重塑网络安全格局:零信任安全架构的崛起与革新

于 2024-01-25 21:02:30 发布
阅读量1.3k 收藏 22
点赞数 24
分类专栏: 零信任 网络安全 安全运营 文章标签: 零信任 安全架构 安全威胁分析 SASE 云服务 零信任落地 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011223449/article/details/135853777
版权

零信任安全架构是一种现代安全模式,其设计原则是“绝不信任,始终验证”。它要求所有设备和用户,无论他们是在组织网络内部还是外部,都必须经过身份验证、授权和定期验证,才能被授予访问权限。简而言之,“零信任”就是“在验证之前不要相信任何人”。

图片

与传统安全不同,零信任安全架构认为网络是不可信任的,把防护措施建立在应用层面,构建从访问主体到客体之间端到端的、最小授权的业务应用动态访问控制机制,极大地收缩了攻击面,采用智能身份分析技术,提升了内外部攻击和身份欺诈的发现和响应能力。

零信任安全架构的应用场景包括但不限于:企业网络、云计算环境、移动设备、远程办公和远程访问、供应链安全、物联网(IoT)设备安全、应用程序安全和数据安全。本文将对零信任安全落地实践发展趋势进行介绍。

John Kindervag于2010年提出了最初的零信任模型。作为Forrester Research的首席分析师,Kindervag意识到,传统的访问模式基于过时的假设,即企业应该信任其网络内的一切。当时的想法是,基于外围的安全(即防火墙)足以验证用户访问并完全确保网络安全。但是,随着越来越多的员工开始通过各种类型的设备和各种连接远程访问系统,这种信任结构被证明不足以有效管理分布式员工。

图片

与此同时,谷歌创建了BeyondCorp,用于将传统的VPN访问策略迁移到一种新的基础架构,在这种基础架构中,没有任何系统是可信的,所有端点都对访问进行控制和监控。通过将访问权限控制措施从网络边界转移至具体的用户,BeyondCorp旨在让每个员工都能在不借助VPN的情况下通过不受信任的网络工作。BeyondCorp支持单点登录、访问权限控制政策、访问代理,以及基于用户和设备的身份验证和授权。BeyondCorp遵循以下准则:发起连接时所在的网络不能决定对服务的访问权限;根据用户及其设备的上下文因素授予服务访问权限;对服务的所有访问都必须通过身份验证、获得授权并经过加密。

图片

思科则使用图示架构来实现安全且不依赖VPN的内部以及SaaS应用访问,首先通过多因子认证(MFA)来验证对于用户以及设备的信任,再使用单点登录(SSO)连接到公司部署的网关,与此同时根据持续的风险探测进行信任评估,动态调整用户对各个应用的接入权限。

图片

Akamai的零信任架构包含以下几个组件:零信任网络访问(ZTNA)、云访问安全代理(CASB)、安全Web网关(SWG)以及微隔离。ZTNA根据用户及其设备的身份验证结果及时间、位置、设备安全状况等多种属性来给予其适当的信任级别,进而授予访问权限;在云端构建的身份感知代理确保在远离数据中心的边缘完成所有身份验证,进入应用程序的敏感进入路径使用了反向应用程序隧道,去除了边界的IP可见性,降低了流量攻击的风险;SWG则具有DNS检查、URL检查、负载分析、威胁监控等能力;软件定义的微隔离能够提供网络分段以及应用程序层分段,只需要部署软件就能快速轻松地锁定关键应用程序,仅允许通过特定端口和进程进行通信,在遭受恶意攻击时保护重要资产。

图片

派拓的安全访问服务边缘(SASE)解决方案将ZTNA、云SWG、CASB、防火墙即服务(FWaaS)、软件定义广域网络(SD-WAN)整合到云交付平台中。ZTNA通过精细的访问控制安全地连接所有用户和所有应用,精确控制应用和子应用级别的访问,为相关对象授予应用的访问权限之后,系统将持续监控这些对象的可信度,以便识别设备状态、用户行为、应用行为等方面的变化,并通过数据泄露防护策略对所有应用提供一致的安全性;云SWG通过静态分析和机器学习抵御基于Web的威胁;CASB有助于企业安全使用SaaS应用,还提供主动可视性、实时数据保护;SD-WAN支持通过灵活的部署选项启用云交付分支机构。

图片

Fortinet的SASE解决方案为混合办公场景的用户提供一致的安全状态,AI驱动的SWG、ZTNA、CASB、FWaaS和SD-WAN均由一个操作系统承载运行,并且都可以通过统一的控制台进行管理。它集成了云交付的SD-WAN连接和云交付的安全服务边缘(SSE),将网络和安全的融合从网络边缘扩展到混合办公的用户,支持从任何地方安全访问网络、云和应用程序。

