盘点| 国内外零信任技术路线异同

最新推荐文章于 2025-04-25 20:02:04 发布
最新推荐文章于 2025-04-25 20:02:04 发布
阅读量1k 收藏 2
点赞数 2
文章标签: 网络 数据库 运维
原文链接:https://mp.weixin.qq.com/s?__biz=MzIxNTM4NDY2MQ==&mid=2247496734&idx=2&sn=33f833491108c21f78efb62260bb3ca1&chksm=979ba324a0ec2a32d3266263cd2527ac48c23f4ae8b6aedeafb514de1efb419ec4276d6b5e19&token=1750999716&lang=zh_CN#rd
版权

零信任技术国内整体发展增速,相对国外技术发展更为平缓,在2017年Google基于零信任安全的BeyondCorp项目取得成功,验证了零信任安全在大型网络场景下的可行性,业界也幵始跟进和开展零信任安全实践。国内零信任概念随着数字化信息安全防御旧时代结束,由互联网巨头带领下在2015 年逐渐出现在公开舞台。但相对于国外,整体行业还处于探索阶段,未来有望高速增长。

以身份为中心进行动态访问控制

零信任架构的本质是一次(身份管理)安全范型的转移或者变革。因此成功实施零信任架构的决定性因素并非厂商或产品,而是企业CISO自身对零信任架构概念、方法和实践路径的理解。

零信任架构原则:

  • 将身份作为访问控制的基础

零信任架构对网络、设备、应用、用户等所有对象赋予数字身份,基于身份来构建访问控制体系。

  • 最小权限原则

零信任架构中强调资源按需分配使用,授予的是执行任务所需的最小特权,并限制资源的可见性。

  • 实时计算访问控制策略

零信任的授权决策根据访问主体的身份、权限等信息进行实时计算,形成访问控制策略,一旦授权决策依据发生变化,将重新进行计算,必要时将即时变更授权决策。

  • 资源受控安全访问

零信任架构对所有业务场景及资源的每一个访问请求都进行强制身份识别和授权判定,符合安全策略才予以放行,实现会话级别的细粒度访问控制,同时所有的访问连接均须加密。

  • 基于多源数据进行信任等级持续评估

零信任架构中访问主体的信任等级是根据实时多源数据(如身份、权限、访问日志等)计算得出,人工智能技术提高了信任评估策略的计算效率,实现零信任架构在安全性、可靠性、可用性及成本方面的综合平衡。

零信任结构框架图

“SIM”,即SDP (软件定义边界)、IAM (身份与访问管理)、MSG (微隔离)是实现零信任架构的三 大关键技术。

零信任架构三大关键技术

国外市场达到规模化实践

海外零信任市场入围较多选手,实现路径各显神通

  • 谷歌和微软两大巨头率先在企业内部实践零信任并推出完整解决方案。

  • Duo、OKTA、Centrify、Ping Identity推出以身份为中心的零信任解决方案。

  • Cisco、Akamai、Symantec、VMware、F5以偏重于网络实施方式的零信任方案。

  • Vidder、Cryptzone、Zsclar、illumio 等初创公司。

在海外零信任行业中,头部企业以谷歌为例

BeyondCorp实现的核心是引入或扩展网络组件,例如单点登录,访问代理,访问控制引擎,用户清单,设备清单,安全策略和信任库。这些组件协同工作,以维护三个指导原则:

1) 特定的网络连接不得确定用户可以访问哪些服务

2) 根据对用户和设备的了解来授予对服务的访问权限

3) 所有对服务的访问都必须经过认证、授权和加密

腰部公司以Okta为例

Okta是一个身份资产管理平台(IAM)。它是身份验证和授权的领导者,它提供安全访问并使用户能够在零信任环境中安全地使用技术。

初创公司以lllumio为例

lllumio是一家专注于动态数据中心和云平台安全的初创公司。lllumio通过构建独特的自适应安全架构,可自内而外地安全监控和防护每个工作单元或应用,而不是基于传统的边界防护,如防火墙。公司主要利用自适应微分隔技术(adaptive micro-segmentation)防止泄露在数据中心和云中扩散。

国内市场处萌芽阶段

根据对国内云厂商和安全厂商关于零信任解决方案的调研发现:

