胁,需要进行适当的验证和授权才能访问资源。

  2. 严格访问控制: 采用最小特权原则,对资源的访问权限进行精确控制,只授权用户访问其所需的资源和服务。

  3. 持续身份验证: 不仅在用户登录时进行身份验证,还需要在用户会话期间持续监控和验证其身份、设备状态和行为。

  4. 全面可见性: 实现对网络、用户和数据活动的全面可见性,以及对安全事件和威胁的及时检测、响应和调查。

  5. 零信任架构: 通过构建多层次的安全防御和控制来实现零信任策略,包括网络分割、加密、多因素身份验证等技术手段。

这些原则共同构成了零信任安全模型的基础,旨在提高网络安全性并降低潜在的安全风险。

通过实施零信任安全架构,可以帮助用户解决如下的一些问题:

  1. 提高数据安全性: 通过严格的访问控制和持续身份验证,防止未经授权的用户或设备访问敏感数据,从而提高数据安全性。

  2. 减少内部和外部威胁: 不信任网络内的任何用户或设备,即使是已经通过认证的用户,也需要经过持续的身份验证和访问控制,从而降低内部和外部威胁的风险。

  3. 提高网络可见性: 通过实时监控和记录用户和设备的活动,实现对网络活动的全面可见性,及时发现和应对潜在的安全威胁。

  4. 简化安全管理: 零信任安全架构将安全策略集中在用户和资源的访问控制上,简化了安全管理和策略执行,降低了管理成本和复杂性。

  5. 加强合规性: 通过严格的访问控制和持续身份验证,确保企业网络符合法规和行业标准的安全要求,提高了合规性。

  6. 增强移动和远程工作安全性: 零信任安全架构不依赖于传统的边界防御,使得远程用户和移动设备也能够获得与本地用户相同的安全保护,增强了移动和远程工作的安全性。

五、你需要零信任相关的产品吗?

我们先来看看谁不需要零信任产品,或者说不值得实施零信任相关产品,而可以改用其他替代方案的场景:

  1. 小型组织或个人用户: 对于规模较小的组织或个人用户来说,可能没有足够的资源或需要来实施复杂的零信任安全框架,因此可能会选择更简单、成本更低的安全解决方案。

  2. 特定场景下的低风险环境: 对于一些低风险的特定场景,如非敏感性数据的公共信息网站、临时性项目等,可能不需要投入大量资源来实施零信任安全策略。

  3. 传统网络边界仍然有效的环境: 如果某些组织的传统网络边界安全措施已经足够有效,能够有效防御内部和外部威胁,那么可能不需要立即转向零信任模型。

  4. 临时性或短期项目: 对于一些临时性或短期性的项目,可能不值得为其实施复杂的零信任安全框架,而是可以采取一些简单、快速的安全措施来满足项目的安全需求。

  5. 不涉及敏感数据的环境: 对于一些不涉及敏感数据的环境,如公共信息网站、演示系统等,可能不需要采取严格的零信任安全措施。

除开这些不需要转向零信任方案的场景,其他场景是建议考虑逐步转向零信任方案,分步骤实施零信任模型中的关键特性,最终让企业的信息安全能够上升到一个新的台阶。

六、相关的一些名词解释

在讨论零信任话题时,其实会经常出现一些名词,这些名词和零信任都或多或少有关联,在此,对这些名词及其含义做一些罗列:

  1. ZTNA(Zero Trust Network Access)/零信任网络访问: 相比于零信任架构(ZTA)是一种安全架构而言,零信任网络访问(ZTNA)是一种具体的安全解决方案,即它是具体的一种产品,ZTNA基于严格的身份验证和持续的安全评估,不依赖传统的网络边界。ZTNA可以被看作是ZTA的一部分或一种实现形式。ZTNA专注于提供对特定应用和资源的安全访问,而ZTA则是一个更广泛的框架,涵盖了整个IT环境中的零信任原则。它提供了比传统VPN更细致的网络访问控制

