零信任网络初识

最新推荐文章于 2024-08-08 11:05:10 发布
最新推荐文章于 2024-08-08 11:05:10 发布
阅读量3.3k 收藏 3
点赞数
分类专栏: 笔记 文章标签: 网络 安全 数据安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43047908/article/details/122099701
版权

目录

概述

“零信任网络”是在2010年被Forrester的首席分析师JohnKindervag提出,他认为:“企业不应自动信任内部或外部的任何人/事/物,应在授权前对任何试图接入企业系统的人/事/物进行验证。”这个概念一经提出就饱受争议,有人说其是这是安全产品未来趋势,也有人担心这个概念难以落地而不被看好,然而随着底层组件技术的不断发展,这个概念也被逐步验证成为现实。

什么是零信任网络?

在谈到“零信任”前不得不提到“基于网络边界建立信任”的理念,传统网络安全防护大都通过在网络边界部署防火墙、IDS、入侵监测系统等防护设备,对企业网络层层防护,从外向内地将攻击拦截在外从而保障企业网络的安全。然而现在的网络架构和使用模式正在对这种基于边界的防护策略发起挑战:缺乏内部流量的检查、主机部署缺乏物理和逻辑上的灵活性、存在单点故障。

比如:位于网络防护边界之外的远程用户和移动设备的接入,云上资产的访问与防护等问题,一旦某个单点被突破,就给了攻击者横行移动、进一步入侵的可能,传统防护策略逐渐显得力不从心。

零信任模型旨在解决“基于网络边界建立信任”这种理念本身固有的问题。零信任模型的核心思想是不基于网络位置建立信任,任何在授权前的人/设备/应用程序都视为不被信任的、在访问数据前都应取得信任,细粒度数据访问权限,采用最小权限原则,将网络防御的对象从边界缩小到了单个或者更小的资源组。

如果把企业网络比作一座城的话,那么传统边界防护就是给城修城墙、设栅栏,而在零信任网络下就是给一个城市居民配置一名守卫兵。传统基于边界访问的“城墙”不会消失——它还能抵御大部分入侵,仅靠配置“守卫兵”的方式又回占用太多的资源和带宽,两者还需在实用性和安全性上作出平衡。

零信任网络架构逻辑

在组织和企业中,构成零信任架构部署的逻辑组件通常有很多,《NIST SP800-207:零信任架构草案》中描述了一种典型的方案逻辑及核心产品组件:

在这里插入图片描述
策略引擎(Policy Engine, PE):组件负责最终决定是否授予指定访问主体对资源(访问客体)的访问权限。策略引擎使用企业安全策略以及来自外部源(例如IP黑名单,威胁情报服务)的输入作为“信任算法”的输入,以决定授予或拒绝对该资源的访问,策略引擎的核心作用是信任评估。

策略管理器(Policy Administrator, PA):组件负责建立客户端与资源之间的连接。它将生成客户端用于访问企业资源的任何身份验证令牌或凭据。它与策略引擎紧密相关,并依赖于其决定最终允许或拒绝连接,策略管理器的核心作用是策略判定点,是零信任动态权限的判定组件。

策略执行点(Policy Enforcement Point, PEP):这实际上是一个组件系统,负责开始,持续监控、并最终结束访问主体与访问客体之间的连接。策略执行点实际可分为两个不同的组件:客户端组件(如用户笔记本电脑上的agent)与资源端组件(如资源前控制访问的网关),策略执行点确保业务的安全访问。

除了以上核心组件外,还有进行访问决策时为策略引擎提供输入和策略规则的许多数据源。包括本地数据源和外部数据源,具体包括:

  • 持续诊断和缓解计划(continuous diagnostics and mitigation,CDM)系统
  • 行业合规系统(Industry Compliance System)
  • 威胁情报流,该系统提供帮助策略引擎进行访问决策的信息
  • 数据访问策略
  • 企业公钥基础设施(PKI)
  • ID管理系统。系统负责创建、保存和管理企业用户帐户和身份记录
  • 安全应急和事件管理系统(SIEM)

零信任网络技术组件

零信任技术需要根据用户身份、用户所处位置、上下文信息和其他数据等条件,利用微隔离和细粒度边界规则,来确定是否信任请求企业特范围访问权的用户/主机/应用。首先是建立资产清单库,至少包括用户清单库、设备清单库。且能够根据企业组织架构调整、人员变动、设备丢失等情况对资产进行生命周期管理,且动态维护相关联的属性特征。如人员职级、角色,设备证书状态、设备是否安装了最新的补丁等。

