零信任架构

最新推荐文章于 2025-01-08 00:47:23 发布
最新推荐文章于 2025-01-08 00:47:23 发布
阅读量2.1k 收藏 15
点赞数 13
分类专栏: 网络安全运维 文章标签: 架构 网络 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QuJJan/article/details/135823919
版权
本文详细解释了零信任安全策略的核心原理,包括其对传统边界安全的改进,以及如何通过最小特权、身份验证和动态访问控制来确保资源安全。重点介绍了零信任网络架构(ZTNA)的概念、工作原理和应用场景,特别是在远程工作和移动办公中的应用,以提升网络安全性与管理效率。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

安全准入是零信任的一部分,安全准入是零信任策略中的一项重要措施。(参考网闸和防火墙)

原理

  • 零信任(Zero Trust)是一种网络安全原则和框架,旨在确保一个系统或网络的安全,对内外部的任何用户都不信任即使是内部人员或设备也不例外。

  • 该原则认为,传统基于边界防御的安全方法已经无法保护企业免受内部和外部的威胁,因此需要采用一种更为细致和全面的安全策略。

  • 在零信任模型中,用户需要在每次访问系统或资源时进行身份验证和授权,而不管他们是在企业内部还是外部。这需要使用多种身份验证和访问控制技术来确保用户的身份和权限,并对用户行为进行持续的监控和审计

  • 零信任的目标是减少企业面临的内部和外部风险,提高系统和数据的安全性。它强调了网络上所有用户和设备的不可信性,并通过多重层次的安全措施来限制和控制用户的访问和权限,以防止潜在的恶意行为和数据泄露。

传统边界安全缺点

  • 传统的基于边界的网络安全方法是先连接,后信任,在网络边界验证用户身份,确定用户是否值得信任。如果用户被认定为是可信任的,就能进入网络,而一旦通过边界进入到网络内部,访问基本就通行无阻了。反之,用户会被拦截在外。这种保护方式有很多种称谓:城堡护城河式保护,类似于中世纪的城堡一样,防外不防内,或者蜗牛式保护,外壳坚硬而内部柔弱。

  • 传统网络安全架构默认内网是安全的,认为网络安全就是边界安全,因此通过在边界部署大量的安全产品如通过防火墙、WAF、IPS、网闸等设备对网络边界进行层层防护,而相对不重视甚至忽视企业内网的安全,但是业界的调查表明,高达80%的网络安全事件源于内网,或者内外勾结,因此屯重兵于边界并不能够使用户的网络变得更安全。

零信任的原则

零信任并非对安全的颠覆,甚至算不上重大创新,零信任的主要理念或者原则都是网络安全领域存在已久的公认原则:

  • 最小特权原则(least privilege)

  • 需要知道原则(need to know)

  • 深层防御原则(defense in depth)

零信任能做

  • 确保所有资源被安全访问,不论用户或资源位于何处

  • 记录和检查所有流量

  • 强制执行最小特权原则

  • 零信任要求将用户的访问权限限制为完成特定任务所需的最低限度,在组织内部重构以身份为中心的信任体系和动态访问控制体系,建立企业全新的身份边界,即微边界。

  • 零信任的关键在于控制对数据的访问权限,而与数据所在的位置无关,与访问发起者的位置无关

零信任实现方法

  • 标识你的敏感数据

  • 映射敏感数据流(比如通过五元组或七元组,了解其流量流向)

  • 设计零信任微边界

  • 持续监控分析零信任生态系统

  • 安全自动化与编排

零信任模型关注(ZTX模型)

  • 网络:技术对隔离、分段和网络安全的原则有什么影响?

  • 数据:如何对数据进行分类、概述、隔离、加密和控制?

  • 人力资源:如何保护网络用户和公司的基础设施?如何才能减轻用户造成的威胁?

  • 工作负载:企业或组织使用的云、应用程序和其他资源如何保持安全?

  • 自动化和编排:技术如何处理不信任和验证零信任模型?

  • 可见性和分析:分析和有用的数据是否可用?如何消除系统盲点?

