从边界到零信任:网络防御的演变

于 2024-05-30 00:00:00 发布
阅读量1.4k 收藏 5
点赞数 26
分类专栏: 网络研究观 文章标签: 网络 安全 传统 边界 防御 演变 零信任
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29607687/article/details/139181407
版权

 

什么是传统的周边安全模型?

零信任

传统的边界安全模型,通常被称为“城堡与护城河”方法,侧重于保护网络的外部边界。该模型采用防火墙和其他安全措施来阻止外部威胁进入网络。

一旦进入网络,用户通常就会获得不受限制的资源访问权限,从而产生虚假的安全感。这种方法假设网络边界内的任何人都是值得信赖的,这可能会导致严重的漏洞。

这种模式的主要缺点是无法应对内部威胁和设法突破外围防御的网络攻击者的横向移动。一旦进入内部,攻击者就可以自由移动并访问敏感信息,使网络容易受到内部和高级持续性威胁的攻击。

什么是零信任安全模型?

零信任

在云计算和远程办公的推动下,IT 网络快速发展,传统的基于边界的安全方法已过时。如今,合法用户和应用程序经常从网络外部访问资源,而攻击者则在网络内部横向移动。

零信任安全模型通过默认任何人都不值得信任(无论是网络内部还是外部)来解决这些挑战。只有经过持续的身份验证和验证后,才能授予对系统和服务的访问权限。

本质上,零信任方法无论用户位于何处或网络如何,都会强制实施严格的访问控制。这种模式对于应对现代网络安全威胁和确保组织获得强有力的保护至关重要。

零信任与传统边界安全

将零信任与传统边界安全方法进行比较时,可以发现几个关键差异。具体差异如下:

1. 聚焦周边

传统边界安全:基于网络边界的概念,网络边界内的设备和用户被视为值得信赖。此模型涉及使用防火墙、VPN 和其他边界防御来保护网络。

零信任:消除了可信内部网络的概念。零信任不再专注于保护外围设备,而是强调在授予资源访问权限之前验证每个用户和设备(包括内部和外部设备)。

2. 信任假设

传统边界安全:信任网络边界内的用户和设备。一旦进入网络,对其活动的审查和验证通常较少。

零信任:默认情况下,任何实体都不受信任,无论它是在网络内部还是外部。每个访问请求都经过验证和认证,并根据最小特权原则实施控制。

3.访问控制

传统边界安全:访问权限通常根据网络位置授予。边界内的用户和设备通常根据其网络权限对资源拥有广泛的访问权限。

零信任:访问控制基于身份、设备健康状况和环境,而不仅仅是网络位置。这种方法可确保用户及其设备只能访问执行其角色所需的特定资源。

4.网络架构

传统边界安全:遵循城堡和护城河模型,重点保护网络边界。

零信任:采用分散式和微分段架构,在细粒度级别实施安全策略。这可以更精确地控制敏感资产并更好地隔离敏感资产。

5. 对违规行为的应对

传统边界安全:如果攻击者突破边界,他们通常可以在网络内自由活动,从而更容易窃取或操纵数据。

零信任:即使攻击者获得网络访问权限,他们的活动也会受到严密监控,并且根据行为和风险级别限制他们对数据的访问。这种降低信任度的模型有助于减轻违规行为的影响。

零信任和传统边界安全代表了网络防御的根本不同方法。传统模型依靠可信边界来保护内部资源,而零信任模型则根据严格的验证措施和最低限度的信任假设不断验证和控制访问。这种转变通过考虑内部和外部威胁来增强安全性,在当今复杂且不断变化的威胁形势下提供更强大的保护。

零信任安全模型的优势

对于旨在增强网络安全态势并采用有效安全解决方案的组织来说,实施零信任模型具有多项优势:

1. 改善安全态势

通过假设任何实体(无论是网络内部还是外部)都不是天生可信的,组织可以实施更强大的安全控制和协议。这种主动方法有助于降低数据泄露和未经授权访问的风险,确保所有访问请求都经过仔细验证和认证。

2.最小化攻击面

零信任架构通过实施严格的访问控制和网络分段来减少攻击面。通过根据用户身份、设备安全状况和其他情境因素限制对资源的访问,组织可以最大限度地减少安全漏洞的潜在影响。

3. 增强数据保护

零信任模型高度重视以数据为中心的安全性,重点保护敏感数据,例如个人身份信息 (PII)、知识产权 (IP) 和财务信息。这可确保即使网络的其他区域受到威胁,关键数据仍保持安全。

4. 适应动态环境

在当今以云计算、远程工作和物联网设备为特征的动态 IT 环境中,传统的基于边界的安全模型已不再适用。零信任模型提供了一个灵活的框架,可以适应网络基础设施、用户行为和新兴威胁的变化,非常适合现代组织的需求。

5.减少内部威胁

内部威胁,无论是有意还是无意,都会对组织安全构成重大风险。零信任架构可以通过实施最小特权访问、持续监控和行为分析来检测和应对恶意活动,从而降低这种风险。这种方法可确保即使是内部人员也要接受与外部用户相同的严格验证流程。

