零信任--ISD,IAM,MSG

已于 2024-06-02 16:22:56 修改
阅读量909 收藏 25
点赞数 11
分类专栏: 网络安全产品 文章标签: 网络 安全 网络安全
于 2024-05-15 16:46:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_60885144/article/details/138914147
版权

目录

what

why

how

零信任核心原则:

持续验证

动态授权

全局防御

零信任架构三大技术

1)SDP--软件定义边界

how

SDP三大组件:

作用

2)IAM--身份权限管理

what

why

3)MSG--微隔离

what

why

how

what

首先,零信任不是一种设备或架构而是一种安全策略。其策略核心是不信任任何请求,而是假定将这些请求视为威胁来验证其合法性/安全性。

why

传统的安全模型通过“一次验证+静态授权”的方式评估实体风险,而零信任基于“持续验证+动态授权”的模式构筑企业的安全基石。

如今的网络边界伴随着云数据的介入安全策略的不统一,接入终端多样性等导致传统设定的网络边界难以维持对于身份/请求的认证,“一次验证+静态授权”难以面对复杂的网络边界,安全威胁接踵而至。

how

零信任核心原则:

持续验证

零信任对人、终端和应用进行统一身份化管理,建立以身份为中心的访问控制机制。

本质还是基于用户身份的访问控制,但是以往的架构“一次验证”(正确的账号密码)后就不会再去对用户身份验证,若该用户登录的终端、网络、应用发生改变是不会影响用户登录。

持续验证将这些作为认证的动态考量因素(采用多种因素进行验证),对于异常行为可以检测(针对vpn登录很有帮助)

注:多因素身份验证(MFA)--所知(账号密码) 所有(设备 验证码) 生物特征(指纹 人脸识别)

动态授权

传统的“静态授权”是根据提前设定的安全策略来规定用户的访问权限,不能依据用户的行为、设备状态、时间、位置等来实时调整访问权限,从而增加了安全风险。

动态授权就能依据解决这些安全风险,如设备被感染病毒可拒绝当前用户的进行访问;或者用户多次登录失败被认定为异常行为从而报警该异常并拒绝用户登录尝试

全局防御

传统的安全往往是设备的单打独斗,针对安全风险很难形成有效联动。零信任基于安全大脑的大数据分析能力,对网络流量、用户日志、威胁事件等进行智能检测和风险评估,创建一条完整的信任链。针对用户/设备/终端统一下达安全策略,实现全局防御与秒级处理

零信任架构三大技术

1)SDP--软件定义边界

how

SDP 仅在设备验证和身份验证后才允许访问企业应用基础架构并且根据最小化授权原则只能访问授权应用。从而网络完全隐身,无需开放任何TCP端口,让企业服务从互联网上“隐身”,不为潜在攻击者提供任何端口扫描和攻击的机会。

实现原理:远程访问终端安装SDP客户端,边界接入区部署SDP控制器、SDP网关。将所有的访问控制流量通过路由导向SDP网关,将所有应用隐藏在SDP网关后,理论上应用服务器不接收除SDP网关外的其它链接。SDP控制器在外网地址可见。SDP网关地址、端口由SDP客户端与控制器联动认证通过后按需动态开放。用户权限将根据用户身份和行为实时打分,并动态调整。

SDP三大组件:

SDP控制器(是SDP的核心 ) SDP客户端 SDP网关

关系:

1 控制器决定哪些客户端可以与网关通信

2 客户端发送的请求实际是发给控制器,控制器来判断客户端能连接哪些网关列表

3 默认网关是拒绝控制器之外所有主机的所有通信,只有控制器下达指令网关才与客户端直接连接

作用

避免端口扫描---只有通过验证才能实现远程连接网关才会开放服务端口

避免攻击---所有的服务都在SDP网关后面,非认证的客户端无法访问更不能攻击

避免ddos---客户端首先身份验证时发送的是SPA(单包授权验证)将自身的认证信息发送给控制器,可以根据这个特性拒绝所有的非法请求

2)IAM--身份权限管理

what

统一身份认证(Identity and Access Management)。若把安全策略下发者的身份看作账号,那么IAM用户由账号创建,只能拥有账号授予的资源使用权限,账号可以随时修改或者撤销IAM用户的使用权限。

why

可以实现更加细粒度的访问控制。这一技术的核心是4A能力---认证(Authentication)、授权(Authorization)、审计(Audit)和账号管理(Account Management)的能力。当然这是传统安全策略下‘静态授权’的IAM