与此同时,Gartner提出了ZTNA(零信任网络架构),也就是SDP(软件定义边界)。

零信任架构不是一个单一的网络架构,而是一套网络基础设施设计和操作的指导原则,可用于改善任何分类或敏感级别的安全态势

ZTNA原理

是一种安全访问控制模型旨在提供更加安全和灵活的远程访问方式。它基于"零信任"原则,即不信任网络中的任何资源或用户,将访问权限限制在最低必要级别,并通过验证、身份验证和授权等多层次的安全机制来保护网络资源。

作用

允许用户从任何位置和设备安全地访问企业内部资源,而无需直接连接到传统的网络边界。与传统的VPN(Virtual Private Network)相比,ZTNA提供了更加细粒度和动态的访问控制,可以根据用户身份、设备状况和上下文信息来决定是否允许访问,并且仅限制访问所需的特定应用程序或服务

工作原理

  1. 身份验证和认证:用户首先需要进行身份验证,以确认其身份并获取适当的访问权限。这可能涉及使用多因素身份验证(MFA)等强化的身份验证方法。

  2. 访问策略和授权:一旦用户成功通过身份验证,ZTNA系统会根据预定义的访问策略和授权规则,确定用户可以访问的资源和服务。这些策略可以基于用户角色、设备状况、网络环境等来配置。

  3. 安全连接和加密:ZTNA使用安全的加密通道(如TLS)来建立用户与目标资源之间的安全连接,确保数据在传输过程中的机密性和完整性。

  4. 上下文感知和动态访问控制:ZTNA系统会根据实时的上下文信息(如设备状态、用户位置、网络环境)来动态调整访问权限,并根据需要进行重新验证和授权。

  5. 连接终止和审计:一旦用户的访问结束,ZTNA系统会终止与资源的连接,并记录相应的事件日志,用于审计和安全监测。

用途

远程工作移动办公供应链合作伙伴访问等场景,以提供更强大的访问安全性和灵活性。它有助于降低攻击风险减少侧信道攻击简化网络安全管理,并为组织提供更好的网络资源保护和合规性。