    1. 细粒度访问控制: 仅授予用户访问特定应用或资源的权限,而不是整个网络。

    2. 动态身份验证: 使用多因素身份验证(MFA)和持续监控来验证用户身份。

    3. 加密通信: 确保所有访问流量在传输过程中是加密的,防止数据泄露。

  2. SDP(Software Defined Perimeter)/软件定义边界:SDP是一种网络安全框架,旨在提供安全、隐私和访问控制,通过创建一种透明的、动态的连接模型,将用户和设备与应用程序之间的连接限制在一个隐形的、不可见的网络边界之内。SDP的目标是通过动态生成的边界实现更加精细的访问控制和安全性。

  3. SSO、IdP、IdB:

    1. SSO (Single Sign On)/单点登录:使用统一身份登录多个服务的用户登录方式

    2. IdP (Identity Provider)/身份提供者:IdP是负责管理和验证用户身份的服务或系统。IdP通常支持多种身份验证和授权协议,如SAML(安全断言标记语言)、OAuth、OpenID Connect等,以与各种应用程序和服务集成。

    3. IdB(Identity Broker)/身份代理:用于管理和整合多个身份验证和授权系统,以提供统一的用户身份认证和访问控制。

  4. PAM(Privileged Access Management)/特权访问管理:是一种网络安全领域的解决方案,专注于管理和监控对于系统、网络和数据等关键资源的特权访问。PAM系统旨在确保只有经过授权的用户可以访问特权账号和敏感数据,同时提供审计和监控功能,以减少滥用特权访问所带来的风险。通俗的说法就是对于那些具有特权的账号如何进行使用和管理,譬如Linux的Root账号、Windows的Administrator账号,因为特权账号对于企业里的关键数据有更高的访问权限。

  5. SWG(Secure Web Gateway)/安全Web网关:是一种网络安全解决方案,用于保护组织网络免受恶意网络流量和网络攻击的影响。安全网关位于组织的网络边界,监视和过滤进出网络的流量,以确保网络安全和数据保护。

  6. DLP(Data Loss Prevention)/数据丢失防护:DLP是指数据丢失防护(Data Loss Prevention),是一种信息安全策略和技术,旨在防止敏感数据在未经授权的情况下被访问、使用、传输或泄露。DLP解决方案通过监控和控制数据流动,保护企业和组织的机密信息和敏感数据,如客户信息、财务数据、知识产权等。

  7. EDR(Endpoint Detection and Response)/终端检测与响应:是一种专注于监控、检测和响应端点设备(如计算机、服务器、移动设备等)上的安全威胁的网络安全解决方案。EDR系统旨在提供对端点设备的可见性,帮助安全团队迅速识别、调查和响应各种安全事件。

  8. TPA(Third Party Access)/第三方访问:是指允许外部实体(如合作伙伴、供应商、承包商、服务提供商或外部用户)访问企业内部系统、应用程序或数据的权限和策略。管理和控制第三方访问是确保网络安全和数据保护的重要方面。

  9. SASE(Secure Access Service Edge)/安全访问服务边界:是一种网络架构模型,结合了网络和安全服务,以提供统一的云原生服务。SASE由Gartner在2019年首次提出,旨在应对现代企业对灵活、安全和高效的网络访问需求。SASE通过将广域网(WAN)功能与网络安全功能整合到一个云服务框架中,为分布式企业提供一致的安全访问。

  10. UEM(Unified Endpoint Management)/统一终端管理:UEM用于管理和保护企业中的所有端点设备,包括桌面计算机、笔记本电脑、智能手机、平板电脑、物联网(IoT)设备等。UEM整合了多个设备管理技术,如移动设备管理(MDM)、移动应用管理(MAM)和传统的客户端管理工具,以提供统一的管理平台和策略。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/336906.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Django ORM入门指南:从概念到实践,掌握模型创建、迁移与视图操作

系列文章目录 Django入门全攻略:从零搭建你的第一个Web项目Django ORM入门指南:从概念到实践,掌握模型创建、迁移与视图操作[Django ORM实战:模型字段与元选项配置,以及链式过滤与QF查询详解]还在写0.0… 文章目录 系…

开发语言Java+前端框架Vue+后端框架SpringBoot开发的ADR药物不良反应监测系统源码 系统有哪些优势?

