🍓微隔离
微隔离是使用访问控制来隔离系统中的各种组件和服务。它允许您分层安全措施,例如防火墙或授权措施,以提高安全性。它还使您可以限制对资产的访问,从而减少了攻击者利用横向漏洞的机会。
零信任架构利用微隔离来确保甚至网络内的用户或应用程序也受到适当限制。它可以确保即使攻击者确实进入了网络,也可以严格限制他们可能造成的破坏。微细分和云原生开发通常是并行的。但是,微隔离本身并不能满足您所有的云安全需求。区分微隔离作为一种安全措施和云安全 作为一个整体。
🥝微隔离概念科普:
微隔离最早由Gartne在其软件定义的数据中心相关技术体系中提出。对数据中心而言,主要有南北向流量和东西向流量:南北向流量是指通过网关进出数据中心的流量;东西向流量是指数据中心内部服务器彼此相互访问的内部流量。传统防护模式通常采用防火墙作为南北向流量的安全防护手段,一旦攻击者突破防护边界,缺少有效的安全控制手段用来阻止东西向流量之间的随意访问。随着东西向流量占比越来越大,微隔离技术应运而生,其作为一种网络安全技术,重点用于阻止攻击者在进入企业数据中心网络内部后的东西向移动访问。从广义上讲,微隔离就是一种更细粒度的网络隔离技术,使用策略驱动的防火墙技术(通常是基于软件的)或者网络加密技术来隔离。
🍀 零信任防御架构的八大支柱
三大基本原则为构建零信任架构 (ZTA) 奠定了基础。此外,零信任安全的八大支柱构成了一个防御架构,旨在满足当今复杂网络的需求。这些支柱分别代表了对零信任环境进行分类和实现的关键关注领域。
身份安全——身份是唯一描述用户或实体的属性或属集性。通常被称为用户安全,其中心是使用身份验证和访问控制策略来识别和验证试图连接到网络的用户。身份安全依赖于动态和上下文数据分析,以确保正确的用户在正确的时间被允许访问。基于角色的访问控制 (RBAC)和基于属性的访问控制 (ABAC) 将应用于该策略以授权用户。
端点安全——与身份安全类似,端点(或设备)安全对尝试连接到企业网络的设备(包括用户控制和自主设备,例如物联网设备)执行“记录系统”验证。其侧重于在每个步骤中监视和维护设备运行状况。组织应该对所有代理设备(包括移动电话、笔记本电脑、服务器和物联网设备)进行清点和保护,以防止未经授权的设备访问网络。
应用程序安全——应用程序和工作负载安全包括本地和基于云的服务和系统。保护和管理应用层是成功采用零信任状态的关键。安全性封装了每个工作负载和计算容器,以防止跨网络收集数据和未经授权的访问。
数据安全——侧重于保护和强制访问数据。为了做到这一点,数据被分类,然后与除需要访问的用户之外的所有人隔离。这个过程包括基于任务关键度对数据进行分类,确定数据应该存储在哪里,并相应地开发数据管理策略,作为健壮的零信任方法的一部分。
可见性和分析——对与访问控制、分段、加密和其他零信任组件相关的所有安全流程和通信的可见性提供了对用户和系统行为的重要洞察。在此级别监控网络可改进威胁检测和分析,同时能够做出明智的安全决策并适应不断变化的安全环境。
自动化——通过自动化在整个企业中一致地应用策略的手动安全流程来提高可扩展性、减少人为错误并提高效率和性能。
基础设施安全——确保工作负载中的系统和服务免受未经授权的访问和潜在漏洞的影响。
网络安全——柱侧重于隔离敏感资源,防止未经授权的访问。这涉及实施微分段技术、定义网络访问以及加密端到端流量以控制网络流量。
🍀 零信任架构的框架
零信任架构的框架分为三大核心组件和八大支撑组件。
PS**:NIST发布的SP800-207零信任架构中的框架**
策略引擎PE(Policy Engine):负责最终决定是否授权指定访问主体对资源(访问客体)的访问权限。
策略管理器PA(Policy Administrator):负责建立或切断主体与资源之间的通信路径。生成客户端用于访问资源的任何身份验证令牌或凭证。
策略执行点PEP (Policy Enforcement Point):负责启用、监视并最终终止访问主体和企业资源之间的连接。PEP可能分为两个不同的组件客户端(Agent)和资源端(访问控制网关)
简化版本:策略引擎决定是否授权主体对资源的访问权限,由控制引擎执行通信连接控制,安全代理通过代理连接实现访问主体和企业资源之间的连接。
国内信通院发布的《零信任技术白皮书》中的架构:核心组件中的策略执行点(PEP)具体化为访问代理,支撑组件以身份安全基础设施为主,安全分析平台列为其他。
PS**:对比参考学习,国内厂商基本是基于这两种架构衍生的落地框架。**
总结
以身份为中心:零信任对访问控制进行了范式上的颠覆,引导安全体系架构从「网络中心化」走向「身份中心化」,其本质诉求是以身份为中心进行访问控制。
面对频发的数据泄露事件和不断上升的经济损失,企业越来越意识到,如果仅靠现有的安全方法,并不足以应对愈趋严峻的安全态势,他们需要更好的东西,而零信任安全体系恰好就能给出最好的结果。
零信任在所有需要对资源访问进行安全防护的场景都可以使用,但是否采用,应根据企业可接受的安全风险水平和投入综合考虑决定。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上大数据知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新**
2584
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