概念图

网络安全架构信任安全
Python84310366的博客
03-03 1364
信任安全架构的核心基于现代身份管理技术进行构建,增强的身份管理能力具备敏捷、安全、智能的优势。基于敏捷的身份生命周期管理机制,满足企业对内部、外部、客户等不同身份的管理;同时基于智能身份分析和动态访问控制技术,具备对未知风险的防护能力。但是信任也可能会带来频繁的身份认证,对用户来说可能就不是特别友好,特别在企业内部对内部资源的访问,频繁的二次认证势必会让很多人反感,如何在保证安全的前提下,有效识别用户身份,提升用户体验满意度,还需要持续的研究和实践。
数字时代信息安全的关键之道—信任架构
AZone架构院的博客
07-17 803
The Open Group发布了《信任的核心原则》,详细阐述了信任架构的核心原则、应用场景以及技术实现,为企业提供了全面的参考指南。通过《信任的核心》,企业不仅能够深入了解信任的核心理念和技术实现,还能借鉴实际应用场景中的宝贵经验,制定符合自身需求的信任战略。根据Gartner的预测,到2024年,超过60%的大型企业将采用信任架构,以应对日益复杂的安全威胁和合规要求。在未来的数字化世界中,信任架构将继续发挥其重要作用,帮助企业应对不断变化的安全挑战,实现安全与业务的共赢。
基于信任安全架构
tigerman20201的博客
10-14 3991
引用本文:曾玲,刘星江.基于信任安全架构[J].通信技术,2020,53(07):1750-1754. ZENG Ling,LIU Xing-jiang.Security Architecture Based on Zero Trust[J].Communications Technology,2020,53(07):1750-1754. 摘 要:随着高级威胁和内部风险的日益增强,云计算、大数据、移动互联的飞速发展,远程办公、异地分支的大量应用,网络边界越来越模糊,传统的网络安全架构已难以满足安全
网络信息安全信任
学而思(xiejava的blog)
04-21 1万+
根据NIST《信任架构标准》中的定义:信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。信任架构(ZTA)是一种企业网络安全的规划,它基于信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
奇安信:信任架构及解决方案
09-28
信任架构是一种现代网络安全模型,其核心理念是“永不信任,始终验证”。这一概念强调了在没有预先设定信任的前提下,对所有用户、设备和网络活动进行持续验证的重要性。信任模型的发展源于对传统安全边界逐渐...
NIST信任架构SP 800-207 标准草案(中文版).pdf
06-15
NIST 信任架构 SP 800-207 标准草案(中文版)是云安全联盟大中华区 SDP 工作组翻译的第二版中文翻译稿,该标准草案旨在提供信任架构的指南和实践指南,帮助组织和个人更好地理解和实施信任架构信任架构...
NIST信任架构第二版.pdf
02-25
信任架构(ZTA)是一个企业基于信任原则的的网络空间安全战略并被设计为预防数据泄露和限制内部横向突破。本材料讨论了 ZTA 的逻辑组件,可能的部署场景和威胁。它还为希望迁移到以信任设计方法为中心的网络基础...
Google信任安全架构.rar
09-10
BeyondCorp实际上是抛弃了对本地内网的信任,进而提出了一个新的方案,取代基于网络边界构筑安全体系的传统做法。在这个新方案中,Google对外部公共网络和本地网络的设备在默认情况下都不会授予任何特权。Google公司BeyondCorp项目迁移部署过程,整个工作大概分为这六个部分,包括认同与沟通,项目团队组建,切确定迁移策略,业务和访问数据的收集,自动化迁移以及特殊用户场景的处理。因为整个迁移部署过程是迭代、增量和不断优化调整的过程。下面我们对于这六大部分逐一来看。
NIST信任架构(正式版).pdf
04-08
NIST信任架构(正式版).pdf
信任安全架构
m0_71322636的博客
01-08 546
它确保只有合法的员工和设备能够访问企业的敏感数据和系统,并且根据员工的工作角色和任务动态分配访问权限,提高了企业网络安全性和数据的保密性。信任架构通过严格的身份验证和动态访问控制,保障了远程办公的安全性,即使员工的设备处于不安全网络环境中,也能有效防止数据泄露和恶意攻击。• 复杂性增加:信任架构的实施需要对现有的网络安全基础设施进行较大的改造,涉及多个系统和技术的集成,增加了管理和维护的复杂性。• 灵活的访问控制:根据不同的用户、设备和环境因素提供更精细的访问权限管理,适应复杂多变的业务需求。
什么是信任网络架构
lavin1614
02-23 3208
信任网络架构 (ZTNA) 是一种安全模型,它在授予对数据和应用程序的访问权限之前对每个用户、设备和进程使用多层精细访问控制、强大的攻击预防和持续验证。使用 ZTNA 方法,信任永远不会被隐式授予,必须不断评估。ZTNA - 也称为信任网络访问、软件定义边界 (SDP) 或动态安全边界 (DSP) - 不依赖于预定义的信任级别。作为一种安全架构信任的目标是为数据和应用程序提供更安全的访问,即使是远程工作人员也是如此。
认识信任安全网络架构
墨痕诉清风的博客
03-14 6975
一、前言: “信任网络”(亦称信任架构)自2010年被当时还是研究机构Forrester的首席分析师JohnKindervag提出时起,便一直处于安全圈的“风口浪尖”处,成为众人不断争议与讨论的对象,有人说这是未来安全发展的必然产物、也有人说其太过超前而无法落地,但无论“信任”如何饱受争议,不可否认的是随着“信任”的支撑技术逐渐发展,这个从前只存在于理论上的“安全最优解”正逐步成为现实。 在2019年9月份,工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见中,《意见》指