开发语言Java前端框架Vue后端框架SpringBoot开发的ADR药物不良反应监测系统源码 系统有哪些优势? ADR药物不良反应监测系统具有多个显著的优势,这些优势主要体现在以下几个方面: 一、提高监测效率与准确性: 通过自动化的数据收集…

CAPL如何发送一条UDP报文

UDP作为传输层协议,本身并不具有可靠性传输特点,所以不需要建立连接通道,可以直接发送数据。当然,前提是需要知道对方的通信端点,也就是IP地址和端口号。 端口号是传输层协议中最显著的特征,传输层根据它来确定上层绑定的应用程序,以达到把数据交给上层应用处理的目的。…

使用PNP管控制MCU是否需要复位

这两台用到一款芯片带电池,希望电池还有电芯片在工作的时候插入电源不要给芯片复位,当电池没电,芯片不在工作的时候,插入电源给芯片复位所以使用一个PNP三极管,通过芯片IO控制是否打开复位,当芯片正常工作的…

LabVIEW与Simulink的通信及调用方式

LabVIEW和Simulink可以通过多种方式进行通信和集成,实现数据交互和功能调用。常见的通信方式包括TCP/IP、UDP、共享内存等,此外还可以利用MATLAB Script Node和S-Function等直接调用对方的功能。这些方法使得LabVIEW和Simulink能够协同工作,充…

element-plus中在表格校验输入的值

element-plus中在表格校验输入的值 效果&#xff1a; 注意事项&#xff1a;需要在表单套一个表格的字段 代码&#xff1a; <el-form :model"tableFrom" ref"tableDataRef" :rules"rules" style"margin: 0px !important;">&…

c语言基础:数组的运用以及在内存中的地址的理解

目录 目录&#xff1a; 1.数组作为函数参数 2.数组在内存中的存储 2.1数组名是什么&#xff1f; 2.2下面我们来探讨二维数组的各个名字表示什么 二维数组的首元素地址是什么呢&#xff1f; *arr表示的是什么呢 &#xff1f;&#xff08;arr是二维数组&#xff09; 1.数组作…

【NumPy】掌握NumPy的divide函数:执行高效的数组除法操作

&#x1f9d1; 博主简介&#xff1a;阿里巴巴嵌入式技术专家&#xff0c;深耕嵌入式人工智能领域&#xff0c;具备多年的嵌入式硬件产品研发管理经验。 &#x1f4d2; 博客介绍&#xff1a;分享嵌入式开发领域的相关知识、经验、思考和感悟&#xff0c;欢迎关注。提供嵌入式方向…

【Python】解决Python错误报错:IndexError: tuple index out of range

&#x1f9d1; 博主简介&#xff1a;阿里巴巴嵌入式技术专家&#xff0c;深耕嵌入式人工智能领域&#xff0c;具备多年的嵌入式硬件产品研发管理经验。 &#x1f4d2; 博客介绍&#xff1a;分享嵌入式开发领域的相关知识、经验、思考和感悟&#xff0c;欢迎关注。提供嵌入式方向…

视频拼接融合产品的产品与架构设计(四)分布式GPU运算合并单元

上一篇如下 视频拼接融合产品的产品与架构设计(三&#xff09;内存和显存单元数据迁移 视频合并单元说明 对下面这张图做些说明&#xff0c;视频接入是比较常见&#xff0c;可以说是普通&#xff0c;但是做到接入后随即进行比较重的算法运算&#xff0c;这个在视频领域并不多…

npm run dev 同时运行vue前端项目和node后端项目

将两个项目放到一个目录下 项目拖进vscode中&#xff0c;安装包依赖&#xff0c;修改配置 npm i concurrently "dev": "concurrently \"vite --mode development\" \"nodemon app.js\"" 命令行 npm run dev 运行 没有运行成功排查 …