与依赖边界保护的传统模型相比,零信任模型强调对每个用户和设备的持续验证。这种方法显著增强了组织的安全态势,同时最大限度地减少了攻击面并提供更强大的数据保护。

通过基于身份、设备健康和环境因素的严格访问控制,零信任不仅可以适应动态的 IT 环境,还可以有效缓解内部和外部威胁。

总体而言,零信任安全模型提供了更全面、更灵活的防御机制,使其成为现代企业应对复杂且不断发展的网络安全威胁的最佳选择。

网络研究观
关注
  • 26
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
零信任:打破“攻防”被动发展模式,构筑企业安全“护城河”
cdyunaq的博客
03-02 179
国内外零信任战略规划 美国政府继2021年发布《改善国家网络安全的行政命令》后,随即于当地时间2022年1月26日,正式对外发布了最终的零信任战略:《向零信任安全方法迁移的联邦战略》,旨在重塑美国对于现代化网络安全威胁的可持续防御能力。并且要求在2024年财年前“实现具体的零信任安全目标”,这也将是业内首个国家级零信任架构。 我国2021年发布的《网络安全产业高质量发展三年行动计划(2021-2023 年)》让网络安全市场明确“加快开展基于开发安全运营、主动免疫、零信任等框架,推动创新技术发展与网络
Gartner发布最新中文版2023年零信任安全项目实施战略路线图
08-07
零信任安全架构是一种现代安全策略,它摒弃了传统安全模型中基于网络边界的静态信任假设,转而采用动态的、显式的信任模型。这种模式强调了“永不信任,始终验证”的原则,无论用户在网络的哪个位置,都必须经过...
网络安全技术-零信任技术系统研究V2.0
wangtd的博客
11-13 318
在数字化浪潮的推动下,企业信息化建设正迅速发展,这不仅极大地提高了工作效率和业务创新能力,也带来了前所未有的安全挑战。过去,企业依赖物理边界的防护和虚拟私人网络(VPN)来保护信息资源,基于“堡垒”模式的安全防御体系看似坚不可摧。然而,随着工作模式的灵活化、企业资源的云化,以及移动办公和BYOD(Bring Your Own Device)文化的兴起,这种传统安全模型已经显得力不从心。
找准边界,吃定安全 | 从访问控制谈起,再看零信任模型
山石网科的博客
08-12 1476
追求精益求精的访问控制
传统技术如何阻碍零信任以及如何应对
网络研究观
12-18 9998
零信任通过解决多个“支柱”(身份、设备、网络、应用程序工作负载和数据)的安全性以及使用策略和技术来启用或限制访问来实现这一点。支持和实现零信任的关键工具包括访问和身份管理 (IAM) 软件、用户和实体行为分析 (UEBA) 以及微分段。
正式发布 _ 零信任:以零信任,重建信任 .pdf
09-05
安全研究是推动零信任技术发展的驱动力,不断探索新的威胁和防御策略,以适应不断演变的威胁环境。 【企业安全实践】 企业实施零信任安全模型时,需要进行全面的安全评估,定义明确的访问策略,并逐步推进。这涉及...
「应急响应」国家网络战略和治理的演变 - 零信任.zip
11-11
《国家网络战略和治理的演变 - 零信任》这一主题深入探讨了在全球信息化进程中,国家对于网络安全的重视以及应对策略的变化。随着网络空间成为新的战略领域,各国纷纷强化网络防御,其中“零信任”原则成为了最新的...
基于零信任的身份管理与安全连接架构探讨.pdf
08-08
这一理念的提出,标志着从传统边界安全防护向深度防御策略的转变。随着云计算、物联网和多云环境的发展,身份管理(IAM,Identity and Access Management)的重要性日益凸显,它已经成为业务的核心,并在每一次...
《软件定义边界(SDP)标准规范2.0》.pdf《软件定义边界(SDP)标准规范2.0》.pdf
05-18
《软件定义边界(SDP)标准规范2.0》是一份重要的文档,主要关注现代网络安全领域中的零信任模型。SDP,即Software Defined Perimeter(软件定义边界),是为了解决传统网络安全模型的不足而提出的新兴理念。零信任...
2022年有多少人使用微信?
热门推荐
网络研究观
12-15 2万+
预计到 2025 年将达到 25 亿用户。
ChatGPT 存在很大的隐私问题
网络研究观
04-08 2万+
数据最终如何进入 GPT-4 之类的东西,存在这种分层和复杂的供应链,从来没有真正设计或默认的任何类型的数据保护。
2021年加密货币犯罪报告
网络研究观
09-07 1万+
关于当今网络犯罪分子如何使用加密货币的原创研究和案例研究。
如何一键关闭win安全中心(Windows Defender )
网络研究观
05-14 1万+
用于设置 Windwos Defender 状态(开关),和卸载 Windows Defender 相关组件。
2022年统计的27个网络安全漏洞数据信息
网络研究观
06-25 1万+
在这篇文章中,我们汇总了进入 2022 年需要注意的主要网络安全漏洞统计数据和信息。
大规模 ESXiArgs 勒索软件攻击以全球 VMware ESXi 服务器为目标
网络研究观
02-08 1万+
攻击者利用 VMware ESXi 服务器一个已有两年之久的远程代码执行漏洞未打补丁,以部署新的 ESXiArgs 勒索软件。
GitHub要求所有用户在2023年底前启用双因素身份验证
网络研究观
12-17 1万+
到了截止日期后,用户将开始在 GitHub 上看到启用 2FA 的提示,再持续一周,如果他们不采取行动,他们将被阻止访问 GitHub 功能。
网络安全工程师做什么?
网络研究观
03-22 1万+
消息灵通是绝对必要的,寻找有关可能对网络安全产生影响的新威胁、新攻击和全球事件的新闻。
零信任商业价值综述》.pdf
最新发布
02-06
4. 适用范围广泛:零信任不仅限于传统网络边界,还适用于云计算、内部部署环境、移动终端、物联网(IoT)以及运营技术(OT)等新兴领域。 报告由中国CSA大中华区的工作团队翻译,以英文版为基础,包括来自华为技术...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网络研究观

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值