  • 国内厂商注重零信任解决方案研发与落地实施,零信任生态已小有规模,安全厂商从自身安全专项产品优势出发,推出有技术侧重的零信任解决方案,云厂商则利用自身基础设施供应 能力强且用户体量大的优势,率先进入较全面的零信任解决方案市场。

  • 各个厂商具备多项零信任安全的核心技术,这些核心技术均由商业化的产品提供技术支撑,再配合相关技术共同组建零信任解决方案。

案例

案例一:政府部门数据中心的运维保障案例

未改造前该应用的端口是开放的,容易受到攻击。特别是在重保期间,敏感业务和敏感数据,很容易被利用和攻击。通过SDP技术,可以把这些敏感应用的端口进行有效的隐藏,并且通过MFA技术让访问者进行多因素实名认证确保访问安全。通过最小授权化,让访问者每次都要通过动态端口去访问到敏感的应用,保证了整个访问链路不可窥探,保障每次业务访问和数据访问的安全。

案例二:知名的地产企业远程移动办公场景案例

2020年疫情以来,很多企业都有灵活办公地点的需求,企业的诉求是能够支持自带设备(BYOB设备)远程办公。除了 windows传统的办公终端,也需支持macOS、安卓和 iOS等各种终端系统。所以对接入的身份需要进行MFA多因素认证,以及最好能够实现免密登录。通过腾讯SDP 实现了泛终端的接入安全管控,对应用服务器釆取连接器的接入方式,无论应用是在公司内网还是在云侧都能够连接到。通过手机发起多因素认证,包括企微的账号、OTP token和人脸识别、指纹识别等组合进行动态身份验证,防止客户通过移动端访问时,会碰到像网络WiFi钓鱼以及手机被威胁软件劫持等问题,实现了灵活办公和安全的双要求。