基于Linux的文件操作(socket操作)

基于Linux的文件操作&#xff08;socket操作&#xff09; 1. 文件描述符基本概念文件描述符的定义&#xff1a;标准文件描述符&#xff1a;文件描述符的分配&#xff1a; 2. 文件描述符操作打开文件读取文件中的数据 在linux中&#xff0c;socket也被认为是文件的一种&#xff…

Maven简介和快速入门

1.1Maven介绍 Maven – Introduction (apache.org) Maven就是一个软件&#xff0c;掌握软件安装、配置、以及基本功能&#xff08;项目构建、依赖管理&#xff09;。 1.2Maven主要作用 1.依赖管理&#xff1a; Maven 可以管理项目的依赖&#xff0c;包括自动下载所需依赖库、…

GIS Java 生成四至图

目录 前言 操作步骤&#xff1a; 1&#xff0c;求出多边形的四至点 2&#xff0c;下载地图 3&#xff0c;绘制多边形 前言 对于地图上的一个多边形地块&#xff0c;其四至图就是能够覆盖这个多边形的最小矩形&#xff0c;也就是求出这个多边形的最东点&#xff0c;最西点&…

这款信创FTP软件,可实现安全稳定的文件传输

信创&#xff0c;即信息技术应用创新&#xff0c;2018年以来&#xff0c;受“华为、中兴事件”影响&#xff0c;国家将信创产业纳入国家战略&#xff0c;并提出了“28n”发展体系。“8”具体指金融、石油、电力、电信、交通、航空航天、医院、教育等主要行业。目前企业使用比较…

【Python】解决Python报错:AttributeError: ‘int‘ object has no attribute ‘xxx‘

&#x1f9d1; 博主简介&#xff1a;阿里巴巴嵌入式技术专家&#xff0c;深耕嵌入式人工智能领域&#xff0c;具备多年的嵌入式硬件产品研发管理经验。 &#x1f4d2; 博客介绍&#xff1a;分享嵌入式开发领域的相关知识、经验、思考和感悟&#xff0c;欢迎关注。提供嵌入式方向…

Spring Boot详解:深入了解与实践

文章目录 1. Spring Boot简介1.1 什么是Spring Boot&#xff1f;1.2 Spring Boot的历史背景1.3 Spring Boot的核心特点 2. Spring Boot的核心概念2.1 自动配置2.1.1 自动配置原理2.1.2 自定义配置 2.2 Spring Boot Starter2.3 Spring Boot CLI 3. Spring Boot的主要功能模块3.1…

【SpringMVC】_设置响应状态码与Header

目录 1. 设置响应状态码 2. 设置响应Header 2.1 设置Content-Type 2.1.1 不使用RequestMapping的produce属性 2.1.2 使用RequestMapping的produce属性 2.2 设置/新增其他Header 1. 设置响应状态码 Spring是基于servlet实现的&#xff0c;设置HTTP响应的状态码可以通过se…

React-组件通信

组件通信 概念&#xff1a;组件通信就是组件之间的数据传递&#xff0c;根据组件嵌套关系的不同&#xff0c;有不同的通信方法 父传子 基础实现 实现步骤&#xff1a; 1.父组件传递数据-在子组件标签上绑定属性 2.子组件接收数据-子组件通过props参数接收数据 props说明 1.…

校园导航系统C++

制作一个简单的大学城导航系统&#xff0c;根据用户指定的起点和终点&#xff0c;求出最短路径长度以及具体路径。 项目要求&#xff1a; 1&#xff09;程序与数据相分离&#xff0c;地图中的所有数据都是从文件读入&#xff0c;而不是写在代码中 2&#xff09;最短路径算法…