信任架构分析【扬帆】
数据安全学习分享
07-31 3251
以身份为中心:信任对访问控制进行了范式上的颠覆,引导安全体系架构从「网络中心化」走向「身份中心化」,其本质诉求是以身份为中心进行访问控制。 信任架构通常执行三项主要原则-永不信任,始终验证、多因素身份验证(MFA)是必须的,而微隔离对于执行限制至关重要。为了实现信任安全,组织需要采用信息安全扩展端点可见性并实现对访问和特权的控制的实践和工具。......
信任安全架构1-信任理念、特点及架构
热门推荐
zhangxm_qz的博客
02-01 1万+
产生背景 传统边界安全理念及其不足 对于资源的访问保护,传统方式是划分安全区域,不同的安全区域有不同的安全要求。在安全区域之间就形成了网络边界,在网络边界处部署边界安全设备,包括防火墙、IPS、防毒墙、WAF等,对来自边界外部的各种攻击进行防范,以此构建企业网络安全体系,这种传统方式可称为边界安全理念。 **边界内:**安全区域内的用户默认都是可信的(安全的)对边界内用户的操作不再做过多的行为监测,(存在过度信任的问题) **边界外:**在安全区域边界外的用户默认是不可信的(不安全的),没有较多访问权限,边
信任网络安全架构中的微隔离
最新发布
03-18
<think>好的,我现在要处理用户关于信任网络安全架构中微隔离的问题。首先,我需要明确用户的需求:他们想了解微隔离的概念、实现方式和最佳实践。根据提供的引用内容,特别是引用4,里面详细提到了微隔离是信任的核心原则之一,即最小权限原则的最佳实践。还有引用3提到了网络区域的严格划分和隔离,这也是微隔离的一部分。 首先,我需要定义微隔离。根据引用4,微隔离通过细粒度策略实现资源间的最小权限访问控制,打破传统网络的大区域划分。这可能涉及网络微分段,如引用2中提到的1.2.2部分。 接下来是实现方式。引用3提到严格划分网络区域,不同区域有不同的安全策略。引用4提到动态安全策略和自适应的网络蓝图,可能涉及自动化策略生成和持续监控。此外,引用5提到对未部署Agent的设备进行保护,这可能涉及到代理和非代理模式的混合部署。 最佳实践方面,引用4指出需要身份化资产标识,动态策略计算,以及可视化流量。引用1中的最佳实践包括确定优先级、验证设备、确保可见性,这些也适用于微隔离。引用2中的案例,如金融科技公司的转型,可能提供实际应用的经验。 需要确保回答结构清晰,分点说明概念、实现方式和最佳实践。同时,引用相关文献,例如在解释核心原理时引用4,在实现方式时引用3和5,在最佳实践时引用1和4。还要注意使用正确的LaTeX格式,不过用户的问题中没有数学公式,可能不需要用到。但如果有涉及数学的地方,比如策略公式,需要用$$包裹。 另外,用户可能对微隔离与传统防火墙的区别感兴趣,或者具体的技术工具,但根据引用内容,可能没有详细的技术工具信息,所以可能需要集中在已有信息上,如微分段、动态策略、可视化等。 最后,生成相关问题时要基于已有内容,比如微隔离和微分段的关系,动态策略如何生成,或者实际案例,如引用2中的金融科技公司案例。确保问题与用户的问题相关,并且引用中的信息足够支持回答。 总结步骤: 1. 定义微隔离,引用4。 2. 实现方式:微分段(引用3),动态策略(引用4),混合部署(引用5)。 3. 最佳实践:身份化标识(引用4),可视化(引用4),持续验证(引用1)。 4. 生成相关问题,如与传统隔离的区别,实施步骤,案例等。</think>### 信任架构中的微隔离实现方案与最佳实践 #### 一、微隔离的核心概念 微隔离(Microsegmentation)是信任架构中实现**最小权限原则**的核心技术[^4],通过将网络划分为细粒度的逻辑单元,对每个资源(如服务器、应用、设备)设置独立的访问控制策略。与传统防火墙基于IP和端口的大范围控制不同,微隔离基于**身份、上下文和行为**动态定义策略,例如: - 仅允许特定用户从指定设备访问数据库的特定端口; - 根据工作负载状态自动调整跨主机的通信权限。 #### 二、实现方式与技术方案 1. **网络微分段** 引用[3]提到的**严格网络区域划分**是基础。例如: - 将核心数据库与其他业务系统隔离; - 为开发、测试、生产环境设置独立分段; - 使用软件定义网络(SDN)动态配置微分段边界。 2. **动态策略引擎** 引用[4]强调**动态安全策略计算**,需结合: - **身份化标识**:为每个资源分配唯一身份(如服务账号、设备指纹); - **上下文感知**:实时评估访问请求的时区、设备安全状态等; - **自动化策略生成**:通过机器学习分析流量模式,生成最小权限规则。 3. **混合部署模式** 根据引用[5],可采用: - **Agent模式**:在主机部署代理,实时拦截非法连接; - **无代理模式**:通过网络流量镜像分析,控制未安装Agent的设备。 #### 三、最佳实践 1. **资产身份化标识** 为所有网络实体(包括IoT设备)建立唯一身份档案,例如通过数字证书或硬件指纹。 2. **可视化与持续监控** 构建**流量可视化图谱**(引用[4]),实时展示: - 跨分段的通信关系; - 策略命中率与异常流量告警。 3. **渐进式实施步骤** 引用[1]建议优先保护关键资产: ```plaintext 1. 识别核心业务系统(如支付网关) 2. 划定初始微分段边界 3. 部署监控工具收集流量基线 4. 逐步收紧策略至最小权限 ``` 4. **与传统架构的协同** 如引用[3]所述,在**带外管理网段**等传统隔离区叠加微隔离策略,实现纵深防御。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zh&&Li

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值