信任体系技术研究
weixin_70923796的博客
01-04 214
美国国家标准与技术研究院给出了信任信任体系的定义、遵循的原则,介绍了信任体系的逻辑组件处理方法的变化,分析了信任体系的安全威胁,可以为我国广企事业单位内部网络的升级改造提供参考,为我国网络安全事业发展提供支撑。在信任中,通常涉及将数据、计算应用程序等网络资源的访问权限最小化,只对那些必须用户资产开启访问权限进行授权访问,持续对每个访问请求者的身份安全状态进行身份验证授权。最后的决定被传递给策略管理员执行。因此,信任企业网络基础设施操作策略,是企业信任体系计划的执行结果。
下一代数据架构Data Fabric到底是什么?
热门推荐
m0_59869709的博客
01-04 1万+
Data Fabric是数据管理的未来,而国内的相关信息较少。通过Data Fabric概念、能力、与其他技术差异以及在工业界实践方案的介绍,期望家对Data Fabric有基本的了解,结合各自的情况可以给出具体的、可落地的建设方案。
【解读】CSA CISO研究报告: 信任的部署现状及未来展望
CCSA2018的博客
01-29 1146
信任战略的实施过程中,您的组织机构处在什么阶段?
实现信任架构(ZTA)的三技术,从基础到精通,收藏这篇就够了!
Libra1313的博客
04-07 785
简单说,就是在“移动+云”的背景下,用软件的方式给企业建一道虚拟的安全边界,用基于身份的访问控制机制,给企业的应用服务穿上“隐身衣”。这样一来,网络黑客就算想搞事情,也看不见目标,只能干瞪眼,企业的。IAM主要关注用户认证、权限审计,主要面向内部员工,具备人员生命周期管理功能,能控制用户登录时的访问权限,统一管理权限,还能记录用户身份变化访问信息,方便事后审计。SDP不是要取代现有的身份访问管理方案,而是对认证的访问控制进行了加强,通过将用户认证授权与其他安全组件集成,减小了潜在的攻击面。
信任相关标准、框架及落地实践(上)
H3C的博客
03-14 4608
一、传统边界安全防护系统面临问题 传统的网络防护框架如下图所示,通过边界安全防护系统,将内网外网进行隔离: 但边界安全防护系统存在如下安全问题: ■ 企业内网不一定可信 在传统的边界安全防护下,企业的私有网络不可信。私有网络中的客户端有可能成为攻击者操纵的目标。同时,我们默认内网用户(如企业员工)是可信的,但往往某些恶意的员工正是非法窃取公司机密的始作俑者。 ■ 访问业务的终端不一定可信 网络上访问企业内网的终端设备可能非企业的设备,这些设备可能存在一些安全风险,比如设备可能被恶意安装了攻击软件,对内
虚拟私有网络即将消亡,软件定义边界(SDP)正在走来
yutao929的专栏
02-19 516
随着通信底层基础设施(软件无线电无线宽带网络波形)的逐步完善,美国国防部DARPA早已将目光转移到数据网络网络安全,传统的VPN已经无法满足全球分布式信息系统GIG的要求,美军于2007年正式发布软件定义(安全/数据)边界SDP项目。 然而,据笔者从美国国防部2007年的一份内部发布的GIG架构规划中发现,在此之前,美军已经对一个叫做black core的技术研究了很多年,而SDP正是black core进化的产物。 以下三张图摘自上述报告,读者可自行关联。 GIG通信基础设施 核心企业级服务(CE
国内信任市场报告:网络安全
03-19
在传统的安全体系下,内网用户默认享有较高的网络权限,而外网用户如异地 办公员工、分支机构接入企业内网都需要通过 VPN。不可否认传统的网络安全架构 在过去发挥了积极的作用,但是在 IT 无边界化已经成为趋势,高级网络攻击肆虐, 内外部威胁愈演愈烈的环境下,传统的边界安全体系需要迭代升级,信任理念应 运而生。信任的最早源自 2004 年成立的耶利哥论坛(Jericho Forum),其成立的使命是 为了定义无边界趋势下的网络安全问题寻求解决方案。2010 年约翰·金德维格 (John Kindervag)首次提出了信任安全的概念,其核心思想是企业不应自动信任 内部或外部的任何人/事/物
智能化软件开发微访谈·第十九期暨2022新年特辑:软件智能化开发:进展与挑战...
pengxin_ce的博客
01-08 2172
CodeWisdom智能化软件开发沙龙是复旦学CodeWisdom团队参与组织的专注于代码数据与智能化软件开发的学术技术沙龙,面向相关领域的学术界研究者工业界实践者,通过各种线上...
信任持续高速发展,新场景下展现惊人潜力
trusfort的博客
07-24 859
信任的行业应用不断深化
总被误解的“信任”,有哪些关键技术
Authing的博客
08-30 1210
软件定义边界(SDP)是被云安全联盟采纳推崇的一种方案。这种方案还有一个更为形象的别名——“黑云”。之所以被称为黑云,其预期达到的效果有关。SDP 可以为企业建立虚拟边界,利用基于身份的访问控制权限认证机制,让企业应用服务“隐身”。当黑客试图进行攻击时,会发现看不到目标而无法攻击,只有获得权限的业务人员可以正常访问。根据云安全联盟的定义,SDP 的主要组件包括发起主机(客户端),接受主机(服务端) SDP 控制器,客户端服务端都会连接到这些控制器。...
走近信任介绍-培训教材.pdf
02-25
深入浅出培训什么是信任信任有什么用、信任发展、CSA信任体系、信任概念核心、信任逻辑架构、信任实践架构、IAM身份认证技术介绍、微隔离技术路线
信任的三种主流技术【远航】
数据安全学习分享
09-18 9575
技术视角划分,信任的主流技术分为三种:即 SIM:S 为 SDP(Software Defined Perimeter, 软件定义边界)、I 为 IAM(Identity and Access Management,身份识别与访问管理系统),M 为 MSG(Micro-Segmentation,微隔离)。