身份认证可以对现有技术进行融合,如多因子身份验证(MFA)、可信身份认证(FIDO)、身份与访问管理(IAM)、SSO等。
需要做到:
做到细粒度权限访问:

  • 最小权限原则
  • 终端数据隔离
  • 应用资产隐藏

内网流量也要求全部加密。通过TLS、IPSec等技术创建安全通道,并通过PKI/CA/X.509等基础设施实现流量的保密性和完整性。同时,所有流量必须被记录和监控。

自学习、自适应的动态模型。利用机器学习,通过用户及实体行为分析(UEBA)识别异常行为等。
除了技术方面,人的观念转变和高层支持更加重要。否则,零信任根本难以起步。

零信任架构部署形式

基于网关的零信任架构

简介

经典的网关型架构,由一个或多个组件构成。网关放置在资源前面,强制资源只能和网关通信。并管控可信代理访问网关的行为。

执行流程

  • 企业配发移动端,访问资源的流量由可信代理转发到网关的策略管理器。
  • 策略管理器转发给策略引擎评估请求的安全性。
  • 若请求被授权则创建通信通道(TLS加密)代理设备和网关建立通道;

基于SASE的零信任架构

简介

ZTNA零信任安全网络访问模型,重点在网关的基础上重点基于身份和上下文的逻辑访问边界服务,强调链接之前先验证,提升可信网络+访问体验优化。

执行流程

  • 设备代理向网关发起请求并注册成为可信设备;
  • 网关基于设备安全性和身份双重验证请求者;
  • 建立加密隧道并由就近POP点接入云上网关;
  • 实时对访问请求进行检测和判断;
  • 由网关判断请求资源是否被允许;

基于端安全的零信任架构

简介

以解决端端的安全性为重点,如防病毒、资产管理、补丁管理。再配合网关进行资源的安全访问。

执行流程

  • 传统终端杀毒安全管理实时在端的环境上进行检测;
  • 通过终端代理与网关建立访问通信隧道;
  • 当终端环境符合接入的基线要求时允许访问;

基于IAM的零信任架构

简介

以身份验证和访问控制授权为重点,在4A的基础上增加对于应用的管控。确保访问者是合法员工且访问权限是最小授权模式。

执行流程

  • 验证访问者身份,并配合MFA对访问者进行高级别的安全验证;
  • 验证通过后执行最小授权;
  • 当员工需要访问其他资源时进行权限的申请;
  • 当员工离职时权限自动收回确保无僵尸账号等。

