在产业数字化升级与业务上云的趋势下,传统企业保护边界逐渐被瓦解,企业被攻击面大幅增加,零信任这一网络安全的理念受到更多的关注,国内外围绕零信任展开大量的研究和实践。
企业该如何部署零信任,OneAuth身份引擎云管理安全围绕零信任基于自身应用实践,梳理了22个常见的问题,帮助用户快速理解。
Q1大家都在讨论零信任,零信任到底是什么?
答:本质上,零信任既不是技术也不是产品,而是一种安全理念,“持续验证,永不信任”是其基本观点。零信任假定网络边界内外的任何访问主体(人/设备/应用),在未经过验证前都不予信任,需要基于持续的验证和授权建立动态访问信任,其本质是以身份为中心进行访问控制。零信任架构则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
Q2与传统的边界安全理念相比,零信任理念有什么优势?
答:零信任提供了增强安全机制,在新的架构模型下,可以区分恶意和非恶意的请求,明确人、终端、资源三者关系是否可信。相比于传统边界安全理念,有以下优势:安全可信度更高,信任链条环环相扣,如果状态发生改变,会更容易被发现;动态防护能力更强;支持全链路加密,分析能力增强、访问集中管控、资产管理方便等。
Q3零信任会淘汰VPN吗?
答:零信任提供了增强安全机制,在新的架构模型下,可以区分恶意和非恶意的请求,明确人、终端、资源三者关系是否可信。相比于传统边界安全理念,有以下优势:安全可信度更高,信任链条环环相扣,如果状态发生改变,会更容易被发现;动态防护能力更强;支持全链路加密,分析能力增强、访问集中管控、资产管理方便等。
Q4作为一种前沿的安全理念,零信 任是通过什么技术实现的?
答:业内普遍认为软件定义边界(SDP)、身份识别与访问管理(IAM)、微隔离(MSG)是实现零信任的三大关键路径,围绕零信任的相关产品及解决方案也都基于此展开。Gartner将SDP描述为软件定义的围绕某个应用或某一组应用创建的基于身份和上下文的逻辑访问边界,具备服务隐身、控制层与数据层分离、灵活可扩展架构的安全系统。IAM将企业所有数字实体进行有效管理并通过唯一资源标识进行身份化处理,同时兼容现有的各类身份认证协议,能够灵活支持多因子认证和人机挑战的编排,并能够实现和传统AD域控打通或者替换,最终实现以身份为中心进行该身份的全生命周期的动态信任管理,并根据信任评估结果,判断当前身份是否可以访问数据资产。MSG则是将数据中心的资源或服务按不同