信任-Zscaler信任介绍(7)
WenZhongxiang
02-17 7295
Zscaler是一家专注于网络安全的公司,他们提供了一种名为Zscaler Zero Trust Exchange (ZTX)的信任解决方案。这种解决方案旨在帮助企业提高网络安全,确保只有授权的用户,设备应用程序才能访问敏感信息。ZTX采用多层安全措施,包括身份验证,访问控制,数据安全威胁防护,以保护网络免受攻GJ击。此外,Zscaler还提供云安全、移动安全安全协议管理等额外服务,以帮助企业提高网络安全。
SASE信任--傻傻分不清楚
网络安全研究
12-06 1493
随着企业网络架构的演进,相应的安全架构随之演进是很自然的事情。信任SASE概念正是反应了网络架构安全架构伴生演变的过程。
信任安全:SPIFFE SPIRE 通用身份验证的标准实现
hanfengzxh的博客
09-16 910
最近正在读 《Solving the Bottom Turtle》 这本书,这篇是对部分内容的总结思考,由于内容较多,会分几篇来发。 这本书的副标题是: a SPIFFE Way to Establish Trust in Your Infrastructure via Universal Identity. 通过通用身份以 SPIFFE 的方式在基础设施中建立信任家记住其中的有几个关键词:通用身份、SPIFFE 的方式、基础设施、建立信任。 背景 信任是一种异常火热的安全模型,在之前翻译
信任架构:重塑网络安全的IT新范式
最新发布
kevin_blog
04-25 948
在信息技术(IT)的风云变幻中,网络安全领域正迎来一场深刻变革——信任架构(Zero Trust Architecture)。2025年,随着远程办公的常态化、云服务的普及以及网络攻击的日益复杂化,传统的“城堡与护城河”安全模型已不堪重负。信任以“从不信任,始终验证”的核心理念,颠覆了过往的防御逻辑,成为企业、政府乃至个人设备安全的守护神。从金融行业的风控到智慧城市的防护,信任正在以惊人速度点燃网络安全的未来之火。信任是什么?它为何成为安全领域的热榜焦点?它又将如何重塑IT生态?
深信服day1:信任
红肤色的博客
07-18 1480
信任(Zero Trust)是一种现代网络安全模型,强调在网络安全中不信任任何内部或外部的用户、系统或服务,且始终验证它们的身份安全状态,以确保访问控制数据安全。
信任架构:重构安全防线的未来趋势
gkfkfhk的博客
02-09 1695
网络安全 | 信任架构:重构安全防线的未来趋势 一、前言 二、信任架构的核心概念与原理 2.1 核心概念 2.2 原理 三、信任架构的关键技术组件 3.1 身份管理与认证系统 3.2 授权与访问控制系统 3.3 网络与安全监测系统 3.4 加密与数据保护技术 四、信任架构与传统安全模型的对比 4.1 信任假设 4.2 安全防护重点 4.3 访问控制策略 4.4 安全态势感知与事件响应 五、信任架构在不同应用场景中的实践 5.1 企业办公网络 5.2 云计算环境 5.3 物联网(IoT)生态系统 六
C#java学习路线异同
09-02
C# Java 都是面向对象的、广泛使用的编程语言,它们的学习路线有一些相似之处,但也存在一些差异。 **相似之处**: 1. **基本语法**:者的语法结构都比较类似,都是基于类的编程,支持封装、继承多态等面向对象的核心特性。 2. **面向对象编程**:都需要理解类、对象、构造函数、方法、属性以及访问修饰符(如public、private等)的概念。 3. **平台无关性**:虽然最初分别针对Windows(C#)Java平台,但现在都有跨平台版本,例如C#的.NET CoreJava的JVM支持。 4. **标准库框架**:都有丰富的内置库第三方框架供开发者使用,如.NET FrameworkJava的Spring框架。 **不同点**: 1. **生态环境**:C#更倾向于Microsoft生态体系,而Java则有广泛的开源社区企业支持,如Android开发。 2. **IDE工具**:C#通常与Visual Studio或Visual Studio Code搭配,Java则有EclipseIntelliJ IDEA这样的主流开发环境。 3. **内存管理**:Java是自动垃圾回收的,不需要程序员手动管理内存;C#也有垃圾回收机制,但在某些场合下需要了解托管非托管代码的区别。 4. **性能**:C#由于运行在.NET平台上,可能会比纯Java应用稍快,尤其是在C# 6.0引入Value Types后。 5. **C#更现代**:C#在某些新特性语言设计上更为现代化,比如Lambda表达式、async/awaitNullable Reference Types。 **学习路线**: 1. **基础知识**:开始学习基本的数据类型、控制流程、类对象、数组、集合等概念。 2. **面向对象编程**:深入理解继承、封装多态。 3. **特定平台**:如果目标是桌面应用,学习C#的WinForms/WPF或Java的Swing/FX;如果关注Web开发,学习ASP.NET Core或Java的Spring Boot。 4. **框架库**:熟悉常用的框架,如.NET MVC/CQRS或Java的Hibernate/Spring Data。 5. **实践项目**:通过实际项目提升技能,巩固理论知识。 6. **持续更新**:保持对最新版本语言特性技术趋势的关注。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值