在零信任体系在动态授权除了传统的4A能力还要基于网络、终端环境、用户行为变化的动态授权。使得当授权主体的安全等级大于授权客体的安全等级时,授权主体才能访问授权客体

3)MSG--微隔离

what

通过将数据中心业务单元按照一定规则进行分组,然后在分组间部署策略来实现流量控制。传统数据中心是基于VLAN/VNI进行子网划分,粒度比较粗,而微隔离可以提供更细粒度、更灵活的分组方式,例如基于IP、MAC、虚拟机名等。

why

内外网之间的流量传输(南北方向)往往通过在网络边界部署防火墙来实现包过滤,而内网(东西方向)的流量往往默认是安全的,但是若攻击者渗透进内网且内网没有有效的隔离措施那么内部的所有资源都将暴露无遗。

如果将数据中心内部虚拟机间的流量全部绕行集中式防火墙,很难满足数据中心灵活分布式、可扩展部署的要求和挑战,容易形成性能和扩容的瓶颈。同时传统的vlan划分虚拟局域网细粒度不够(服务器间 终端间),攻击者仍然内对子网内的其他资源进行访问。

how

微隔离可以提供比子网粒度更细的分组规则,对数据中心的内部网络进行分组,并采用最低权限原则严格控制业务间互访关系,然后对所有分组之间的流量部署安全策略这样就可以实现更精细的业务策略控制,限制攻击行为在网络内部横向移动的能力。就像是子网的资源都在一条船上,但是一个船舱漏洞进水而其他船舱依据彼此之间的隔离来保证安全