根据Gartner的调查报告《Market Guide for Zero Trust Network Access》显示,基于代理的ZTNA越来越多地被部署为更大的SASE架构的一部分,以取代传统上用于应用程序远程访问的VPN。零信任并不是某一种产品,而是一种全方位的策略,没有一种单独的产品能让企业实现零信任,但随着技术的进步和行业的整合,据Gartner在《Predicts 2022: Consolidated Security Platforms Are the Future》报告中预测:“到 2025 年,80% 的企业将采用这样一种策略,即通过一家供应商的安全服务边缘(SSE)平台统一Web、云服务和私有应用程序访问。”

知白守黑V
关注
  • 24
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网络安全零信任架构
烟云的计算
08-26 2520
传统 VPN 技术所使用的接入信息(e.g. 登陆 IP、登陆账户)都是预定义且开放的,并且,VPN 是基于固定边界的假设去创建接入隧道。现代 IT 环境表现出来了越发明显的 “碎片化” 和 “移动性” 特征,在这种复杂的环境中,依赖 “固定网络边界划分” 的传统安全架构不再适用。Micro-segmentation 是区别保护网络中的不同部分的前提,可以限制攻击者进行横向移动,确保隔离受感染的账户或设备,令一个受灾区域不会威胁到网络的其余部分。横向移动是攻击者在不同的网络部分之间移动的能力。.......
网络安全架构零信任安全
weixin_70923796的博客
07-14 2378
2019年7月12日,美国国防部发布《国防部数字现代化战略》。《战略》主要由美国国防部首席信息官(DoD CIO)牵头制定,旨在确保国防部以更高效、更有效的方式执行任务,为美国国防部IT现代化领域一系列其他战略文件提供顶层指导。在《战略》附录中列出的在国防领域有应用前景的技术中,将零信任安全(Zero Trust Security)作为了美国国防部优先发展的技术之一。 零信任是一种网络安全策略,它在整个架构中嵌入安全性,以阻止数据泄露。此安全模型消除了信任或不信任的网络、设备、角色或进程的概念,并转变为基于
基于零信任架构网络安全防护思路.pdf
09-19
基于零信任架构网络安全防护思路.pdf
基于零信任安全架构
tigerman20201的博客
10-14 3678
引用本文:曾玲,刘星江.基于零信任安全架构[J].通信技术,2020,53(07):1750-1754. ZENG Ling,LIU Xing-jiang.Security Architecture Based on Zero Trust[J].Communications Technology,2020,53(07):1750-1754. 摘 要:随着高级威胁和内部风险的日益增强,云计算、大数据、移动互联的飞速发展,远程办公、异地分支的大量应用,网络边界越来越模糊,传统的网络安全架构已难以满足安全
什么是零信任网络架构
lavin1614
02-23 2612
零信任网络架构 (ZTNA) 是一种安全模型,它在授予对数据和应用程序的访问权限之前对每个用户、设备和进程使用多层精细访问控制、强大的攻击预防和持续验证。使用 ZTNA 方法,信任永远不会被隐式授予,必须不断评估。ZTNA - 也称为零信任网络访问、软件定义边界 (SDP) 或动态安全边界 (DSP) - 不依赖于预定义的信任级别。作为一种安全架构零信任的目标是为数据和应用程序提供更安全的访问,即使是远程工作人员也是如此。
SDP零信任网络安全架构
bocco的博客
02-01 1283
安全零信任SDP接入解决方案基于“以身份认证为中心,以信任为基础,持续动态授权认证”的理念,打造企业全方位立体业务访问安全体系。
安全体系架构】——零信任网络架构
weixin_55799469的博客
10-18 768
零信任网络架构是一种网络和信息安全模型,它将传统的信任模型颠覆,不再信任内部或外部用户、设备或网络。相反,它将每个访问请求都视为不受信任,要求对每个用户、设备和流量都进行认证和授权,即使它们位于内部网络也一样。零信任网络架构强调了对网络资源的最小化最小权限原则以及精细的访问控制,以提高网络的安全性。
零信任架构
polarday的博客
06-09 3405
物理边界曾经是可信网络和不可信网络之间的有效分割,防火墙通常位于网络的边缘,基于静态策略来控制网络流量。位于防火墙内部的用户会被授予高信任等级来访问企业的敏感资源,因为他们被默认是可信的。 但随着业务迁移到云端,APT攻击的泛滥,以及移动办公的趋势,传统的安全边界变的模糊,既然网络和威胁已经发生了变化,我们的防御模型也要跟着变化。零信任是一种安全模型。首先我们要抛弃传统的边界观念,不再依据用户所处的网络位置而决定这个人是否可信。取而代之的是我们对每个请求都进行严格验证 信任建立起来之前,网络上的任何资源都是
网络安全专题报告:零信任安全,数字时代的主流安全架构
weixin_41284310的博客
02-01 3462