基于应用沙箱的零信任架构

简介

基于RBI技术解决安全的数据访问,网关把用户跟数据隔离开,访问数据通过远程服务器访问机数据仅落在远程服务器上,不落在本地。

执行流程

  • 客户端代理通过RBI访问到远程服务器环境;
  • 远程服务器事前对接好应用和数据;
  • 所有访问在沙箱里进行;若需要数据的拷贝和删除等高危操作单独申请。
她总是阴雨天
关注
专栏目录
[网络安全自学篇] 四十八.Cracer第八期——(1)安全术语、Web渗透流程、Windows基础、注册表及黑客常用DOS命令
杨秀璋的专栏
02-21 2万+
这是作者的网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您们喜欢,一起进步。前文分享了微软证书漏洞(CVE-2020-0601),并详细讲解了Windows验证机制、可执行文件签名复现及HTTPS劫持。本文将分享另一个主题——Cracer教程,第一篇文章将详细讲解安全术语、Web渗透流程和Windows基础、注册表及黑客常用DOS命令。基础性文章,希望对您有所帮助。
【Python爬虫系列】_007.初识爬虫
最新发布
weixin_50296259的博客
09-02 275
概念爬虫就是通过编写程序来爬取互联网上的优秀资源(图片, 音频, 视频, 数据)爬取的一定是 能看见的东西, 公开的一些东西.
云端软件端侧安全防控新技术
Lydiasq的博客
10-25 530
近年来,。2022年第一季度,全球云基础设施服务支出同比增长了34%,达到559亿美元,据Canalys最新数据统计,云服务总体支出较上一季度增加了20亿美元,较2021年第一季度增加了140亿美元。Web 2.0向3.0的进发,去中心化愈发明显,把业务实现成软件,并放到一个“租赁”的第三方硬件与网络资源上运行,是大势所趋。那么问题来了,你的代码和数据,就是你的数字资产,如何在一个并不完全受你控制的环境中安全运行,在安全、隐私方面得到保护呢?
什么是零信任网络
里查叔叔
09-18 2122
什么是零信任网络什么是零信任零信任的策略IAM 的核心主要几个方向:以身份为中心 什么是零信任? 「零信任」既不是技术也不是产品,而是一种安全理念。根据 NIST《零信任架构标准》中的定义: 「零信任(Zero Trust)」提供了一系列概念和思想,假定网络环境已经被攻陷,在执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)则是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成 零信任的策略 简单来讲,「零信任」的策略就是「不相信任何
信创安全 | 新一代内网安全方案—零信任沙盒
Canon_YK的博客
08-08 1153
零信任(Zero Trust)是一种网络安全的理念和策略,强调在网络环境中不信任任何用户或设备,并要求对每个访问请求进行验证和授权,而不仅仅依赖于传统的边界防御措施。传统的网络安全模型通常是基于信任的,即内部网络被视为相对可信的,而外部网络被视为不可信的。然而,随着网络攻击的不断演变和内部威胁的增加,传统的信任模型变得不再可靠。零信任的理念认为,无论是内部用户还是外部用户,都应该被视为潜在的威胁,并且需要经过身份验证和授权才能访问网络资源。
零信任沙盒,加密沙盒,防泄密沙盒
cnsinda_htt的博客
10-10 444
在企业内网部署深信达anywork零信任沙盒系统,将外网服务器作为网关服务器,对git/svn或其他业务系统进行相关设置,即可做到无论员工身处何地,都可以快速接入公司内网获得数据和资料,开展远程办公。工作相关的涉密数据只能够落到到沙盒安全空间内,无法拷走,在做到灵活条件办公的同时,也能保障数据的安全。企业需满足员工在任意时间、地点对企业内部进行访问的需求;传统的VPN是网络层产品,由于缺少应用层日志,很难对使用者进行精准的溯源审计和行为阻断,网络资源、边界漏洞容易暴露,为攻击者提供可趁之机。零信任沙盒
零信任嵌入式安全沙箱技术,企业应用软件的技术底座
m0_72622669的博客
10-26 1586
FinClip的核心是一个可嵌入任何iOS/Android App、Windows/MacOS/Linux Desktop Software、Android/Linux操作系统、IoT/车载系统的多终端安全运行沙箱。最后,零信任不是某一个产品,而是一种新的安全架构理念。在具体实践上,不是仅在企业网络边界上进行访问控制,而是应对企业的所有网络边缘、身份之间的所有访问请求进行更细化的动态访问控制,从而真正实现。
适配各种IT场景的零信任沙箱
Canon_YK的博客
07-10 503
零信任结合沙箱技术,通过创建一个隔离的数据处理环境,确保敏感数据在这一环境中被沙箱保护,严格控制数据的访问和传输权限,从而有效防止未授权的数据泄露。通过严格的身份验证、权限控制以及隔离的数据处理技术,零信任沙箱有效解决了数据防泄漏、恶意软件隔离等问题,提高了系统的安全性和用户体验。零信任结合沙箱技术,通过严格的身份验证、权限控制以及隔离的数据处理技术,有效提高了系统的安全性。零信任结合沙箱技术,通过模块化设计,可以根据企业的不同需求和场景,灵活组合不同的沙箱模块,提供定制化的数据安全解决方案。
初识零信任安全网络架构”
m0_38103658的博客
04-24 4035
初识零信任安全网络架构” 一、前言: “零信任网络”(亦称零信任架构)自2010年被当时还是研究机构Forrester的首席分析师JohnKindervag提出时起,便一直处于安全圈的“风口浪尖”处,成为众人不断争议与讨论的对象,有人说这是未来安全发展的必然产物、也有人说其太过超前而无法落地,但无论“零信任”如何饱受争议,不可否认的是随着“零信任”的支撑技术逐渐发展,这个从前只存在于理论上的“安...