司越越
关注
  • 11
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
isd4002.rar_ isd4002_ISD4002 程序_ISD4002-240_isd4002_语音芯片
09-24
这是is4002语音芯片的录放音程序,程序里注释的很详细,从录音、放音的原理着手,读者很容易看懂
论文研究-基于ISD语音芯片的报警系统 .pdf
08-17
基于ISD语音芯片的报警系统,纪君峰,郝立业,首先介绍了语音芯片的种类和选型原则,然后介绍了ISD1420的特点和操作模式,最后详细描述了本系统的硬件设计过程以及软件流程图。��
网络安全-零信任安全
最新发布
qq_44005305的博客
03-14 676
信任技术体系是一种安全架构和策略,其核心理念是不信任任何用户或设备,而是通过不断验证和授权用户、设备和应用程序的身份和权限来保护网络和数据安全。在传统的网络安全模型中,通常会侧重于保护边界,即在企业网络内部和外部之间建立防御墙来阻止未经授权的访问。然而,随着云计算、移动设备和远程工作的普及,边界不再明确,传统网络安全模型变得日益无效。零信任技术体系采用了一种“永远不信任,始终验证”的策略,不论是在企业网络内部还是外部,所有用户、设备和应用程序都需要进行身份验证和授权才能访问网络资源。
In-Situ_De-embedding.pdf
10-09
In-Situ_De-embedding
-TourAPP-ISD_Project-Backened-
03-07
:fire: :fire: :fire: TourAPP-ISD项目 :fire: :fire: :fire: :construction_worker: 特征: :check_mark: 登录 :check_mark: 登记 :check_mark: 简易预订系统(公交车,火车,飞机,酒店,汽车旅馆) :check_mark: 有关旅游景点的正确信息,并带有建议。 :check_mark: 直截了当的搜索过滤器 :check_mark: 顾客评论 :check_mark: 收藏夹列表 :check_mark: 定价清晰,无隐藏费用 :check_mark: Google地图整合 :check_mark: 简单结帐 :check_mark: 预算打包系统 :rocket: :rocket: 工作环境: :red_apple: 前端:React js :red_apple: 后端:Django :red_apple: 数据库:SQL :red_apple: API:REST API :red_apple: Django框架遵循了MVC模式。
新版本lib解决电流大的问题20230129-180511.isd
01-29
适配文章:SYD8811在进行channel_map或者connection_update时出现长时间高电流问题极其解法
信任之从IAM概述到应用实现
H3C的博客
03-18 6273
IAM概述:基于动态身份的安全新边界 随着用户维度快速扩展、应用规模迅速增长、电子身份智能化以及监管要求等数字化转型带来的身份变化,传统安全边界消失,需要更灵活的技术手段给动态变化的人、终端、系统建立新的逻辑边界,通过对人、终端和系统进行识别、跟踪及访问控制,实现全面的身份化。因此,以身份为中心的零信任安全逐渐成为一种趋势。在零信任模型下,只要处于网络中,任何用户都不可被信任,任何环节、设备、身份及权限都有必要被验证。 IAM(Identity and Access Management),即身份与访问管理
信任的三种主流技术【远航】
数据安全学习分享
09-18 8161
从技术视角划分,零信任的主流技术分为三种:即 SIM:S 为 SDP(Software Defined Perimeter, 软件定义边界)、I 为 IAM(Identity and Access Management,身份识别与访问管理系统),M 为 MSG(Micro-Segmentation,微隔离)。
信任解决方案的SDP 微隔离 IAM介绍
securitypaper的博客
09-07 1249
IAP关注于应用层的身份和访问,依赖于访问控制,而不是防火墙规则。配 置的策略反映了用户和访问意图,而不是端口和IP地址。此外,IAP基于最小特 权访问原则建立了一个中央授权层,并基于每个单独的请求执行访问控制,为零 信任提供了实践治理模型。使用IAP,任何访问请求都可被终止、检查或重新检 查、修改和授权。
助力零信任安全架构的下一代IAM.pdf
04-19
随着云计算、大数据等技术在企业大规模的推广使用,持续集成持续部署的业务交付模式以及移动办公的接入方式深刻地影响了信息安全建设思路,如何能够更动态更智能更安全地保护企业的数字资产的同时不损失效率和体验?Google分享的零信任安全架构实践的相关论文给我们提供了一个非常好的思路,事实上,全面身份化即对网络参与的各个实体(人、服务、设备等)在统一的框架下进行全生命周期管理,而构筑全新的身份安全体系是零信任安全架构的基石。分布式设计模式和实践(如微服务,容器编排和云计算)已经让我们的生产环境变得越来越动态和异构,我们认为传统的安全实践(例如仅仅基于四层网络控制策略的访问控制)在这种复杂性下难以扩展,急需一套全新的IAM(身份和访问控制管理)框架。而云IAM就是能够支持在万物互联背景下的全面身份化以及多租户、多帐号体系、多用户渠道、云原生支持等特性的一整套解决方案,这对于将安全防护从网络层访问控制升级到应用层动态访问控制起到至关重要的作用,也将有效助力零信任安全架构的建设。下文将重点讲述我们对云IAM的理解、方案设计以及部分重点模块的解析。
