零信任架构

最新推荐文章于 2024-04-03 14:34:57 发布
最新推荐文章于 2024-04-03 14:34:57 发布
阅读量655 收藏 9
点赞数 13
分类专栏: 网络安全运维 文章标签: 架构 网络 安全 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/QuJJan/article/details/135823919
版权

安全准入是零信任的一部分,安全准入是零信任策略中的一项重要措施。(参考网闸和防火墙)

原理

  • 零信任(Zero Trust)是一种网络安全原则和框架,旨在确保一个系统或网络的安全,对内外部的任何用户都不信任即使是内部人员或设备也不例外。

  • 该原则认为,传统基于边界防御的安全方法已经无法保护企业免受内部和外部的威胁,因此需要采用一种更为细致和全面的安全策略。

  • 在零信任模型中,用户需要在每次访问系统或资源时进行身份验证和授权,而不管他们是在企业内部还是外部。这需要使用多种身份验证和访问控制技术来确保用户的身份和权限,并对用户行为进行持续的监控和审计

  • 零信任的目标是减少企业面临的内部和外部风险,提高系统和数据的安全性。它强调了网络上所有用户和设备的不可信性,并通过多重层次的安全措施来限制和控制用户的访问和权限,以防止潜在的恶意行为和数据泄露。

传统边界安全缺点

  • 传统的基于边界的网络安全方法是先连接,后信任,在网络边界验证用户身份,确定用户是否值得信任。如果用户被认定为是可信任的,就能进入网络,而一旦通过边界进入到网络内部,访问基本就通行无阻了。反之,用户会被拦截在外。这种保护方式有很多种称谓:城堡护城河式保护,类似于中世纪的城堡一样,防外不防内,或者蜗牛式保护,外壳坚硬而内部柔弱。

  • 传统网络安全架构默认内网是安全的,认为网络安全就是边界安全,因此通过在边界部署大量的安全产品如通过防火墙、WAF、IPS、网闸等设备对网络边界进行层层防护,而相对不重视甚至忽视企业内网的安全,但是业界的调查表明,高达80%的网络安全事件源于内网,或者内外勾结,因此屯重兵于边界并不能够使用户的网络变得更安全。

零信任的原则

零信任并非对安全的颠覆,甚至算不上重大创新,零信任的主要理念或者原则都是网络安全领域存在已久的公认原则:

  • 最小特权原则(least privilege)

  • 需要知道原则(need to know)

  • 深层防御原则(defense in depth)

零信任能做

  • 确保所有资源被安全访问,不论用户或资源位于何处

  • 记录和检查所有流量

  • 强制执行最小特权原则

  • 零信任要求将用户的访问权限限制为完成特定任务所需的最低限度,在组织内部重构以身份为中心的信任体系和动态访问控制体系,建立企业全新的身份边界,即微边界。

  • 零信任的关键在于控制对数据的访问权限,而与数据所在的位置无关,与访问发起者的位置无关

零信任实现方法

  • 标识你的敏感数据

  • 映射敏感数据流(比如通过五元组或七元组,了解其流量流向)

  • 设计零信任微边界

  • 持续监控分析零信任生态系统

  • 安全自动化与编排

零信任模型关注(ZTX模型)

  • 网络:技术对隔离、分段和网络安全的原则有什么影响?

  • 数据:如何对数据进行分类、概述、隔离、加密和控制?

  • 人力资源:如何保护网络用户和公司的基础设施?如何才能减轻用户造成的威胁?

  • 工作负载:企业或组织使用的云、应用程序和其他资源如何保持安全?

  • 自动化和编排:技术如何处理不信任和验证零信任模型?

  • 可见性和分析:分析和有用的数据是否可用?如何消除系统盲点?

与此同时,Gartner提出了ZTNA(零信任网络架构),也就是SDP(软件定义边界)。

零信任架构不是一个单一的网络架构,而是一套网络基础设施设计和操作的指导原则,可用于改善任何分类或敏感级别的安全态势

ZTNA原理

是一种安全访问控制模型旨在提供更加安全和灵活的远程访问方式。它基于"零信任"原则,即不信任网络中的任何资源或用户,将访问权限限制在最低必要级别,并通过验证、身份验证和授权等多层次的安全机制来保护网络资源。

作用

允许用户从任何位置和设备安全地访问企业内部资源,而无需直接连接到传统的网络边界。与传统的VPN(Virtual Private Network)相比,ZTNA提供了更加细粒度和动态的访问控制,可以根据用户身份、设备状况和上下文信息来决定是否允许访问,并且仅限制访问所需的特定应用程序或服务

