零信任安全理念强调“从不信任,始终验证”,取消了传统网络安全的边界概念,重点关注身份验证、权限最小化和持续信任评估。随着云、大数据和物联网的发展,零信任成为应对新型威胁的有效手段。它包括基于SDP、IAM和微隔离的实现方式,广泛应用于云计算环境、远程办公和特权访问等场景,未来有望与SASE融合,成为端到端安全的新标准。
零信任
零信任的特点:
“信任”等于“权限”,零信任的实质是通过在网络中消除未经验证的隐含信任 构建安全的业务访问环境。“从不信任,始终验证”是零信任的核心思想,权限最小化是基本原则,在不可信 网络中构建安全系统是零信任的终极目标。
不再以一个清晰的边界,来划分信任或不信任的设备。(强调无边界);
不再有信任或不信任的网络(不分内外网);
不再有信任或不信任的用户(一次认证、静态认证或只靠认证是不可靠的);
不做任何假定,不信任任何人愿,随时检查一切,防范动态威胁,准备最坏的情况。
驱动因素:
国家新基建的推动下云、大、物、移快速发展,千人千面的业务需求下,海量的人、设备、应用接入了互联网,用户类型、设备种类、应用端点越 来越多。设备管理难度增加,访问关系变得极度复杂,各种身份的人、各种类型的设备、应用程序在不同环境 下错综复杂的糅合在了一起。
云计算颠覆了传统的边界防御架构。互联网技术发展使基于数据中心、云服务的数据共享成为企业战略新 的业务范式,开放的应用和数据部署在本地及多云计算中心的虚拟机上,不再全部运行在企业自己的硬件设施 上。用户访问云计算中心开放的 IaaS,PaaS 或 SaaS 服务,业务数据从云延伸到端,使得边界难以划分,边 界防御实施越来越难。因此每一个应用和数据的安全访问成为了企业关注的重点。
传统的分区分域、ACL策略、子网划分等方式无法提供有效隔离。对多个应用部署在同一物理机上的情况,黑客利用某个应用的 WEB 或数据库漏洞向系统植入恶意代码, 会影响系统内其他业务的安全运行,原来虚拟机还能做到操作系统隔离,现在容器被广泛应用后又爆出很多容器逃逸漏洞,但从业务访问安全角度开看企业势必需要更细粒度的隔离手段。
基于位置进行内网访问不再可信。 众所周知的棱镜门事件,2018 年的特斯拉生产系 统机密数据泄露事件,2020 年的 Twitter 账号劫持事件,都有效说明“最坚固的堡垒总是从内部攻破的”,访问位置不能说明访问可信。
外部严峻的网络威胁态势。随着业务数据含金量提高,黑客不再满足低效的网络层的流量劫持和 DDOS 攻击,转而采用效力和隐蔽性更强,针对特定对象、长期、有计划、有组织的定向攻击方式。2018 年以来全 球 APT 攻击持续高发,勒索事件高居不下,大量的 APT 攻击利用电子邮件进入员工主机投毒、安装恶意代码、 注入木马,通过反连、控制、加密等手段使该主机失陷。其攻击能力已超越了传统网络安全的防御能力,黑客 可以很容易绕过网络访问策略进一步攻击应用程序基础结构。
发展过程:
零信任的理念源于美国国防信息系统局 (DISA) 和国防部的一个称为“黑核”(BCORE) 的企业安全战略, 其目标是从边界安全转移向单个事务的安全。
国内的零信任发展历程:
2018 年 9 月,在第六届互联网安全大会(原中国互联网安全大会),中国安全厂家首次提出“安全从 0 开始” 的主题,其第一层含义是“零信任”架构;
2019 年 7 月,《零信任安全技术 - 参考框架》作为行业标准在 CCSA TC8 立项;
2019 年 8 月,《Zero Trust Networks》一书,首次由奇安信身份安全实验室翻译为中文,在国内引进出版; 2019 年 9 月,工信部公开发布指导意见《关于促进网络安全产业发展的指导意见(征求意见稿)》中,将“零 信任安全”列入需要“着力突破的网络安全关键技术”;
2019 年 9 月,中国信通院发布《中国网络安全产业白皮书 (2019 年 )》中,首次将零信任安全技术和 5G、 云安全等并列列为我国网络安全重点细分领域技术;
2020 年 6 月 , 在中国产业互联网发展联盟标准专委会指导下,成立了“零信任产业标准工作组”,并于 8 月正式对外发布国内首个基于攻防实践总结的零信任安全白皮书——《零信任实战白皮书》;
2020 年 8 月,中国信通院联合奇安信集团,在网络安全新技术和应用发展系列发布了《零信任技术》报告; 2020 年 8 月,由奇安信牵头的《信息安全技术零信任参考体系架构》作为国家标准在WG4 立项,成为首个零信任安全国家标准;
2020 年 9 月,由腾讯主导的“服务访问过程持续保护参考框架”国际标准成功立项,成为国际上首个零 信任安全技术标准。
国际厂商:
根据最新的《Zero Trust eXtended Ecosystem Platform Providers》报告,国际处于领导者地位的零信任 安全厂商以美国居多,主要有:Akamai、Appgate、Cisco、PaloAlto Networks、Illumio、MobileIron。
CyberArk,是以色列一家特权管理软件厂家,2019 年 5 月收购身份安全的初创厂家 Idaptive,致力于打 造以身份为中心的零信任的解决方案。
Citrix,是一家虚拟化技术为主远
最低0.47元/天 解锁文章
307
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