【雕爷学编程】Arduino动手做(31)---ISD1820录放语音模块3
雕爷学编程
07-20 514
雕爷学编程,Arduino动手做,开源硬件,创客传感器,ISD1820录放语音模块
IT干货!怎样用IAM实施零信任策略
ITmoster的博客
06-17 791
随着云应用程序的普及和远程办公需求的增加,网络安全显得更加重要,在传统环境中,主要是针对外部威胁采取措施,比如使用防火墙来防止外部攻击。 实际上,企业内部的网络安全同样重要。零信任安全模型是由著名研究机构“Forrester”首席分析师“约翰.金德维格”创建的,该模型会将企业内部或外部的所有用户都视为不受信任的。 IAM(Identity and Access Management),即“身份识别与访问管理”,它具有单点登录、认证管理、基于策略的集中式授权以及审计、动态授权等功能。它决定了谁可以访问,如何进
5G LTE窄带物联网(NB-IoT) 5
shnbiot的博客
01-11 1万+
第2章  4G和5G系统     2.1 LTE历史 4G蜂窝技术,即E-UTRA或LTETM [2],已于2008年在3GPPTM第8版中被引入,作为超出IMT-2000要求的宽带蜂窝技术[1]。 4G具有先进的功能和特性,例如更高的峰值数据速率(DL上为300 Mbps,UL上为75 Mbps),更高的系统容量和覆盖范围,更高的频谱效率,低延迟,更低的运营成本,多天线支持,灵活的带宽操...
信任IAM是基于动态身份的安全新边界
weixin_70101757的博客
07-15 1008
IAM概述IAM(Identity and Access Management),即身份与访问管理,或称为身份管理与访问控制,作为零信任模型中的重要组成部分,可以实现身份管理、认证和授权等重要功能,如图所示:IAM身份管理与访问控制系统作为新一代身份认证与资源整合产品,主要用于给人或物赋予恰当的权限,从而允许其访问相应的资源。其中,“人或物”称为主体,“资源”称为客体。IAM产品主要由身份管理、认证管理、权限管理、单点登录和审计等模块组成,实现集中帐号管理、集中认证、集中授权、应用集成和集中审计等功能。具体
网络信息安全之零信任
热门推荐
学而思(xiejava的blog)
04-21 1万+
根据NIST《零信任架构标准》中的定义:零信任(Zero Trust,ZT)提供了一系列概念和思想,在假定网络环境已经被攻陷的前提下,当执行信息系统和服务中的每次访问请求时,降低其决策准确度的不确定性。零信任架构(ZTA)是一种企业网络安全的规划,它基于零信任理念,围绕其组件关系、工作流规划与访问策略构建而成。
认识IAM,向着“零信任”安全架构迈进
yeetrc的博客
05-12 2873
认识IAM,向着“零信任”安全架构迈进什么是IAM ?安全热词随时在变,但IAM中一些关键术语是需要了解清楚的:2020年IAM趋势是什么 ?1.身份和访问管理即服务2.微服务的身份和访问管理3.自主身份 安全是企业数字化转型策略面临的最大困境。根据Ponemon Institute的数据,数据泄露的数量和损失持续增长,如今网络犯罪导致的数据泄露给企业带来的平均损失超过386万美元。对于大多数企业来说,面对数据泄露的“溃坝”,做好IAM(身份访问与管理)是基本功。Gartner新发布《2020年规划指南
如何通过IAM打造零信任安全架构
青云QingCloud
06-02 2806
万物互联时代来临,面对越来越严峻的企业网络安全及复杂的(如微服务,容器编排和云计算)开发、生产环境,企业 IT 急需一套全新的身份和访问控制管理方案。 为了满足企业需求,更好的服务企业用户,青云QingCloud 推出了 IAM 服务,使用者可以统一管理和控制接入实体的认证和授权,更安全地自主管控账户下的任意资源访问权限。 IAM 是什么? IAM 旨在统一构建云平台的权限管理标准,采用非对称加密技术创建具备一定访问时效的临时 Token 为访问者赋予身份凭证,无需引入 Access Key ,身份的
气象 isd-lite数据 怎么打开
08-09
要打开气象ISD-Lite数据,可以按照以下步骤操作: 1. 首先,确保您的电脑已经安装了合适的软件或工具,例如文本编辑器或数据分析软件。常见的工具包括MATLAB、Python和R等。 2. 在您的浏览器中打开气象ISD-Lite数据的官方网站。您可以通过搜索引擎查询相关信息,并选择官方网站访问。 3. 在官方网站上,通常会提供相关的下载和访问链接。您可以点击下载链接或访问链接,以获取ISD-Lite数据。 4. 下载完成后,找到下载的压缩文件,解压缩到您选择的目录。您可以使用常见的压缩解压工具,例如WinZip或7-Zip等。 5. 解压缩后,您将获得一个包含ISD-Lite数据的文件夹。在文件夹中,您可能会看到许多文件,每个文件代表一个气象站的数据。 6. 根据您的需求,选择相应的文件,打开它们。对于文本文件,您可以使用文本编辑器,如Notepad++或Sublime Text等打开。 7. 一旦打开,您可以查看和分析ISD-Lite数据。这些数据可能包含有关气象站的温度、湿度、气压、风速和降水量等信息。根据数据的格式,您可以使用相应的数据分析软件进行进一步的处理和可视化。 请注意,ISD-Lite数据可能以多种格式提供,如文本文件(例如CSV或TXT格式)或数据库文件。您可以根据您的需求选择适当的文件格式并相应地打开它们。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值