工作原理

  1. 身份验证和认证:用户首先需要进行身份验证,以确认其身份并获取适当的访问权限。这可能涉及使用多因素身份验证(MFA)等强化的身份验证方法。

  2. 访问策略和授权:一旦用户成功通过身份验证,ZTNA系统会根据预定义的访问策略和授权规则,确定用户可以访问的资源和服务。这些策略可以基于用户角色、设备状况、网络环境等来配置。

  3. 安全连接和加密:ZTNA使用安全的加密通道(如TLS)来建立用户与目标资源之间的安全连接,确保数据在传输过程中的机密性和完整性。

  4. 上下文感知和动态访问控制:ZTNA系统会根据实时的上下文信息(如设备状态、用户位置、网络环境)来动态调整访问权限,并根据需要进行重新验证和授权。

  5. 连接终止和审计:一旦用户的访问结束,ZTNA系统会终止与资源的连接,并记录相应的事件日志,用于审计和安全监测。

用途

远程工作移动办公供应链合作伙伴访问等场景,以提供更强大的访问安全性和灵活性。它有助于降低攻击风险减少侧信道攻击简化网络安全管理,并为组织提供更好的网络资源保护和合规性。

概念图

Zh&&Li
关注
  • 13
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
NIST零信任架构第二版.pdf
02-25
信任架构(ZTA)是一个企业基于零信任原则的的网络空间安全战略并被设计为预防数据泄露和限制内部横向突破。本材料讨论了 ZTA 的逻辑组件,可能的部署场景和威胁。它还为希望迁移到以零信任设计方法为中心的网络基础...
什么是零信任网络架构
lavin1614
02-23 2572
信任网络架构 (ZTNA) 是一种安全模型,它在授予对数据和应用程序的访问权限之前对每个用户、设备和进程使用多层精细访问控制、强大的攻击预防和持续验证。使用 ZTNA 方法,信任永远不会被隐式授予,必须不断评估。ZTNA - 也称为零信任网络访问、软件定义边界 (SDP) 或动态安全边界 (DSP) - 不依赖于预定义的信任级别。作为一种安全架构,零信任的目标是为数据和应用程序提供更安全的访问,即使是远程工作人员也是如此。
基于零信任的安全架构
tigerman20201的博客
10-14 3652
引用本文:曾玲,刘星江.基于零信任的安全架构[J].通信技术,2020,53(07):1750-1754. ZENG Ling,LIU Xing-jiang.Security Architecture Based on Zero Trust[J].Communications Technology,2020,53(07):1750-1754. 摘 要:随着高级威胁和内部风险的日益增强,云计算、大数据、移动互联的飞速发展,远程办公、异地分支的大量应用,网络边界越来越模糊,传统的网络安全架构已难以满足安全新
深入剖析主机安全中的零信任机制及其实施原理
最新发布
NSME1的博客
04-03 856
主机安全零信任背后的原理是...
信任网络架构建设及部分细节讨论(企业高管必看!)
MachineGunJoe666
05-25 1901
01 零信任初识 困境 传统的IT组网中,网络安全需求的落地往往把重心放在以下工作: 1. 精心设计的网络结构,如:带外管理网段/带内生产网段的严格划分、不同网段之间的严格隔离等; 2. 在网络边界部署专用安全“盒子”设备上,如:F5、IPS、WAF、DDOS等。 这些经典的网络安全部署方案,长期以来起到了较好的安全防护作用。但随着企业网络规模的日益扩大、网络攻击技术的不断发展、云技术/容器化的不断发展,传统安全方案的缺点越来越明显。 1. 整体防御能力重边界、轻纵深,面对攻击者的横向扩展束手无
信任,重构网络安全架构
N2O_666的博客
06-15 5614
文章目录一、引言二、传统安全架构的困境三、零信任的概念四、零信任的发展五、零信任架构5.1 设计/部署原则5.2 零信任体系架构的逻辑组件5.3 零信任架构常见方案六、应用场景6.1 具有分支机构的企业6.2 多云企业6.3 具有外包服务和/或访客的企业6.4 跨企业边界协作6.5 具有面向公共或面向用户服务的企业 一、引言 2021年5月12日美国总统拜登签署网络安全行政命令,要求联邦政府采用“零信任架构”。让零信任又大火了一把,近几年安全圈里面越来越热的“零信任”到底是个啥呢?本文就跟大家一起来探讨下“
SDP零信任网络安全架构
bocco的博客
02-01 1276
安全狗零信任SDP接入解决方案基于“以身份认证为中心,以信任为基础,持续动态授权认证”的理念,打造企业全方位立体业务访问安全体系。
NIST零信任架构正式版.pdf
12-30
NIST零信任架构正式版.pdf