一、零信任将成为数字时代主流的网络安全架构 1.1 零信任是面向数字时代的新型安全防护理念 零信任是一种以资源保护为核心的网络安全范式。《零信任网络:在不可信网络中构建安全系统》一书对零信任安全进行了简要归纳和概况:1)网络无时无刻不处于危险的环境中;2)网络中自始至终都存在外部或内部威胁;3)网络位置不足以决定网络的可信程度;4)所有的设备、用户和网络流量都应当经过认证和授权;5)安全策略必须是动态的,并基于尽可能多的数据源计算而来。因此零信任安全的核心思想是默认情况下企业内部和外部的所有人、事、物都是不
零信任——网络安全理念的重塑.pdf
08-11
01 传统安全防御体系 02 零信任安全体系结构 03 SDP体系结构与实现 04 SDP实现效果演示
基于零信任架构网络安全防护思路 (1).pdf
09-19
基于零信任架构网络安全防护思路 (1).pdf
零信任-网络安全理念的重塑.pdf
05-07
零信任-网络安全理念的重塑.pdf
「web安全零信任——网络安全理念的重塑 - 安全架构.zip
11-24
「web安全零信任——网络安全理念的重塑 - 安全架构 安全热点 防火墙 法律法规 勒索病毒 红蓝对抗
网络安全行业专题报告:SASE,重塑网安行业格局.docx
06-03
网络安全行业专题报告:SASE,重塑网安行业格局.docx网络安全行业专题报告:SASE,重塑网安行业格局.docx网络安全行业专题报告:SASE,重塑网安行业格局.docx网络安全行业专题报告:SASE,重塑网安行业格局.docx网络安全...
零信任网络安全理念的重塑——行业深度报告.pdf
11-06
零信任相关资料
初识“零信任安全网络架构
m0_38103658的博客
04-24 3901
初识“零信任安全网络架构” 一、前言: “零信任网络”(亦称零信任架构)自2010年被当时还是研究机构Forrester的首席分析师JohnKindervag提出时起,便一直处于安全圈的“风口浪尖”处,成为众人不断争议与讨论的对象,有人说这是未来安全发展的必然产物、也有人说其太过超前而无法落地,但无论“零信任”如何饱受争议,不可否认的是随着“零信任”的支撑技术逐渐发展,这个从前只存在于理论上的“安...
零信任安全架构及应用研究
weixin_70923796的博客
01-04 219
零信任是一种全新的安全理念,它对网络安全进行了范式上的颠覆,打破了网络边界的概念,引导网络安全体系架构从网络中心化向身份中心化的转变,实现对用户、设备和应用的全面、动态、智能访问控制,建立应用层面的安全防护体系。该技术在使用了静态规则匹配的基础上,还采用机器学习、人工智能等技术,通过对网络活动数据特征提取、模型训练等过程,构建信任评估模型,利用模型输出和人工定义风险评分,实现模型的验证和评估,并正向反馈至评估模型,提升模型分析准确性,增强信任评估的智能化水平和准确性,应对日益复杂的未知网络威胁
认识零信任安全网络架构
墨痕诉清风的博客
03-14 6621
一、前言: “零信任网络”(亦称零信任架构)自2010年被当时还是研究机构Forrester的首席分析师JohnKindervag提出时起,便一直处于安全圈的“风口浪尖”处,成为众人不断争议与讨论的对象,有人说这是未来安全发展的必然产物、也有人说其太过超前而无法落地,但无论“零信任”如何饱受争议,不可否认的是随着“零信任”的支撑技术逐渐发展,这个从前只存在于理论上的“安全最优解”正逐步成为现实。 在2019年9月份,工信部公开征求对《关于促进网络安全产业发展的指导意见(征求意见稿)》的意见中,《意见》指
零信任安全架构2-零信任理念、实现及部署方案
elevn的博客
09-05 841
零信任安全理念主要分为两类,一类是站在发起方,用户对资源的访问模式,指的是用户访问内部资源时,如何验证用户是可信的,如何确保访问来源终端可信,如何确认拥有访问资源权限。另外一类是站在服务方,即服务资源之间如何安全的互相访问。实现方案中,主要解决的是站在用户视角的零信任方案。
圣农发展(002299.sz):白鸡龙头,估值重塑 pdf
最新发布
01-08
圣农发展是中国肉鸡养殖行业的领军企业,被誉为“白鸡龙头”。近年来,在公司战略调整和行业政策利好的双重推动下,圣农发展业绩稳步增长。在疫情期间,圣农发展通过加强生产、优化销售等措施,成功实现了业绩的增长,表现出了强大的抗风险能力。 在当前A股市场,圣农发展的估值相对较低,有望经历估值重塑。由于行业龙头地位及良好的盈利能力,投资者对圣农发展的投资价值持续看好,公司未来有望获得更高的估值。 此外,圣农发展还致力于推进产业链的延伸和升级,通过整合资源、提高供应链效率等举措,加强了公司的核心竞争力,也为估值重塑提供了有力支撑。 总的来说,圣农发展作为白鸡龙头企业,具有稳定的盈利能力和强大的成长潜力,有望在未来实现估值重塑。投资者可关注圣农发展的经营发展情况,把握其估值重塑的投资机会。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

知白守黑V

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值