初识云计算
qq_71207842的博客
09-11 1640
混合云是公有云和私有云两种服务方式的结合。另一个好的理念是,使用公有云作为一个选择性的平台,同时选择其他的公有云作为灾难转移平台。公有云的最大意义是能够以低廉的价格,提供有吸引力的服务给最终用户,创造新的业务价值,公有云作为一个支撑平台,还能够整合上游的服务(如增值业务,广告)提供者和下游最终用户,打造新的价值链和生态系统。此外,由于混合云是不同的云平台、数据和应用程序的组合,因此整合可能是一项挑战。随着云计算的发展,如今,几乎每个企业计划或正在使用云计算,但不是每个企业都使用相同类型的云模式。
[网络安全自学篇] 七十九.Windows PE病毒原理、分类及感染方式详解
热门推荐
杨秀璋的专栏
05-20 1万+
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步。前文分享了XSS跨站脚本攻击案例,主要内容包括XSS原理、不同类型的XSS、XSS靶场9道题目、如何防御XSS。这篇文章将介绍Windows PE病毒, 包括PE病毒原理、分类及感染方式详解,并通过案例进行介绍。基础性文章,希望对您有所帮助~
优优商品_IT-原创_零信任4A方案.zip
08-16
基于“零信任”下一代应用集中身份访问管理解决方案。有一些参考意义。是售前了解4A,以及零信任的资料。
YUNDUN | 云原生应用零信任实践
BaishanCloud的博客
12-11 444
白山云科技 11月26日,YUNDUN CTO胡金涌,受邀参与2020上海数字创新大会,并于零信任下的新体系论坛中发表演讲《云原生应用零信任实践》,本文将对演讲精华进行提炼分享。 “社会为何和谐?”源于人人知我,我知人人,一切社会行为都将与“身份”进行绑定,从而实现当你已产生风险行为,甚至将产生风险行为时,对你施以控制,限制风险的扩散乃至发生。真实世界需要身份,数字世界也需要身份。基于身份建立的零信任理念坚持“永不可信,始终认证”原则,将身份的必要性,扩散至全量的应用场景,从访问行为产生之初根.
RSA创新沙盒盘点|BastionZero——零信任基础设施访问服务
weixin_44981569的博客
05-25 787
RSAConference2022将于旧金山时间6月6日召开。大会的Innovation Sandbox(沙盒)大赛作为“安全圈的奥斯卡”,每年都备受瞩目,成为全球网络安全行业技术创新和投资的风向标。 前不久,RSA官方宣布了最终入选创新沙盒的十强初创公司:Araali Networks、BastionZero、Cado Security、Cycode、Dasera、Lightspin、Neosec、Sevco Security、Talon Cyber Security和Torq。 绿盟君将通过背景介绍、产
零信任是一次绝地反击
蔷薇灵动
09-25 407
不知道大家如何看待网络安全这些年来的发展轨迹,又是如何看待零信任这个技术与其他网络安全技术的关系的。很多人认为,技术总是不断发展的,技术总是承前启后的,今天的技术是对昨天的技术的继承与延续,进而登上了新的高峰。应该说多数时候这个观点是正确的,但是,零信任不是这样。 网络安全技术的一些现状与困局 目前公认的零信任技术包括SDP,微隔离和IAM这三个。这三个技术分别发展了过去的VPN技术,防火墙技术和4A技术。但是,我们必须认识到一件事情,这些技术并不是过去很多年里网络安全技术发展的主流,事实上VPN.
NIST《零信任安全架构标准》简单解读
一杯咖啡的渗透记忆
04-15 3930
1、零信任(Zero Trust,缩写ZT)代表着业界正在演进的网络安全最佳实践,它将网络防御的重心从静态的网络边界转移到了用户、设备和资源上。 2、零信任安全模型假设网络上已经存在攻击者,并且企业自有的网络基础设施(内网)与其他网络(比如公网)没有任何不同,不再默认内网是可信的。 3、零信任架构(ZTA)的宗旨是减少对攻击者的资源暴露,并在主机系统被攻陷时,最小化(或防止)攻击在企业内部的横向扩展。 4、零信任的重心在于保护资源,而不是网段,因为网络位置不再被视为资源安全与否的主要依据。 5、根据
零信任解决方案的SDP 微隔离 IAM介绍
securitypaper的博客
09-07 1330
IAP关注于应用层的身份访问,依赖于访问控制,而不是防火墙规则。配 置的策略反映了用户和访问意图,而不是端口和IP地址。此外,IAP基于最小特 权访问原则建立了一个中央授权层,并基于每个单独的请求执行访问控制,为零 信任提供了实践治理模型。使用IAP,任何访问请求都可被终止、检查或重新检 查、修改和授权。
什么是零信任沙箱?零信任沙箱的作用是什么?
Felixwb的博客
07-25 345
在当今日益复杂的网络安全环境中,零信任沙箱作为一种前沿的安全防护技术,受到了广泛关注。而SDC沙箱作为零信任沙箱领域的佼佼者,凭借其独特的技术优势和卓越的价值,为企业和组织提供了强大的数据安全保障。本文将深入探讨SDC沙箱在零信任沙箱领域中的优势和价值体现。一、SDC沙箱的技术优势SDC沙箱采用了先进的内核级纵深立体沙盒加密技术,该技术以其独特的优势在数据安全领域独树一帜。首先,SDC沙箱具备透明加密技术,能够在不影响员工工作效率和操作习惯的前提下,对源代码、图纸、文档等机密数据进行深度加密。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值