Gartner&奇安信联合白皮书:《零信任架构及解决方案》.pdf
02-25
信任安全架构基于“以身份为基石、业务安全访问、持续信任评估、动态访问控制” 四大关键能力,构筑以身份为基石的动态虚拟边界产品与解决方案,助力企业实现全面身份 化、授权动态化、风险度量化、管理自动化的新...
NIST零信任架构(正式版).pdf
04-08
NIST零信任架构(正式版).pdf
2021年零信任架构产品建设项目可行性研究报告.docx
05-29
2021年零信任架构产品建设项目可行性研究报告.docx2021年零信任架构产品建设项目可行性研究报告.docx2021年零信任架构产品建设项目可行性研究报告.docx2021年零信任架构产品建设项目可行性研究报告.docx2021年零信任...
重塑网络安全格局:零信任安全架构的崛起与革新
网络安全
01-25 1220
信任安全架构是一种现代安全模式,其设计原则是“绝不信任,始终验证”。它要求所有设备和用户,无论他们是在组织网络内部还是外部,都必须经过身份验证、授权和定期验证,才能被授予访问权限。简而言之,“零信任”就是“在验证之前不要相信任何人”。
【安全体系架构】——零信任网络架构
weixin_55799469的博客
10-18 752
信任网络架构是一种网络和信息安全模型,它将传统的信任模型颠覆,不再信任内部或外部用户、设备或网络。相反,它将每个访问请求都视为不受信任,要求对每个用户、设备和流量都进行认证和授权,即使它们位于内部网络也一样。零信任网络架构强调了对网络资源的最小化最小权限原则以及精细的访问控制,以提高网络的安全性。
信任安全架构2-零信任理念、实现及部署方案
elevn的博客
09-05 753
信任安全理念主要分为两类,一类是站在发起方,用户对资源的访问模式,指的是用户访问内部资源时,如何验证用户是可信的,如何确保访问来源终端可信,如何确认拥有访问资源权限。另外一类是站在服务方,即服务资源之间如何安全的互相访问。实现方案中,主要解决的是站在用户视角的零信任方案。
信任架构分析【扬帆】
数据安全学习分享
07-31 2953
以身份为中心:零信任对访问控制进行了范式上的颠覆,引导安全体系架构从「网络中心化」走向「身份中心化」,其本质诉求是以身份为中心进行访问控制。 零信任架构通常执行三项主要原则-永不信任,始终验证、多因素身份验证(MFA)是必须的,而微隔离对于执行限制至关重要。为了实现零信任安全,组织需要采用信息安全扩展端点可见性并实现对访问和特权的控制的实践和工具。......
网络安全新架构:零信任安全
weixin_70923796的博客
07-14 2360
2019年7月12日,美国国防部发布《国防部数字现代化战略》。《战略》主要由美国国防部首席信息官(DoD CIO)牵头制定,旨在确保国防部以更高效、更有效的方式执行任务,为美国国防部IT现代化领域一系列其他战略文件提供顶层指导。在《战略》附录中列出的在国防领域有应用前景的技术中,将零信任安全(Zero Trust Security)作为了美国国防部优先发展的技术之一。 零信任是一种网络安全策略,它在整个架构中嵌入安全性,以阻止数据泄露。此安全模型消除了信任或不信任的网络、设备、角色或进程的概念,并转变为基于
信任较于传统接入方式的优势
Grimm的博客
08-21 1705
啥是零信任,这个概念设定在几个假想条件之上,没有绝对安全的网络,不管是内部还是外部反正我就啥也不信任,即使对于通过身份验证的用户而言,零信任对它是信任了但没完全信任
信任架构:更安全网络的最佳实践
focus on security
10-21 1072
信任架构使组织能够确定访问和限制的优先级。目标是对所有流量实施零信任策略,以确保没有用户,设备或系统能够使网络面临风险。 零信任架构通常执行三项主要原则-不需要可信赖的用户,多因素身份验证(MFA)是必须的,而微分段对于执行限制至关重要。 为了实现零信任安全,组织需要采用信息安全扩展端点可见性并实现对访问和特权的控制的实践和工具。 在本文中,您将学习: 什么是零信任架构信任架构的3个关键要素 如何实现零信任架构 什么是零信任架构? 零信任体系结构是基于没有安全边界而构建的。相反...
nist 零信任架构 pdf
07-15
NIST(国家标准与技术研究所)零信任架构是一份PDF文档,旨在引导组织在网络安全领域采用零信任策略。零信任架构是一种安全模型,强调不信任任何用户或设备,而是将安全重点放在对资源和数据的保护上。 这份PDF文档...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zh&&Li

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值